驅(qū)逐病毒恢復IE活力

引言：最近當筆者使用IE上網(wǎng)沖浪時，當打開某個網(wǎng)站后，IE莫名其妙的自動關(guān)閉了。當筆者再次打開IE時，發(fā)現(xiàn)自動進入一個內(nèi)容很雜亂的站點，毫無疑問主頁被惡意修改了。

最近當筆者使用IE上網(wǎng)沖浪時，當打開某個網(wǎng)站后，IE莫名其妙的自動關(guān)閉了。當筆者再次打開IE時，發(fā)現(xiàn)自動進入一個內(nèi)容很雜亂的站點，毫無疑問主頁被惡意修改了。而且系統(tǒng)運行速度變得很慢，看來一定是誤入了惡意網(wǎng)站，招來了不法程序的攻擊。筆者重啟電腦，發(fā)現(xiàn)系統(tǒng)運行速度變得很卡，在沒有聯(lián)網(wǎng)的情況下打開IE，之后在任務管理器中看到IE進程的高達100%，看來，一定是隱藏在IE背后病毒木馬等惡意程序在搗亂。但是，運行筆者安裝的某款免費殺軟，對系統(tǒng)進行掃描檢測后，卻沒有發(fā)現(xiàn)病毒的蹤跡。不難看出，這要么是免費殺軟不給力，要么是遇到了新型或者免殺性的病毒。沒辦法，只有自己動手，和病毒進行正面交鋒了。

在任務管理器中仔細查看進程信息，沒有發(fā)現(xiàn)可疑進程，看來或者是病毒隱藏了進程信息，或者是病毒沒有將自身文件添加到常規(guī)啟動項中。因為在沒有上網(wǎng)的情況下，運行IE都會出現(xiàn)問題，病毒很可能將自身變成系統(tǒng)服務，或者偽裝成驅(qū)動文件，來獲得更高級別的運行權(quán)。運行“msconfig”程序，在系統(tǒng)配置實用程序窗口中的“服務”面板中勾選“隱藏所有的Microsoft服務”項，只顯示所有非系統(tǒng)服務。果然發(fā)現(xiàn)一個名為“Network Update Service”服務很可疑，因為從表面上看起來這似乎是和系統(tǒng)網(wǎng)絡配置相關(guān)的服務，但實際上系統(tǒng)根本沒有此類服務。

運行“services.msc”程序，在服務管理器中雙擊該服務，在起屬性窗口中發(fā)現(xiàn)其服務名稱為“wmidxsvc”，描述信息為“這是和系統(tǒng)網(wǎng)絡配置相關(guān)的項目，用來設定網(wǎng)關(guān)參數(shù)，以及為網(wǎng)絡共享服務提供便利，如果此服務被禁用，任何依賴它的服務將無法啟動。”毫無疑問，這就是病毒創(chuàng)建的服務，虛假的描述信息只是在欲蓋彌彰罷了。筆者決定順藤摸瓜，將不法程序一網(wǎng)打盡。選中該子健，在右側(cè)窗口中的“ImagePath”項中發(fā)現(xiàn)與其關(guān)聯(lián)的程序路 徑 為“%SystemRoot%System32wexpent32”。 先在文件夾選項窗口中選擇“顯示所有文件和文件夾”項，同時取消“隱藏受保護的操作系統(tǒng)文件”項，這樣可以輕松顯示所有的隱藏文件。 進 入“C:WindowsSystem32”文件夾，在其中按照創(chuàng)建日期排序，讓所有新文件顯示在前列。因為病毒創(chuàng)建的文件一般日期較新，很容易查找出來。

但是，該文件并沒有立即現(xiàn)身。筆者覺得有些奇怪，難道起徹底隱形了不成？經(jīng)過按照名稱順序細致查找，才發(fā)現(xiàn)了該文件，原來其創(chuàng)建日期為2009年7月14日星期二上午7:25:06。和普通的系統(tǒng)文件創(chuàng)建日志完全相同，怪不得無法將其按照創(chuàng)建日期排序出來。看來，要么該文件就是系統(tǒng)自帶的文件，要么是病毒將自身文件的創(chuàng)建日期進行了刻意修改，來實現(xiàn)魚目混珠的目的?；谶@些考慮，筆者沒有冒然刪除該文件。考慮到病毒也許會冒充驅(qū)動程序，從底層侵入系統(tǒng)，筆者決定對驅(qū)動文件進行一番 檢 查。Windows的 所有驅(qū)動文件默認都存放在“C:WindowsSystem32drivers”文件夾中，因為里面文件很多，無法準確判斷其真?zhèn)巍?/p>

因為系統(tǒng)采用的Ghost備份文件安裝的，原始的Gho文件就存放在硬盤中，運行Ghost Explorer這款軟件，在其主界面中點擊菜單“文件”-“打開”項，選擇目標Gho文件，可以顯示其中包含的完整的系統(tǒng)文件信息，打開其中的之后打開其中的“C:WindowsSystem32drivers”，按 照創(chuàng)建時間的順序?qū)烧叩尿?qū)動文件信息進行比對分析，很快就發(fā)現(xiàn)了名為“nxwmdrv32.sys”的文件極為可疑。查看該文件的屬性，發(fā)現(xiàn)其創(chuàng)建的日期為2012年12月7日。這和面提到的“wexpent32”文件的日期并不一致，主要原因筆者系統(tǒng)采用的是Ghost安裝方式，驅(qū)動文件是由系統(tǒng)提供的“drive.cab”壓縮解壓后創(chuàng)建的，而“%SystemRoot%System32”中文件是Ghost安裝文件制作者在制作發(fā)布時創(chuàng)建的，二者之間并不完全一致。病毒入侵后，在創(chuàng)建非法文件時，會判斷不同文件夾中原始文件的創(chuàng)建日期信息，然后將自身文件的創(chuàng)建日期進行修改，來實現(xiàn)混跡于其間的目的。

在注冊表編輯器中點 擊“Ctrl+F”鍵，搜 索“nxwmdrv32.sys” 字 符串，在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名為“nxsio32”的子健，在窗口右側(cè)的“ImagePath”欄中發(fā)現(xiàn)了該文件的蹤跡。根據(jù)以上信息，可以判斷這是病毒偽造的驅(qū)動文件，為的是獲得高級別的運行權(quán)，從系統(tǒng)底部侵入，這樣可以有效避開殺軟的監(jiān)控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下還發(fā)現(xiàn)了“wmidxsvc”子健，其內(nèi)容和上面提到的可疑服務完全一致。筆者將上述“nxsio32”和“wmidxsvc”刪 除。 考慮到“nxwmdrv32.sys”和“wexpent32”文件的創(chuàng)建時間不一致，但是同屬一個“派系”，在驅(qū)動文件夾中是否存在和“wexpent32”文件創(chuàng)建日期相同的其他可疑文件呢？因為驅(qū)動文件一般都帶有數(shù)字簽名，于是筆者以“wexpent32”文件創(chuàng)建日期基準，在驅(qū)動文件夾中查找與之日期相同的文件，找到幾個符合條件的文件后，逐個查看其數(shù)字簽名信息。雖然病毒文件也會為找數(shù)字簽名，不過難免存在馬腳。經(jīng)過仔細排查，果然發(fā)現(xiàn)名為“vrddnj.sys”的驅(qū)動文件數(shù)字簽名漏洞百出，例如沒有版本和公司信息等內(nèi)容。在注冊表編輯器中搜索“vrddnj.sys”字符 串，在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名為“vrdnj”的子健，在其右側(cè)的“ImagePath”欄中顯示了該文件的具體路徑?？磥?，這也是病毒偽造驅(qū)動程序文件。

根據(jù)以上分析，將注冊表中和病毒相關(guān)的鍵值全部刪除，然后重啟系統(tǒng)，進入安全模式，先關(guān)閉系統(tǒng)還原功能，因為病毒喜歡藏身到各磁盤根目錄下的“System Volume Information”文件夾中，來逃避追捕。之后刪除上述所有和病毒相關(guān)的文件，當刪除“vrddnj.sys”文件時，系統(tǒng)彈出警告信息，提示該文件正在使用無法刪除。運行注冊表編輯器，查找和“vrddnj.sys”相關(guān)的所有項目，果然 在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”，“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ

施甸县| 南康市| 永兴县| 嘉善县| 辛集市| 连州市| 桑植县| 章丘市| 义乌市| 建始县| 望城县| 尉犁县| 邻水| 定襄县| 遵义县| 琼中| 岑溪市| 辰溪县| 白银市| 类乌齐县| 安吉县| 博客| 共和县| 汉沽区| 炎陵县| 平潭县| 株洲市| 旬阳县| 天台县| 保德县| 东至县| 武定县| 南华县| 越西县| 江城| 汝城县| 扶余县| 乾安县| 新蔡县| 南川市| 闻喜县|