防病毒技術(shù)培訓(xùn)

1、防病毒技術(shù)培訓(xùn),病毒處理技術(shù),掌握反病毒知識(shí) 熟悉反病毒工具的使用 培養(yǎng)現(xiàn)場反病毒應(yīng)急響應(yīng)能力,課程目標(biāo),病毒概述 1.1 當(dāng)前面臨的威脅 1.2 計(jì)算機(jī)病毒的分類 1.3 當(dāng)前病毒流行的趨勢 常見病毒類型說明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動(dòng)方式 2.3 常見病毒行為,培訓(xùn)課程安排,病毒處理技術(shù) 3.1 趨勢防病毒產(chǎn)品工作機(jī)制介紹 3.2 病毒問題標(biāo)準(zhǔn)處理流程 3.3 常用的病毒處理方法 3.4 常用工具介紹 典型病毒案例分析,培訓(xùn)課程安排,病毒概述,1. 病毒概述,病毒概述 1.1 當(dāng)前用戶面臨的威脅 1.2 計(jì)算機(jī)病毒的分類 1.3 當(dāng)前病毒流行趨勢 常見病毒類型說

2、明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動(dòng)方式 2.3 常見病毒行為,課程進(jìn)度,1.1 當(dāng)前用戶面臨的威脅,隨著互聯(lián)網(wǎng)的發(fā)展，我們的企業(yè)和個(gè)人用戶在享受網(wǎng)絡(luò)帶來的快捷和商機(jī)的同時(shí)，也面臨無時(shí)不在的威脅： 病毒 PE 蠕蟲 WORM 木馬 TROJ 后門 BKDR 間諜軟件 TSPY 其他 以上統(tǒng)稱為惡意代碼。,1.1 當(dāng)前用戶面臨的威脅,防間諜軟件產(chǎn)品覆蓋范圍,防病毒產(chǎn)品覆蓋范圍,1.2 現(xiàn)代計(jì)算機(jī)病毒的分類,病毒,特洛伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),惡意程序： 一種會(huì)帶來

3、危害結(jié)果的程序,特洛伊木馬： 一種會(huì)在主機(jī)上未經(jīng)授權(quán)就自己執(zhí)行的惡意程序,后門木馬： 一種會(huì)在主機(jī)上開放端口讓遠(yuǎn)程計(jì)算機(jī)遠(yuǎn)程訪問的惡意程序,1.2 現(xiàn)代計(jì)算機(jī)病毒的分類,病毒,特洛伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),病毒： 病毒會(huì)復(fù)制（感染）其它文件通過各種方法 前附著 插入 C. 覆蓋 D. 后附著,蠕蟲: 蠕蟲自動(dòng)傳播自身的副本到其他計(jì)算機(jī)： 通過郵件（郵件蠕蟲） 通過點(diǎn)對點(diǎn)軟件 (點(diǎn)對點(diǎn)蠕蟲) 通過IRC (IRC 蠕蟲) 通過網(wǎng)絡(luò) (網(wǎng)絡(luò)蠕蟲),1.2 現(xiàn)代計(jì)算機(jī)病毒的分類,病毒,特洛

4、伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),間諜軟件： 此類軟件會(huì)監(jiān)測用戶的使用習(xí)慣和個(gè)人信息，并且會(huì)將這些信息在未經(jīng)用戶的認(rèn)知和許可下發(fā)送給第三方。包括鍵盤紀(jì)錄，事件日志，cookies，屏幕信息等，或者是上面所列的信息的組合。 對系統(tǒng)的影響表現(xiàn)為系統(tǒng)運(yùn)行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當(dāng)機(jī)。,惡意程序,灰色地帶,間諜軟件,不同種類的間諜軟件,1.3 當(dāng)前病毒流行趨勢,范圍：全球性爆發(fā)逐漸轉(zhuǎn)變?yōu)榈赜蛐员l(fā) 如WORM_MOFEI.B等病毒逐漸減少 TSPY_QQPASS, TSPY_WOW, PE_L

5、OOKED等病毒逐漸增加 速度：越來接近零日攻擊(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等 方式：病毒、蠕蟲、木馬、間諜軟件聯(lián)合 如PE_LOOKED病毒感染的同時(shí)也會(huì)從網(wǎng)絡(luò)下載感染TSPY_LINAGE病毒,常見病毒類型說明及行為分析,2. 常見病毒類型說明及行為分析,病毒概述 1.1 當(dāng)前用戶面臨的威脅 1.2 計(jì)算機(jī)病毒的分類 1.3 當(dāng)前病毒流行趨勢 常見病毒類型說明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動(dòng)方式 2.3 常見病毒行為,課程進(jìn)度,木馬病毒： TROJ_XXXX.XX 后門程序： BKDR_XXXX.XX 蠕蟲病毒

6、： WORM_XXXX.XX 間諜軟件： TSPY_XXXX.XX 廣告軟件： ADW_XXXX.XX 文件型病毒： PE_XXXX.XX 引導(dǎo)區(qū)病毒：目前世界上僅存的一種引導(dǎo)區(qū)病毒 POLYBOOT-B,趨勢科技對惡意程序的分類,病毒感染系統(tǒng)時(shí)，感染的過程大致可以分為： 通過某種途徑傳播，進(jìn)入目標(biāo)系統(tǒng) 自我復(fù)制,并通過修改系統(tǒng)設(shè)置實(shí)現(xiàn)隨系統(tǒng)自啟動(dòng) 激活病毒負(fù)載的預(yù)定功能如： 打開后門等待連接 發(fā)起DDOS攻擊 進(jìn)行鍵盤記錄 ,2 病毒感染的一般方式,除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實(shí)現(xiàn)感染系統(tǒng)的目的。對于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有

7、所不同。,2.1 常見病毒傳播途徑,2.1 常見病毒傳播途徑,傳播方式主要有： 電子郵件 網(wǎng)絡(luò)共享 P2P 共享 系統(tǒng)漏洞 移動(dòng)磁盤傳播,2.1 常見病毒傳播途徑,電子郵件 HTML正文可能被嵌入惡意腳本， 郵件附件攜帶病毒壓縮文件 利用社會(huì)工程學(xué)進(jìn)行偽裝，增大病毒傳播機(jī)會(huì) 快捷傳播特性 例：WORM_MYTOB，WORM_STRATION等病毒,2.1 常見病毒傳播途徑,網(wǎng)絡(luò)共享 病毒會(huì)搜索本地網(wǎng)絡(luò)中存在的共享，包括默認(rèn)共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通過空口令或弱口令猜測，獲得完全訪問權(quán)限 病毒自帶口令猜測列表 將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中 通常以游戲,CDKEY等相

8、關(guān)名字命名 例：WORM_SDBOT 等病毒,2.1 常見病毒傳播途徑,P2P共享軟件 將自身復(fù)制到P2P共享文件夾 通常以游戲,CDKEY等相關(guān)名字命名 通過P2P軟件共享給網(wǎng)絡(luò)用戶 利用社會(huì)工程學(xué)進(jìn)行偽裝，誘使用戶下載 例：WORM_PEERCOPY.A等病毒,2.1 常見病毒傳播途徑,系統(tǒng)漏洞 由于操作系統(tǒng)固有的一些設(shè)計(jì)缺陷,導(dǎo)致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代碼,這就是系統(tǒng)漏洞. 病毒往往利用系統(tǒng)漏洞進(jìn)入系統(tǒng), 達(dá)到傳播的目的。 常被利用的漏洞 RPC-DCOM 緩沖區(qū)溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Lo

9、cal Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒,2.1 常見病毒傳播途徑,案例 SQL Slammer 攻擊網(wǎng)絡(luò)上任意IP的1434端口，實(shí)現(xiàn)DDOS攻擊 造成大量網(wǎng)絡(luò)流量，阻塞網(wǎng)絡(luò) 2005年3月，國內(nèi)某銀行一臺(tái)服務(wù)器感染該病毒，導(dǎo)致核心交換機(jī)負(fù)載達(dá)到99%，引起網(wǎng)絡(luò)癱瘓 從ServerProtect日志中確認(rèn)為SQL Slammer病毒 SQL服務(wù)器未安裝補(bǔ)丁 安裝SQL Server 2000 SP3，并再次使用ServerProtect查殺病毒，問題解決。,2.1 常見病毒傳播途徑,其他常見病毒

10、感染途徑： 網(wǎng)頁感染 與正常軟件捆綁 用戶直接運(yùn)行病毒程序 由其他惡意程序釋放 目前大多數(shù)的木馬、間諜軟件等病毒都是通過這幾種方式進(jìn)入系統(tǒng)。它們通常都不具備傳播性。,廣告軟件/灰色軟件 由于廣告軟件/灰色軟件的定義，它們有時(shí)候是由用戶主動(dòng)安裝，更多的是與其他正常軟件進(jìn)行綁定。,2.1 常見病毒傳播途徑,及時(shí)更新系統(tǒng)和應(yīng)用軟件補(bǔ)丁，修補(bǔ)漏洞 強(qiáng)化密碼設(shè)置的安全策略，增加密碼強(qiáng)度 加強(qiáng)網(wǎng)絡(luò)共享的管理 增強(qiáng)員工的病毒防范意識(shí),2.1 防止病毒入侵,針對病毒傳播渠道，趨勢科技產(chǎn)品應(yīng)用 利用OfficeScan的爆發(fā)阻止功能，阻斷病毒通過共享和漏洞傳播,2.1 防止病毒入侵,自啟動(dòng)特性 除引導(dǎo)區(qū)病毒外，

11、絕大多數(shù)病毒感染系統(tǒng)后，都具有自啟動(dòng)特性。 病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運(yùn)行的基礎(chǔ)上的，這就決定了病毒必然要通過對系統(tǒng)的修改，實(shí)現(xiàn)開機(jī)后自動(dòng)加載的功能。,2.2 病毒自啟動(dòng)方式,修改注冊表 將自身添加為服務(wù) 將自身添加到啟動(dòng)文件夾 修改系統(tǒng)配置文件,加載方式 服務(wù)和進(jìn)程病毒程序直接運(yùn)行 嵌入系統(tǒng)正常進(jìn)程DLL文件和OCX文件等 驅(qū)動(dòng)SYS文件,修改注冊表 注冊表啟動(dòng)項(xiàng) 文件關(guān)聯(lián)項(xiàng) 系統(tǒng)服務(wù)項(xiàng) BHO項(xiàng) 其他,2.2 病毒自啟動(dòng)方式,注冊表啟動(dòng) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices R

12、unServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices 以上這些鍵一般用于在系統(tǒng)啟動(dòng)時(shí)執(zhí)行特定程序,2.2 病毒自啟動(dòng)方式,文件關(guān)聯(lián)項(xiàng) HKEY_CLASSES_ROOT下： exefileshellopencommand =%1 %* comfileshellopencommand =%1 %* batfileshellopencommand =%1 %* htafileShellOpenCommand =%1 %* piffile

13、shellopencommand =%1 %*“ 病毒將%1 %*改為 “virus.exe %1 %* virus.exe將在打開或運(yùn)行相應(yīng)類型的文件時(shí)被執(zhí)行,2.2 病毒自啟動(dòng)方式,修改配置文件 %windows% wininit.ini中Rename節(jié) NUL=c:windowsvirus.exe 將c:windowsvirus.exe設(shè)置為NUL,表示讓windows在將virus.exe 運(yùn)行后刪除. Win.ini中的windows節(jié) load = virus.exe run = virus.exe 這兩個(gè)變量用于自動(dòng)啟動(dòng)程序。 System.ini 中的boot節(jié) Shell =

14、 Explorer.exe,virus.exe Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。,2.2 病毒自啟動(dòng)方式,病毒常修改的Bat文件 %windows%winstart.bat 該文件在每次系統(tǒng)啟動(dòng)時(shí)執(zhí)行，只要在該文件中寫入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行。 Autoexec.bat 在DOS下每次自啟動(dòng),2.2 病毒自啟動(dòng)方式,修改啟動(dòng)文件夾 當(dāng)前用戶的啟動(dòng)文件夾 可以通過如下注冊表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 項(xiàng) 公共的啟動(dòng)文件夾 可以通過如下注

15、冊表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 項(xiàng) 病毒可以在該文件夾中放入欲執(zhí)行的程序， 或直接修改其值指向放置有要執(zhí)行程序的路徑。,2.2 病毒自啟動(dòng)方式,病毒感染系統(tǒng)后，無疑會(huì)對系統(tǒng)做出各種修改和破壞。有時(shí)病毒會(huì)使受感染的系統(tǒng)出現(xiàn)自動(dòng)彈出網(wǎng)頁、占用高CPU資源、自動(dòng)彈出/關(guān)閉窗口、自動(dòng)終止某些進(jìn)程等各種不正?，F(xiàn)象。,2.3 常見病毒行為,無論病毒在系統(tǒng)表現(xiàn)形式如何 我們需要關(guān)注的是病毒的隱性行為！,下載特性 很多木馬、后門程序間諜軟件會(huì)自動(dòng)連接到Internet某Web

16、站點(diǎn)，下載其他的病毒文件或該病毒自身的更新版本/其他變種。 后門特性 后門程序及很多木馬、蠕蟲和間諜軟件會(huì)在受感染的系統(tǒng)中開啟并偵聽某個(gè)端口，允許遠(yuǎn)程惡意用戶來對該系統(tǒng)進(jìn)行遠(yuǎn)程操控。有時(shí)候病毒還會(huì)自動(dòng)連接到某IRC站點(diǎn)某頻道中，使得該頻道中特定的惡意用戶遠(yuǎn)程訪問受感染的計(jì)算機(jī)。,下載與后門特性-Downloader HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,檢查注冊表中常見的病毒自動(dòng)加載項(xiàng),檢查服務(wù): 在控制面板-管理工具-服務(wù)中，查看是否存在可疑服務(wù)。若無法確定服務(wù)是否可疑，可直接查看該服務(wù)屬性，檢查服務(wù)所指向的文件

17、。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會(huì)介紹)。對于不正常的服務(wù)，可直接在注冊表中刪除該服務(wù)的主鍵。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,檢查注冊表中常見的病毒自動(dòng)加載項(xiàng),檢查Winlogon加載項(xiàng) 在注冊表中檢查Winlogon相關(guān)加載項(xiàng)： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = Explorer.exe (默認(rèn)) Userinit=C:WINDOWSsystem32userinit.exe,(默認(rèn)) 以

18、上Shell和Userinit鍵值為默認(rèn)，若發(fā)現(xiàn)被修改，可直接將其修改為默認(rèn)鍵值。,檢查注冊表中常見的病毒自動(dòng)加載項(xiàng),檢查Winlogon加載項(xiàng) 在注冊表中檢查Winlogon Notify相關(guān)加載項(xiàng)： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify下會(huì)有多個(gè)主鍵(目錄)，每個(gè)主鍵中的DllName鍵值將指向一個(gè)DLL文件。若發(fā)現(xiàn)有指向可疑的DLL文件時(shí)，請先確認(rèn)其指向的DLL是否正常。若不正常，可直接刪除這個(gè)主鍵。,檢查注冊表中常見的病毒自動(dòng)加載項(xiàng),檢查其他加載項(xiàng) 在注冊表中檢

19、查以下注冊表加載項(xiàng)鍵值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs = “” HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Load = “” 該鍵值默認(rèn)為空。若鍵值被修改，可直接將鍵值內(nèi)容清空。,檢查注冊表中常見的病毒自動(dòng)加載項(xiàng),檢查Browser Help Object(BHO)項(xiàng) BHO項(xiàng)在注冊表中包含以下主鍵的內(nèi)容： HKEY_LOCAL_MACHINESOFTWAREMicrosof

20、tWindowsCurrentVersionExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID 可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主鍵中查看BHO項(xiàng)所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時(shí)，可直接刪除以上注冊表路徑下所有包含了該CLSID的主鍵。 使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項(xiàng)。該工具使用方法稍后會(huì)介紹。,檢查注冊表中的BHO項(xiàng),如何判斷文件是否可疑？ 所有的Windows正常系統(tǒng)文件都包含完整的版本信息。若文件無版本信息，或版本信息異常，則可判斷為可疑文件。直接

21、刪除這樣的文件不會(huì)對系統(tǒng)造成影響。,系統(tǒng)中的可疑文件,查看文件版本信息 Google之 聯(lián)系趨勢科技工程師,如何迅速查找這些可疑文件？ 對于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時(shí)間的文件：,系統(tǒng)中的可疑文件,%SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers,可執(zhí)行文件 .EXE，.COM，.SCR，.PIF DLL文件和OCX文件 LOG文件有一些病毒會(huì)將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開查看其內(nèi)容是否為文本。若為亂碼，則可疑。,病毒文件被隱藏，如何查找？ 在工具-文件夾選項(xiàng)中，選擇

22、“顯示所有文件”并取消“隱藏受保護(hù)的系統(tǒng)文件”復(fù)選框。 仍然無法顯示隱藏文件？ 檢查注冊表鍵值，確認(rèn)其為以下值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN CheckedValue = 2 DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue = 1 Default

23、Value = 2,查找可疑文件可能遇到的問題,修復(fù)被病毒修改的host文件 一些病毒會(huì)修改系統(tǒng)的host文件，使用戶無法訪問某些網(wǎng)站，或在用戶訪問某些網(wǎng)站時(shí)，重定向到某些惡意站點(diǎn)。 檢查文件： %SystemRoot%System32driversetchost 使用文本編輯工具打開該文件檢查。默認(rèn)該文件包含一條host記錄： localhost 若有其他可疑的host記錄，可以直接刪除多余的記錄。,檢查并修復(fù)host文件,病毒經(jīng)常存在于臨時(shí)目錄中 清空所有以上的目錄。,刪除所有臨時(shí)文件,%SystemRoot%Temp C:Temp Internet臨時(shí)文件 C:Doc

24、uments and SettingsLocal SettingsTemp,應(yīng)用實(shí)例 HijackThis Process Explorer IceSword LSPFix & winsockfix SIC 3.0 Autoruns 其他工具 TCPView 分析網(wǎng)絡(luò)連接 Regmon,InstallRite 監(jiān)視注冊表 Filemon,InstallRite 監(jiān)視文件系統(tǒng) WinPE,3.4 常用工具介紹,3.4 常用工具介紹-TCP View,TCP View 功能: 查看系統(tǒng)的網(wǎng)絡(luò)連接信息(遠(yuǎn)程地址,協(xié)議,端口號) 查看系統(tǒng)的網(wǎng)絡(luò)連接狀況(發(fā)起連接,已連接,已斷開) 查看進(jìn)程打開的端口

25、動(dòng)態(tài)刷新列表 多用于查看 蠕蟲,后門,間諜等惡意程序,3.4 常用工具介紹-Regmon,Regmon主要功能: 監(jiān)視系統(tǒng)中注冊表的操作: 如 注冊表的打開,寫入,讀取,查詢,刪除,編輯等 多用于監(jiān)視病毒的自啟動(dòng)信息和方式.,3.4 常用工具介紹-Filemon,Filemon主要功能: 監(jiān)視文件系統(tǒng)的操作: 如建立文件,打開文件,寫文件, 讀文件,查詢文件信息等 多用于查找Dropper的主體程序.,3.4 常用工具介紹-InstallRite,InstallRite功能: 跟蹤文件系統(tǒng)的變化 跟蹤注冊表的變換 注:若惡意程序帶有RootKit功能, 請重啟后進(jìn)入安全模式再分析系統(tǒng)變化(如灰

26、鴿子某些變種) 局限性: 解決方法 無法跟蹤進(jìn)程樹的變化 Process Explorer 無法跟蹤網(wǎng)絡(luò)連接和端口情況 TCP Viewer,典型病毒案例分析,4. 典型病毒案例分析,病毒處理技術(shù) 3.1 趨勢防病毒產(chǎn)品工作機(jī)制介紹 3.2 病毒問題標(biāo)準(zhǔn)處理流程 3.3 常用的病毒處理方法 3.4 常用工具介紹 典型病毒案例分析,課程進(jìn)度,4. 典型病毒案例分析,案例1： 后門：灰鴿子 【BKDR_HUPIGON.G】 案例2： 木馬：傳奇木馬 【TROJ_LEGMIR.CN】 案例3： 蠕蟲： 【W(wǎng)ORM_LOVGATE.AE】 案例4： PE病毒 【PE_LOOKED.ID-O】,4.1

27、案例1：灰鴿子 BKDR_HUPIGON.G,灰鴿子的自行安裝 在無意中執(zhí)行了灰鴿子后門程序后, 會(huì)在windows目錄中釋放4個(gè)文件： G_SERVER.DLL G_SERVER.EXE 【 copy of itself 】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技術(shù)隱藏以上文件， 導(dǎo)致用戶手工查看時(shí)不可見。,4.1 案例1：灰鴿子 BKDR_HUPIGON.G,灰鴿子的自啟動(dòng)：注冊為服務(wù) 通過將自身注冊成服務(wù)，并添加以下注冊表服務(wù)項(xiàng)，常駐內(nèi)存 HKEY_LOCAL_MACHINESystemCurrentControlSetServices

28、GrayPigeonServer 執(zhí)行后門功能： 打開一個(gè)隨機(jī)的端口，允許遠(yuǎn)程用戶連接受感染系統(tǒng)。 一旦連接成功，它將在本地執(zhí)行以下命令 Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Internet to the affected system Log keystrokes Inject proces

29、ses,4.1 案例1：灰鴿子 BKDR_HUPIGON.G,清除灰鴿子 BKDR_HUPIGON.G 以windows XP 為例，步驟如下 ： 關(guān)閉XP系統(tǒng)還原； 重啟進(jìn)入安全模式，由于正常模式下文件不可見； 打開文件夾的顯示隱藏文件、系統(tǒng)文件功能； 找到并刪除window目錄下灰鴿子的4個(gè)文件； 打開regedit，刪除HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeonServer項(xiàng) ； 清除完成。,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,用于盜取一款網(wǎng)絡(luò)游戲傳奇的游戲用戶信息（帳號、密碼等），并

30、通過電子郵件將偷到的信息發(fā)送給遠(yuǎn)程的惡意用戶。 該木馬執(zhí)行后，會(huì)在windows系統(tǒng)文件夾中釋放以下文件： OBJECTSl.WIX PRGUSEl0.WIX PRGUSEl1.WIX SVCH0ST.EXE a copy of itself,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,該木馬創(chuàng)建以下注冊表鍵值 HKEY_CLASSES_ROOTPrgusel1.classname HKEY_CLASSES_ROOTCLSID081FE200-A103-11D7-A46D-C770E4459F2F HKEY_LOCAL_MACHINESOFTWAREClassesPrgusel1.

31、classname HKEY_LOCAL_MACHINESOFTWAREClassesCLSID081FE200-A103-11D7-A46D-C770E4459F2F HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks081FE200-A103-11D7-A46D-C770E4459F2F = hookmir,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,清除傳奇木馬 TROJ_LEGMIR.CN 以windows XP 為例，步驟如下： 關(guān)閉XP系統(tǒng)還原； 標(biāo)識(shí)病毒程

32、序和文件：更新病毒庫，用趨勢產(chǎn)品掃描； 結(jié)束病毒相關(guān)的惡意進(jìn)程：進(jìn)程管理器，Process Explorer 刪除病毒相關(guān)的注冊表項(xiàng)：（具體項(xiàng)見前頁）； 清除完成。,4.3 案例3：WORM_LOVGATE.AE,WORM_LOVGATE.AE的自身安裝 該蠕蟲會(huì)在執(zhí)行后，生成以下文件： %System%hxdef.exe %System%IEXPLORE.exe %System%kernel66.dll %System%RAVMOND.exe %System%TkBellExe.exe %System%Update_OB.exe %Windows%SYSTRA.EXE %Windows% s

33、vchost.exe 并在Windows system目錄中釋放以下后門組件 LMMIB20.DLL MSJDBC11.DLL MSSIGN30.DLL ODBC16.DLL SPOLLSV.EXE NETMEETING.EXE IEXPLORER.EXE 其中的DLL文件被檢測為WORM_LOVGATE.Q，EXE文件被檢測為WORM_LOVGATE.V,4.3 案例3：WORM_LOVGATE.AE,WORM_LOVGATE.AE的自啟動(dòng)： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下， WinHelpC:WIND

34、OWSSystem32TkBellExe.exe“ Shell Extension = %System%spollsv.exe“ Hardware Profile = %System%hxdef.exe“ Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg“ Microsoft NetMeeting Associates, Inc.NetMeeting.exe“ Program In WindowsC:WINDOWSSystem32IEXPLORE.EXE VFW Encoder/Decoder Settings = RUNDLL32

35、.EXE MSSIGN30.DLL ondll_reg“ HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows下， runRAVMOND.exe“,4.3 案例3：WORM_LOVGATE.AE,通過修改注冊表，將自身注冊成服務(wù): HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下, COM+ System = svchost.exe “ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurre

36、ntVersionRunServices 下， SystemTra = C:WINDOWSSysTra.EXE “ HKEY_LOCAL_MACHINESystemCurrentControlSetServices下 注冊 _reg和 Windows Management Protocol v.0 (experimental)兩個(gè)服務(wù) 對基于NT的系統(tǒng), 它會(huì)添加一個(gè)AUTORUN.INF文件,該文件允許window的自動(dòng)播放功能來執(zhí)行系統(tǒng)根目錄下的 COMMAND.EXE. 它還會(huì)創(chuàng)建相關(guān)的注冊表項(xiàng)： HKEY_LOCAL_MACHINESoftwareClassesAutoRun2ShellAutoRuncommand下， Default =