标题: 请教个关于文件感染的问题 [打印本页]

---

作者: 风之痕     时间: 2008-3-5 18:58    标题: 请教个关于文件感染的问题

今天在网吧上网时，裸奔上，
（不是不装杀软，因为网吧的还原系统，N多需要重启的杀软，如微点都没办法用，一般开个360+遨游的监控）
一不小心，我的U盘全盘感染了 Win32/Virut.NAB ，
用了N种杀素软件，可以清除文件，但是都无法修复被感染的文件，
所以一大堆的程序全部删除，重新下载，留了一个样本做测试。

请教各位高人，感染型病毒如何判断感染对象，
是对文件的格式进行判断，比如对EXE后缀的进行感染，
还是对文件的文件头进行判断，然后进行感染？

有一部分文件没被感染，比如安装程序和其他一些比较奇特的文件（原因不详，莫非被加壳就无法感染了？）


顺便请教下，对付感染性病毒，比较有效的办法，
别告诉我装个微点就可以了，这个答案我知道，
问题时面对特殊情况，比如没杀软的时候，
一些比较有效的办法，以前我想到的办法时修改文件后缀，创建新的可执行文件类型，对付依靠文件类型判定的大概还有效果。

---

作者: 046569     时间: 2008-3-8 14:10
楼主的情况比较特殊，也许你可以试试E盾。一个HIPS，安装后就可以直接使用，配合简单的规则就可以防止文件被感染。

---

作者: gudan     时间: 2008-3-8 21:28
Virut.这个病毒没有记错的话应该是通过文件映射的节感染方式，一旦感染体映射进内存就会遍历文件对相应的区段写入病毒代码，安装文件可能不存在写代码的区段吧，所以没有遭到感染

[ Last edited by gudan on 2008-3-8 at 21:44 ]

---

作者: 风之痕     时间: 2008-3-9 10:32
病毒分类 WINDOWS下的PE病毒 病毒名称 Win32.Virut.a
别 人 名 病毒长度 56080字节
危害程度 传播途径
行为类型 WINDOWS下的PE病毒 感 染
内容来源电脑硬件网

这是一个汇编语言编写的Win32 平台的感染型病毒。该病毒实现了感染、下载等功能。
病毒入口在病毒体的开始，病毒开始部分获取部分api并解密偏移0x157处加密的病毒代码，加密代码长度0x12b4，然后跳到解密后的代码开始执行。
判断操作系统版本，根据版本不同使用不同函数申请内存，将病毒从开始处0x1840写入新开的内存。
CreateFileMappingA生成的命名的文件映射对象，名为"W32_Virtu"，通过映射来共享代码和数据。
跳到新开内存中的病毒偏移0x357处开始执行。
0x3fb到0x461遍历进程，每到第4个进程对其写入病毒体并对ZwCreateFile、ZwCreateProcessEx、ZwCreateProcess函数安装api钩子。
病毒对第一个注入病毒和钩子的进程启动远程线程，并通过引用计数保证只启动一个远程线程。
返回原程序正常入口点开始执行。
api钩子:
ZwCreateFile 在此函数上的钩子函数中，病毒判断文件后缀名是否是exe或src，是则文件进行感染。
文件感染时将原文件最后一个节扩大至少0x1552个字节(实际扩大的大小根据节对齐而定)写入病毒体，
将 PE 头程序入口字段改为指向病毒体，并将节的属性改为可读写和执行。

---

作者: 风之痕     时间: 2008-3-9 10:35
没办法
我拿虚拟机做了个测试
把感染的KILL掉后
换后缀名 然后保存
这个病毒对感染对象的判定是靠 后缀名的
只要不是EXE 或者 SRC就可以
换了个EXF
后缀

添加如下信息到注册表，搞定

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.ExS]
@="ExSfile"

[HKEY_CLASSES_ROOT\ExSfile]
@="应用程序"
"EditFlags"=hex:38,07,00,00

[HKEY_CLASSES_ROOT\ExSfile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\ExSfile\shell]

[HKEY_CLASSES_ROOT\ExSfile\shell\open\command]
@="\"%1\" %*"

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn