引言:最近當筆者使用IE上網(wǎng)沖浪時,當打開某個網(wǎng)站后,IE莫名其妙的自動關(guān)閉了。當筆者再次打開IE時,發(fā)現(xiàn)自動進入一個內(nèi)容很雜亂的站點,毫無疑問主頁被惡意修改了。
最近當筆者使用IE上網(wǎng)沖浪時,當打開某個網(wǎng)站后,IE莫名其妙的自動關(guān)閉了。當筆者再次打開IE時,發(fā)現(xiàn)自動進入一個內(nèi)容很雜亂的站點,毫無疑問主頁被惡意修改了。而且系統(tǒng)運行速度變得很慢,看來一定是誤入了惡意網(wǎng)站,招來了不法程序的攻擊。筆者重啟電腦,發(fā)現(xiàn)系統(tǒng)運行速度變得很卡,在沒有聯(lián)網(wǎng)的情況下打開IE,之后在任務管理器中看到IE進程的高達100%,看來,一定是隱藏在IE背后病毒木馬等惡意程序在搗亂。但是,運行筆者安裝的某款免費殺軟,對系統(tǒng)進行掃描檢測后,卻沒有發(fā)現(xiàn)病毒的蹤跡。不難看出,這要么是免費殺軟不給力,要么是遇到了新型或者免殺性的病毒。沒辦法,只有自己動手,和病毒進行正面交鋒了。
在任務管理器中仔細查看進程信息,沒有發(fā)現(xiàn)可疑進程,看來或者是病毒隱藏了進程信息,或者是病毒沒有將自身文件添加到常規(guī)啟動項中。因為在沒有上網(wǎng)的情況下,運行IE都會出現(xiàn)問題,病毒很可能將自身變成系統(tǒng)服務,或者偽裝成驅(qū)動文件,來獲得更高級別的運行權(quán)。運行“msconfig”程序,在系統(tǒng)配置實用程序窗口中的“服務”面板中勾選“隱藏所有的Microsoft服務”項,只顯示所有非系統(tǒng)服務。果然發(fā)現(xiàn)一個名為“Network Update Service”服務很可疑,因為從表面上看起來這似乎是和系統(tǒng)網(wǎng)絡配置相關(guān)的服務,但實際上系統(tǒng)根本沒有此類服務。
運行“services.msc”程序,在服務管理器中雙擊該服務,在起屬性窗口中發(fā)現(xiàn)其服務名稱為“wmidxsvc”,描述信息為“這是和系統(tǒng)網(wǎng)絡配置相關(guān)的項目,用來設定網(wǎng)關(guān)參數(shù),以及為網(wǎng)絡共享服務提供便利,如果此服務被禁用,任何依賴它的服務將無法啟動。”毫無疑問,這就是病毒創(chuàng)建的服務,虛假的描述信息只是在欲蓋彌彰罷了。筆者決定順藤摸瓜,將不法程序一網(wǎng)打盡。選中該子健,在右側(cè)窗口中的“ImagePath”項中發(fā)現(xiàn)與其關(guān)聯(lián)的程序路 徑 為“%SystemRoot%System32wexpent32”。 先在文件夾選項窗口中選擇“顯示所有文件和文件夾”項,同時取消“隱藏受保護的操作系統(tǒng)文件”項,這樣可以輕松顯示所有的隱藏文件。 進 入“C:WindowsSystem32”文件夾,在其中按照創(chuàng)建日期排序,讓所有新文件顯示在前列。因為病毒創(chuàng)建的文件一般日期較新,很容易查找出來。
但是,該文件并沒有立即現(xiàn)身。筆者覺得有些奇怪,難道起徹底隱形了不成?經(jīng)過按照名稱順序細致查找,才發(fā)現(xiàn)了該文件,原來其創(chuàng)建日期為2009年7月14日星期二上午7:25:06。和普通的系統(tǒng)文件創(chuàng)建日志完全相同,怪不得無法將其按照創(chuàng)建日期排序出來。看來,要么該文件就是系統(tǒng)自帶的文件,要么是病毒將自身文件的創(chuàng)建日期進行了刻意修改,來實現(xiàn)魚目混珠的目的?;谶@些考慮,筆者沒有冒然刪除該文件。考慮到病毒也許會冒充驅(qū)動程序,從底層侵入系統(tǒng),筆者決定對驅(qū)動文件進行一番 檢 查。Windows的 所有驅(qū)動文件默認都存放在“C:WindowsSystem32drivers”文件夾中,因為里面文件很多,無法準確判斷其真?zhèn)巍?/p>
因為系統(tǒng)采用的Ghost備份文件安裝的,原始的Gho文件就存放在硬盤中,運行Ghost Explorer這款軟件,在其主界面中點擊菜單“文件”-“打開”項,選擇目標Gho文件,可以顯示其中包含的完整的系統(tǒng)文件信息,打開其中的之后打開其中的“C:WindowsSystem32drivers”,按 照創(chuàng)建時間的順序?qū)烧叩尿?qū)動文件信息進行比對分析,很快就發(fā)現(xiàn)了名為“nxwmdrv32.sys”的文件極為可疑。查看該文件的屬性,發(fā)現(xiàn)其創(chuàng)建的日期為2012年12月7日。這和面提到的“wexpent32”文件的日期并不一致,主要原因筆者系統(tǒng)采用的是Ghost安裝方式,驅(qū)動文件是由系統(tǒng)提供的“drive.cab”壓縮解壓后創(chuàng)建的,而“%SystemRoot%System32”中文件是Ghost安裝文件制作者在制作發(fā)布時創(chuàng)建的,二者之間并不完全一致。病毒入侵后,在創(chuàng)建非法文件時,會判斷不同文件夾中原始文件的創(chuàng)建日期信息,然后將自身文件的創(chuàng)建日期進行修改,來實現(xiàn)混跡于其間的目的。
在注冊表編輯器中點 擊“Ctrl+F”鍵,搜 索“nxwmdrv32.sys” 字 符串,在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名為“nxsio32”的子健,在窗口右側(cè)的“ImagePath”欄中發(fā)現(xiàn)了該文件的蹤跡。根據(jù)以上信息,可以判斷這是病毒偽造的驅(qū)動文件,為的是獲得高級別的運行權(quán),從系統(tǒng)底部侵入,這樣可以有效避開殺軟的監(jiān)控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下還發(fā)現(xiàn)了“wmidxsvc”子健,其內(nèi)容和上面提到的可疑服務完全一致。筆者將上述“nxsio32”和“wmidxsvc”刪 除。 考慮到“nxwmdrv32.sys”和“wexpent32”文件的創(chuàng)建時間不一致,但是同屬一個“派系”,在驅(qū)動文件夾中是否存在和“wexpent32”文件創(chuàng)建日期相同的其他可疑文件呢?因為驅(qū)動文件一般都帶有數(shù)字簽名,于是筆者以“wexpent32”文件創(chuàng)建日期基準,在驅(qū)動文件夾中查找與之日期相同的文件,找到幾個符合條件的文件后,逐個查看其數(shù)字簽名信息。雖然病毒文件也會為找數(shù)字簽名,不過難免存在馬腳。經(jīng)過仔細排查,果然發(fā)現(xiàn)名為“vrddnj.sys”的驅(qū)動文件數(shù)字簽名漏洞百出,例如沒有版本和公司信息等內(nèi)容。在注冊表編輯器中搜索“vrddnj.sys”字符 串,在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名為“vrdnj”的子健,在其右側(cè)的“ImagePath”欄中顯示了該文件的具體路徑??磥?,這也是病毒偽造驅(qū)動程序文件。
根據(jù)以上分析,將注冊表中和病毒相關(guān)的鍵值全部刪除,然后重啟系統(tǒng),進入安全模式,先關(guān)閉系統(tǒng)還原功能,因為病毒喜歡藏身到各磁盤根目錄下的“System Volume Information”文件夾中,來逃避追捕。之后刪除上述所有和病毒相關(guān)的文件,當刪除“vrddnj.sys”文件時,系統(tǒng)彈出警告信息,提示該文件正在使用無法刪除。運行注冊表編輯器,查找和“vrddnj.sys”相關(guān)的所有項目,果然 在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”,“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ 八宿县| 佛山市| 芦山县| 化隆| 新田县| 九龙坡区| 曲水县| 凤山市| 沾益县| 客服| 山西省| 南丰县| 喜德县| 鄂托克旗| 福海县| 蕉岭县| 天门市| 扬中市| 江口县| 甘孜| 绩溪县| 吕梁市| 桐柏县| 怀安县| 南投市| 永川市| 佳木斯市| 会泽县| 澳门| 寿阳县| 龙岩市| 龙门县| 乐业县| 丹凤县| 泽州县| 泾川县| 博罗县| 乳源| 年辖:市辖区| 黄梅县| 通榆县|