手動清除計算機病毒案例分析

馬振偉

摘要：計算機病毒是編制者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)的代碼，能影響計算機使用，能自我復(fù)制的一組計算機指令或者程序代碼（1）。計算機病毒具有很強的隱蔽性，有些可以通過病毒軟件監(jiān)測出來，有些隱蔽性很強，具有一定的環(huán)境適應(yīng)性能力，這類病毒處理進來通常很困難（2）。由于殺毒軟件更新的滯后性，用常規(guī)的殺毒方法未必能及時有效，且很容易損壞正常軟件，造成計算機無法正常運轉(zhuǎn)等損失。正確分析計算機的異常行為，查找發(fā)病源，通過手動殺毒，也是一種直觀的方法及有價值的嘗試。

關(guān)鍵詞：計算機病毒;殺毒軟件;手動殺毒

中圖分類號：TP311 ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）31-0071-02

計算機感染病毒后通常會出現(xiàn)一些容易發(fā)覺的異常表現(xiàn)行為，如計算機啟動速度慢、程序運行卡頓、文件損壞或丟失以及出現(xiàn)間歇性斷網(wǎng)等。通過計算機行為的異常表現(xiàn)，然后反推問題的根源，再通過適當(dāng)?shù)臍⒍痉椒ㄟM行病毒清除。下面是一個服務(wù)器出現(xiàn)異常的案例：筆者打開服務(wù)器時異常卡頓，打開任務(wù)管理發(fā)現(xiàn)svchost運行程序占用CPU資源達到99%以上，嚴重影響了服務(wù)器的運行，這是病毒的一種典型表現(xiàn)。

1 病毒特征分析

1.1 Svchost進程分析

Svchost.exe是Windows操作系統(tǒng)中的核心進程文件，從動態(tài)鏈接庫（Dynamic Link library，DLL）中加載的通用主機進程，該進程是系統(tǒng)運行的基礎(chǔ)進程之一，且不能被中止（3）。因為svchost.exe是一個基礎(chǔ)進程，可以訪問很多系統(tǒng)資源和文件，所以svchost.exe非常容易被病毒所利用。被病毒利用之后，系統(tǒng)常會彈出svchost.exe錯誤，當(dāng)然svchost.exe病毒也有不少專殺工具。很多木馬程序喜歡偽裝成這個服務(wù)程序來逃過查殺。為進一步確認，筆者通過資源管理器觀察了一下這個進程的更多屬性，發(fā)現(xiàn)了更多異常之處。

1.2 怪異的命令行參數(shù)

該進程是通過一串命令啟動起來。具體命令是：

svchost -o gulf.moneroocean.stream：10001 -u xxxxx –donate-level=1

1.3 可疑的管理員賬戶

經(jīng)查證，進程svchost.exe的啟動用戶是Administrator，是這臺計算機的超級管理員。windows默認的系統(tǒng)管理員賬號是預(yù)留出來的，系統(tǒng)默認情況下隱藏這個賬號，除非在計算機上沒有其他賬號可用。超級用戶只能有一個，但進一步查看Administrator的文件夾，居然有兩個，這說明服務(wù)器存在病毒，需要我們進一步深入分析。

2 解密

2.1 參數(shù)的含義

參數(shù)中的gulf.moneroocean.stream看起來是個域名，嘗試訪問之后，發(fā)現(xiàn)是門羅幣的網(wǎng)站，那么該病毒極有可能與門羅幣有關(guān)。Monero中文翻譯成門羅幣，是區(qū)款連比特幣的一種。參數(shù)合起來的意思是：通過gulf.moneroocean.stream服務(wù)器從事挖礦活動，將受益放到賬戶為xxxxx的錢包地址當(dāng)中，受益的1%捐贈給這個木馬的開發(fā)人員。

2.2 真假賬戶

至于真假賬號的問題，我們猜想可能是某一個賬號采用了特殊字符，而windows文件系統(tǒng)無法正常顯示這個字符，于是看起來和真正的administrator是一樣的。為了證實這一點，我們把兩個文件夾的名字拷貝到notepad++里，果然原形畢露了。

有一個賬戶用的A其實是希臘字符的A，在windows下看起來和A一模一樣。如果不夠細心的話，很容易認為這個進程就是Administrator起來的，進而容易誤判它為系統(tǒng)進程，達到魚目混珠的目的。

3 手動查殺病毒

手動殺毒不會像殺毒軟件那樣，受病毒庫大小的制約，特別是對于那些新病毒，手動殺毒技術(shù)明顯優(yōu)于使用殺毒軟件進行殺毒（5）。其次，手動殺毒技術(shù)的人工參與性質(zhì)決定了它擁有充分的靈活性，這是作為計算機程序的殺毒軟件無法比擬的。手動殺毒技術(shù)能夠跟蹤單個病毒運行、了解病毒習(xí)性，從而在滅殺病毒后完美修復(fù)曾被起破壞的系統(tǒng)。

通過分析，可以確認這就是門羅幣的挖礦木馬病毒，從任務(wù)管理器將它直接關(guān)掉是很簡單的事，但是難保他憑借什么觸發(fā)器再啟動起來，所以需要找到它的啟動位置并把它徹底刪除才是根本的解決辦法。

手動殺毒一般應(yīng)從幾方面入手：

1）查內(nèi)存，排查可疑進程。目的是為了將病毒從內(nèi)存中清除掉。

2）查啟動項，刪除病毒啟動項。

3）通過病毒啟動項判斷病毒所在位置，從根本上刪除病毒。

4）修復(fù)系統(tǒng)，常見的病毒會對系統(tǒng)部分損壞，必須對損壞的文件或系統(tǒng)進行修復(fù)。

首先，為了保證操作的流暢性，我們先將資源占用率降下來。通過資源管理器只給這個進程分配1個CPU，使之最大CPU占用率不超過25%，這樣我們的手動操作就變得無比流暢。

其次，為了找到這個可執(zhí)行程序的地址，需要在資源管理器增加路徑一欄PATH，可以獲取路徑。這里采用了Powershell來獲取可執(zhí)行文件的物理地址。

通過powershell的命令，我們得出病毒可執(zhí)行文件的物理地址為： c：＼windows＼fonts＼ses＼svhost.exe。不僅隱藏在系統(tǒng)目錄，而且在偽裝成windows的字體文件。但是用這個地址實際上也是不存在的。用資源管理器找不到這個地址，直接在地址欄輸入地址也不行。

經(jīng)過一番查證，這種情況是因為病毒已經(jīng)被操作系統(tǒng)標記為系統(tǒng)文件，并加以隱藏，所以用戶的資源管理器是無法訪問到的。需要使用dos命令來訪問該目錄。