木马和蠕虫有相似的地方,都是程序,都运行在目标机器上,并且目前的程序,有木马和蠕虫甚至和病毒相结合的趋势。
不过只要是木马和蠕虫,没有病毒的特征,那么,至少,它不会感染文件,如果感染的话,也是文件完全被木马和蠕虫所代替,而原来文件本身,因为木马和蠕虫要隐藏自己,这个文件必然还要保留以实现本身的功能,所以一般是被他们改名或移动位置。
根据以上特点,所以,木马和蠕虫在一般情况下,是可以手动清除的,个别比如某些版本的求职信,某些版本的冰河,都带有寄生功能,所以,手动清除是不可能了,这些就要跟病毒的清除方法一样了,不再多说。
既然木马和蠕虫,都要在目标机器上运行,我们就看看,他们一般都采取什么方法。
1.注册表
注册表里,也是最多的一种,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,或者runonce,runservice,runserivceonce;或者在HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。runonce,runservice,runserviceonce。
并且运行以run和runservice为多,因为带once的,运行了就从里面删除掉了,要想再运行,就要在关闭系统的时候,再加上,这样的程序有好处也有坏处,好处是看不到注册表里的运行痕迹,但坏处是,如果对方不正常关机,那就没办法加载了,不过这些程序不会用一种方法的,所以这种情况也可能出现。
2.服务
运行在服务里,也是很好的方法,并且服务里运行的东西也很多,不是非常熟悉的话,的确很难判断哪个是木马或蠕虫程序。
3.文件关联
如果放在注册表的run里面,也是容易被发现并且删除的,所以,他们一般采取的备用措施都是关联文件,很多都是关联txt或exe文件,只要你打开这些文件,备用程序就会运行,并且再生成服务文件。
4.在system.ini的shell里
shell=eXPlorer,这个是默认的,不过有些程序会修改这里
或者是shell=其他程序,或者是shell=explorer,其他程序
后者的好处是,运行后隐藏在explorer的进程里了,在进程列表里不好找到。
5.win.ini里的load和run
这里也是加载东西的好地方
知道了如何运行,就可以针对性的清除了。
首先,运行regedit,如果这个时候不能运行,那就可能是exe文件被关联了,并且关联文件有问题,如果可以运行,还好说点,这个时候察看进程,把可疑的进程终止掉,这个顺序的用意是,防止关联文件重新启动程序。
终止掉后,察看上面说的地方,是否有可疑的程序存在,有则删除之,不能确定的话,有个简单判断方法,因为木马程序为了隐藏自己,一般用了比较隐蔽的图标,而这个又暴露了他自己,比如你看到运行里的程序,图标居然是个文本文件的图标,这肯定不对,因为文本文件图标本身不可能在自动运行里面的。
删除之前纪录下文件位置,删除后,找到文件,删除之,如果不能删除,那么就还在运行,也就是刚才进程里面没有终止掉,或者没在进程里,看看服务里有没有相关的部分,然后停止或者删除。如果文件不能删除,下次启动到安全模式,把文件删除。
察看txt和exe等等文件的关联,恢复默认设置,有的是修改dll文件的打开方式的,也修改回去。有的人要问了,这么多文件关联,如何看的出来呢?
其实,你删除文件并且重新启动后,看看那些删除掉的东西是否有死灰复燃了,通过这些,很容易判断是通过什么方式重新加载的。
察看上面说的其他地方,是否有了变化,因为其他地方变化是很容易看的出来的,修改并且删除相关文件。
在执行完了这些东西后,我们再重起一次计算机,察看是否还有问题,如果还有,就要进一步检查了。
有的程序比较黑,让你无法判断,进程里没什么太大变化,比如你看到运行里有c:\windows\system\scanregw.exe,你会怎么办?其实,这样的程序如果熟悉,就会知道了,scanregw文件是在windows目录,而不是system目录,所以察看的时候,一定要注意目录是否正确。还有的程序,是把原来程序替换掉,然后自己代替位置,不过一般会把原来程序改名或移动位置的,比如QQ密码盗贼,就是替换掉了输入法,这个也是比较容易判断的,可以察看运行里的正常程序的文件时间,文件大小来判断是否已经被替换,可以通过系统文件检查器来协助完成。
现在蠕虫很多通过scripts来调用,很多是通过系统漏洞,这个可以通过补丁来解决。
[1] [2]
现在拿我第一次清除新happy病毒(VBS.KJ)的过程,来介绍一下,因为当时它刚出现,所以具体症状和发作都没看资料,所以应该会对大家有点帮助吧。
在我察看的时候,首先打开注册表,查看了进程,看到几个可疑的,终止掉,看到注册表里运行中有kernel.dll,查找到文件,删除掉,删除之前我多了个心眼,察看了下这个文件内容,是scripts的,可见dll文件关联被修改了,回去找到dllfiles,把里面的东西按照正常的键值修改回来。这个程序主要是还生成了很多desktop.ini和folder.htt,取消按web页查看,防止察看的时候运行里面程序,查找文件,并且删除掉时间比较新的那些。重新启动,然后察看注册表里被我修改了的东西,是否有变化,没有变化,进程里也正常,本次查杀过程结束。
另外一次也很有代表性,系统98,在一次玩游戏的时候,FTP2000看到进程里有个qq密码盗贼1.2版,现在就介绍这个程序的查杀过程。
查看进程,注册表,删除掉可疑的东西以及文件,基本操作跟上面差不多,重新启动计算机后,居然它又出现了,重新上面步骤,重新启动到安全模式,这次没有出现,察看注册表,也没什么可疑的。
这个时候想到是否替换了文件,目光放到了internat.exe文件,也就是输入法文件。查找文件,居然找到了三个,其中两个文件大小一样,另外一个大小不同,时间也不一样,当然,有一个扩展名非exe,扩展名是什么现在也忘了,不好意思,把这个不是exe的改回exe,其他文件改名备份,修改完后,重新启动,这个时候,进程里没有了这个文件,说明他就是利用了输入法这个程序做掩护来运行的,然后把备份的文件删除,这次查杀结束
(出处:http://www.sheup.com)
[1] [2]