当前位置:>> 首页 >> 杀毒技巧 >> 正文

 

 

 

 
   
征文选登:不知不觉遇Sober,主动防御明导向
  
www.jiangmin.com  2006-1-9 18:10:05  信息出自: 江民科技
  
   
  
作者:曲鼎

   最近以来,关于杀毒软件对未知病毒检测的能力已经被炒的火热。“主动防御”这个概念更是已经深入人心,在网络高速普及的背景下,计算机病毒从产生到传播的周期都已经大大缩短,传统的特征码检测方法已经失去优势并已经渐渐开始成为制肘。在诸多针对“主动防御”策略推出的反病毒产品中,江民的未知病毒检测工具无疑是一款具有建设意义的实用工具。以下便是一例典型的依靠未知病毒检测工具,在没有进行特征码升级的前提下成功杀毒的过程。

   我已经给我的菜鸟朋友电脑上安装了江民杀毒软件,但是最近却总是跟我抱怨感觉使用不正常,怀疑是中毒了。对于一般的病毒求助问题,求助者通常都会被要求使用专用的日志生成类软件(通常如HijackThis等)生成一份系统进程、端口等详细信息,以便分析者分析问题所在。可是出乎意料的是我这位朋友反映HijackThis无法运行,每次双击运行程序就自动退出。问题看来比较严重,于是只好亲自上门查看情况。

   打开机器一看,江民杀毒软件(以下简称江民)的病毒库居然已经是N天以前,而且监控功能打开的也不完全。我生气的扮了一次唐僧跟朋友说:“江民不升级,后果很严重。说了多少次,要升级……”。

   果然跟朋友描述的一样,明显感觉机器速度变慢,而且连HijackThis和Microsoft Windows Malicious Software Removal Tool这个可以通过Windows Update得到的病毒清除小工具也不能使用了。

   虽然也可以采取先升级病毒库再查毒的办法解决这个病毒,但是这样一来无法体现自己的技术含量并且需要等待一些时间,不符合速战速决的初衷。二来因为考虑到机器已经感染上了病毒,连网升级也许未必能成功。于是干脆请出江民的未知病毒检测工具,来一次真正的不依赖特征码升级的主动防御查杀病毒过程。

   如图,在江民杀毒软件的“工具”标签下就可以打开未知病毒检测工具,菜单条选择后即为直接运行,非常方便。

 

             (图1 运行江民杀毒软件未知病毒检测工具)

   该工具主要有两个功能,一是根据其内置病毒行为规则检测未知病毒,二是支持用户自定义程序检测。扫描结果将程序的可疑程度分为三档(按百分比标出):0~25%是“一般可疑”、25%~75%是“中度可疑”、75%~95%是“高度可疑”,而被标示为中度或者高度可疑的程序一般就是病毒。根据我的日常使用经验,在实际使用中检测结果显示为“一般可疑”的项目一般多是些广告类程序插件或者常见的安全类软件(杀毒软件、防火墙、系统监控程序等),对这些项目的鉴别大家应该根据实际情况取舍。当然如果对检测的结果不放心,大家还可以选择“上报样本“功能将可疑程序发送给江民公司进行分析。

   检测工具运行结果如图,其中位于C:\WINDOWS\WinSecurity目录下的被标注为“中度可疑”的services.exe进程十分醒目。(附:这里两个被标注为“一般可疑”的项目分别为某注册表监控程序和系统恢复软件)

   我们知道,正常的系统进程中是会有一个services.exe进程的,但是其路径应该是在C:\WINDOWS\System32下才对。由于操作系统自带的任务管理器功能比较简单,不能查看进程所对应的路径,为了确认这个问题,遂请出IceSword(v.1.12)来查看进程。查看进程的工具有很多,选择IceSword的理由是其不但可以显示进程对应路径,还能查看一些隐藏进程,作为一款不可多得的利器,称其为“冰剑”实在是名副其实。如图。

 

        (图2 使用IceSword查看系统进程及对应路径)

   真是不看不知道,一看吓一跳。IceSword的进程项目下除了显示%system32%文件夹下三个正常的系统基本进程smss.exe、csrss.exe、services.exe以外(进程PID分别为460、528、596),居然还有三个相同的进程但是对应在C:\WINDOWS\WinSecurity目录下,亦如未知病毒检测工具所示。
看来C:\WINDOWS\WinSecurity这个目录一定有问题,应该就是病毒的藏身之地,况且正常的系统是没有这个文件夹的。打开这个文件夹一看,病毒文件果然悉数现身。如图3,正好对应着进程中三个病毒文件,一个不差。(指此处三个扩展名为exe的文件)

    有病毒文件肯定就有启动项目。同时按下Win+R组合键,打开“运行”窗口后输入msconfig回车,在“系统配置实用程序”的启动标签下,果然看到有注册表RUN键下面对应services.exe进程的启动项目。
可是在同时删除WinSecurity目录和services启动项目后,重起机器却发现病毒启动项目依旧。这是怎么回事呢?

   相信每个反病毒能手所共同具有的特点就是耐心和细心。于是深入病毒启动项目的大本营“注册表”中仔细查看。在分别查看了HKCU(当前用户)和HKLM(本地机器)两个项目的RUN键后,才发现病毒启动项目的一个细小不同。分别如图4、5。

 
         (图3 病毒体文件所在文件夹)
 

         (图5 注册表HKLM项目下的自启动键值)


 
         (图4 注册表HKCU项目下的自启动键)

    这里细心的朋友就会发现HKCU项目下的自启动键多了一个下划线“_”,这样就造成了在msconfig配置程序中没有显示出来。

   至此,这个病毒就算解决了。那么,它到底是何方神圣呢?原来它就是最近国际上很流行的蠕虫病毒:I-Worm/Sober.s(jiangmin)、Email-Worm.Win32.Sober.y(kaspersky)。大家可以根据命名搜索得到更多的详细信息。

   此例,一方面体现了典型的清除蠕虫病毒(Worm)的一般方法,另一方面是侧重于未进行特征码更新的条件下依靠未知病毒检测工具发现和清除病毒的成功实例。在病毒产生到传播速度飞快的网络环境下,这也使我们更加具体的感受到了杀毒软件“主动防御”的必要性和迫切性。而江民杀毒软件的未知病毒检测工具无疑已经走在了技术的前列。

   对于(邮件型)蠕虫的防御,大家应该切记以下要点:

1、对于采用登陆Web方式收发邮件的用户,要注意自己浏览器的补丁(如IE),应该确保补丁为最新;

2、对于使用第三方邮件收发客户端管理邮件的用户,应该注意工具的安全级别设置和补丁,如OE、Foxmail等;

3、在打开邮件附件的时候,一定要使用最新病毒库的杀毒软件扫描。