7。Pagefile磁碟机变种病毒查杀实验探讨.ppt

一、实训目的 二、实训知识准备 三、实训要求 四、实训环境 通过对磁碟机变种病毒的查杀，进一步让学生熟悉各种软件的使用，并了解病毒的特性以及查杀过程，为以后的病毒分析查杀建立基础。 1. 病毒名称 Worm.Win32.DiskGen 2. 病毒别名 磁碟机变种 3. 病毒文件信息 FILE：pagefile.pif MD5：425C04014B084D762BBCA217277643F0 SHA1： 490540C6D0485E61AD9AA1E798D8FB332E2262E5 CRC32：DC9C2889 壳：UPX 0.89.6 - 1.02 / 1.05 - 1.24 - Markus Laszlo 4. 影响系统 Win 9X/ME/NT/2000/XP/2003 5. 病毒类型 木马病毒 6. 病毒大小 94208 byte 7. 传播方式 需人工下载其服务端。 8. 病毒特征 磁碟机变种病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具 ,破坏安全模式,删除一些杀毒软件和实时监控的服务, 远程注入到其它进程来启动被结束进程的病毒, 反复写注册表来破坏系统安全模式,病毒会在每个分区下释放 AUTORUN.INF 来达到自运行。 9. 病毒行为 9.1. 释放病毒副本： C:\WINDOWS\system32\Com\LSASS.EXE C:\WINDOWS\system32\Com\netcfg.000 C:\WINDOWS\system32\Com\netcfg.dll C:\WINDOWS\system32\Com\SMSS.EXE C:\WINDOWS\system32\随机6位数字.log C:\WINDOWS\system32\dnsq.dll C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe 9.1.1 netcfg.dll负责注入IE并连接网络下载木马，并注册为浏览器加载 项，[IfObj Control] {D9901239-34A2-448D-A000-3705544ECE9D} {C:\WINDOWS\system32\com\netcfg.dll, 506} 9.1.2 dnsq.dll会插入一些进程，并监控 C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立 即恢复。而且会监控~.exe，如果该文件被删除，立即重写。 9.1.3 随机6位数字.log即pagefile.pif文件，之中还会在C盘生成一个驱 动，该驱动应该是用于提升权限所用，各个盘下面生成pagefile.pif和 autorun.inf。 9.2. 调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的 权限，设为完全控制。 参数为：C:\winnt\system32\com /e /t /g admin:F 9.3. 独占方式禁止读取各盘下面的根目录下面的 pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts 。C:\boot.ini不能写则Xdelbox等软件被废掉。 9.4. 查找硬盘的文件，如名称里有“360”字样则删除。 9.5. 破坏安全模式。删除如下键： HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D3