典型优盘病毒tel.xls.exe分析与清除方法详解 - 打造国内专业网络安全动画技术交流站点---黑客动画$黑客教程$安全培训$黑软下载$黑客动画教程$黑客软件$黑客工具$菜鸟入门

大家好！我接触病毒的时间已经比较久了，也曾经痴迷过一段时间。
长期游荡在绅博/剑盟/中天/龙族，抓样本分析，测试等等。
装过的杀软也接近百款了，现在虽然没有以前那么痴迷了，不过还是比较关注。
最近在铁军的博客上看到金山论坛有这样一个活动，也想小试一下牛刀，班门弄斧一下。
其实我的分析里面主要还是讲方法，希望大家也能掌握基本的病毒分析方法，
期望能和大家共同进步！谢谢！

今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早，之所以说它，
是因为它是一个比较典型的优盘病毒，而且变种比较难以消灭。
优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。
当然也有后期的以vb脚本引导的，那就更难处理了，而且往往打不开优盘，
可以用Win+R, 然后直接输入盘符名打开优盘。

tel.xls.exe作为一个优盘病毒，也不例外。
tel.xls.exe被感染后，会释放文件进入system32目录，同时会把自己复制到
每一个盘符中，监听本地端口，窃取主机信息并发送，其行为类似木马。

下面我来一步一步详细讲解：

1.首先当然是构建测试环境，真机测试比较危险，不推荐。
我用的是虚拟机，虚拟机优点是使用方便，而且不会影响实机。
就是先期配置烦一点，而且对机器配置要求比较高。
如果是配置差或者懒得去弄虚拟机，可以装个影子系统。
Windows下的虚拟机又分VMWare和Virtual PC两种，实现虚拟的原理不同，目的是一样的。
Virtual PC已经被微软收购，从07版开始只能在windows里虚拟windows，呵呵，垄断啊，
不过有个好处，VPC2007是免费的。
VMWare则可以在Windows下虚拟几乎所有操作系统，windows/dos/linux/freebsd等等。
不过是收费软件。
虚拟机装好之后，只要再安装一下软件自带的插件，就能与真机交换文件了。
非常好用。另外，虚拟机一般用桥接网络上网，非常好用。
我下面就以免费的VPC 2007来演示啦~

2.其次是抓样本，当然你优盘里面有现成的样本就更好了
有些论坛的样本区就有样本，上去下一个。

3. （这个病毒破坏力太强，之前的英文版系统的svchost.exe被破坏，无法开机，
不高兴修复了，直接改用新装的中文WinXP，所以这边会出现两个系统的截图）
下载后解压，发现看不到文件，
其实是因为病毒的文件属性是隐藏的系统文件。
必须进文件夹选项修改一下，把划红线的地方修改一下，
顺便把后缀也显示出来~
文件就可见了~

1.jpg (45.13 KB)

2008-10-22 15:05

4.接下来，可以把文件传到多引擎扫描网站上看看，
比如VirScan.org, 类似的网站还有Virus Total, Jotti's Malware Scan等。
一来可以“验明正身”，看看这个到底是不是病毒。
而来可以看看各个厂商的结果，如果没有报的话，还可以向厂商上报~
这边以“国产”的Virscan为例：

2.jpg (82.62 KB)

2008-10-22 15:05

毕竟是老病毒了，除了国外的冷门杀软，基本都报了。
这无所谓，我们主要看的是病毒分析方法和过程，呵呵。

5.为了分析病毒行为，可以放入沙盒(Sandbox) 测试。
网上就有一个不错的现成的沙盒(Norman Sandbox)，可以对文件行为做分析。
只要上传文件，输入邮件地址，就能在邮箱收到报告。

3.jpg (41.66 KB)

2008-10-22 15:05

当然，这个沙盒的特点是现成的，操作简单速度快，不过结果也比较简单。

真正要观察病毒的实际行为，可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。
这些软件都是Sysinternal的，去年被微软收购了~ 当然，也可以用单机版的Sandbox来看，就是这个软件比较贵。

6. 不一会，就收到了分析的邮件：

4.jpg (36.93 KB)

2008-10-22 15:05

释放的文件，进程、注册表修改、MD5等参数全部一次性拿到，方便啊~

其实，对于一般用户来说，用一些好用的工具，例如金山清理专家或SREng同样能发现端倪：

使用清理专家扫描，发现可疑启动项：

5.jpg (46.13 KB)

2008-10-22 15:05

全面扫描，发现更多可疑项：

6.jpg (48.27 KB)

2008-10-22 15:05

扫描恶意软件，发现autorun.inf

7.jpg (45.97 KB)

2008-10-22 15:05

再使用SREng扫描：

8.jpg (43.06 KB)

2008-10-22 15:05

附上SReng扫描报告，
报告中的下列项目就是病毒生成的：

引用:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ASocksrv><SocksA.exe>

进程
[PID: 3864 / SYSTEM][C:\WINDOWS\system32\mmc.exe]  [N/A, ]

服务
[Smart Card Supervisor / mmc][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><(File is missing)>

Autorun.inf
[C:\]

[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto7.和沙盒的分析结果比对，多出一个叫 kill 的任务。如下图：

9.jpg (32.13 KB)

2008-10-22 15:10

多出一个mmc.exe进程，与沙盒分析结果吻合~

10.jpg (42.42 KB)

2008-10-22 15:10

8. 使用类似IceSword的工具结束进程。
IceSword是中科大的pjf写的，由于使用了Windows核心的API，可以直接看到隐藏文件和进程，
个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。
或锁住一个进程，不让其再生。这招对付进程互为保护的病毒非常不错。

11.jpg (54.37 KB)

2008-10-22 15:10

9. 进程对应的文件，与沙盒分析吻合，删除之~

12.jpg (53.16 KB)

2008-10-22 15:10

生成的另两个文件，删除之~

13.jpg (53.81 KB)

2008-10-22 15:10

10.Win+R, msconfig,  删除增加的启动项。

14.jpg (38 KB)

2008-10-22 15:10

11. mmc在监听本地3000端口。一旦联网，就会对外发送信息。

15.jpg (24.56 KB)

2008-10-22 15:10

12. 最后，用金山毒霸全盘扫描一下，“打扫”一下战场吧~
因为生成的文件比较多，手工删的话也可以，先搜索文件再删除，
不过用毒霸又快又方便！

监控一开，立马开始删除~

16.jpg (41.24 KB)

2008-10-22 15:10

呵呵已经感染exe了，扫描记录如下：

17.jpg (73.73 KB)

2008-10-22 15:10

svchost.exe受损，症状为再开机无法进入系统。进度条一直在走，

18.jpg (18.18 KB)

2008-10-22 15:10

插入光盘修复或进入Windows故障修复台，拷贝光盘原文件至硬盘修复即可~

19.jpg (42.1 KB)

2008-10-22 15:10

最后，附：VBS一次性清除代码：

引用:

on error resume next
set w=getobject("winmgmts:")
set p=w.execquery("select * from win32_process where name='algsrv.exe' or name='SocksA.exe'")
for each i in p
i.terminate
next
set fso=createobject("scripting.filesystemobject")
set del=wscript.createobject("wscript.shell")
dim d(5)
dim v(5)
d(0)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\SocksA.exe")
d(1)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\FileKan.exe")
d(2)=del.ExpandEnvironmentStrings("%SystemRoot%\system32\algsrv.exe")
d(3)=del.ExpandEnvironmentStrings("%SystemRoot%\Session.exe")
d(4)=del.ExpandEnvironmentStrings("%SystemRoot%\BACKINF.TAB")
for i=0 to 1
set v(i)=fso.getfile(d(i))
v(i).attributes=0
v(i).delete
next
set fso=createobject("scripting.filesystemobject")
set drvs=fso.drives
for each drv in drvs
if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then
set w=fso.getfile(drv.driveletter&":\tel.xls.exe")
w.attributes=0
w.delete
set u=fso.getfile(drv.driveletter&":\AUTORUN.INF")
u.attributes=0
u.delete
end if
next
set reg=wscript.createobject("wscript.shell")
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue",2,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
reg.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
reg.regdelete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ASocksrv"
set fso=nothing
msgbox "病毒清除成功，请重启电脑！",64,"tel.xls.exe病毒专杀"
全文完~