» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 请教个关于文件感染的问题   作者: 标题: 请教个关于文件感染的问题 风之痕 注册用户 积分 66 发帖 66 注册 2007-12-30 #1  请教个关于文件感染的问题 今天在网吧上网时，裸奔上， （不是不装杀软，因为网吧的还原系统，N多需要重启的杀软，如微点都没办法用，一般开个360+遨游的监控） 一不小心，我的U盘全盘感染了 Win32/Virut.NAB ， 用了N种杀素软件，可以清除文件，但是都无法修复被感染的文件， 所以一大堆的程序全部删除，重新下载，留了一个样本做测试。 请教各位高人，感染型病毒如何判断感染对象， 是对文件的格式进行判断，比如对EXE后缀的进行感染， 还是对文件的文件头进行判断，然后进行感染？ 有一部分文件没被感染，比如安装程序和其他一些比较奇特的文件（原因不详，莫非被加壳就无法感染了？） 顺便请教下，对付感染性病毒，比较有效的办法， 别告诉我装个微点就可以了，这个答案我知道， 问题时面对特殊情况，比如没杀软的时候， 一些比较有效的办法，以前我想到的办法时修改文件后缀，创建新的可执行文件类型，对付依靠文件类型判定的大概还有效果。 ※ ※ ※ 本文纯属【风之痕】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-5 18:58 046569 版主 第五城市市长 积分 190 发帖 196 注册 2007-8-13 #2   楼主的情况比较特殊，也许你可以试试E盾。一个HIPS，安装后就可以直接使用，配合简单的规则就可以防止文件被感染。 ※ ※ ※ 本文纯属【046569】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-8 14:10 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #3   Virut.这个病毒没有记错的话应该是通过文件映射的节感染方式，一旦感染体映射进内存就会遍历文件对相应的区段写入病毒代码，安装文件可能不存在写代码的区段吧，所以没有遭到感染 [ Last edited by gudan on 2008-3-8 at 21:44 ] ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-8 21:28 风之痕 注册用户 积分 66 发帖 66 注册 2007-12-30 #4   病毒分类 WINDOWS下的PE病毒 病毒名称 Win32.Virut.a 别 人 名 病毒长度 56080字节 危害程度 传播途径 行为类型 WINDOWS下的PE病毒 感 染 内容来源电脑硬件网 这是一个汇编语言编写的Win32 平台的感染型病毒。该病毒实现了感染、下载等功能。 病毒入口在病毒体的开始，病毒开始部分获取部分api并解密偏移0x157处加密的病毒代码，加密代码长度0x12b4，然后跳到解密后的代码开始执行。 判断操作系统版本，根据版本不同使用不同函数申请内存，将病毒从开始处0x1840写入新开的内存。 CreateFileMappingA生成的命名的文件映射对象，名为"W32_Virtu"，通过映射来共享代码和数据。 跳到新开内存中的病毒偏移0x357处开始执行。 0x3fb到0x461遍历进程，每到第4个进程对其写入病毒体并对ZwCreateFile、ZwCreateProcessEx、ZwCreateProcess函数安装api钩子。 病毒对第一个注入病毒和钩子的进程启动远程线程，并通过引用计数保证只启动一个远程线程。 返回原程序正常入口点开始执行。 api钩子: ZwCreateFile 在此函数上的钩子函数中，病毒判断文件后缀名是否是exe或src，是则文件进行感染。 文件感染时将原文件最后一个节扩大至少0x1552个字节(实际扩大的大小根据节对齐而定)写入病毒体， 将 PE 头程序入口字段改为指向病毒体，并将节的属性改为可读写和执行。 ※ ※ ※ 本文纯属【风之痕】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-9 10:32 风之痕 注册用户 积分 66 发帖 66 注册 2007-12-30 #5   没办法 我拿虚拟机做了个测试 把感染的KILL掉后 换后缀名 然后保存 这个病毒对感染对象的判定是靠 后缀名的 只要不是EXE 或者 SRC就可以 换了个EXF 后缀 添加如下信息到注册表，搞定 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.ExS] @="ExSfile" [HKEY_CLASSES_ROOT\ExSfile] @="应用程序" "EditFlags"=hex:38,07,00,00 [HKEY_CLASSES_ROOT\ExSfile\DefaultIcon] @="%1" [HKEY_CLASSES_ROOT\ExSfile\shell] [HKEY_CLASSES_ROOT\ExSfile\shell\open\command] @="\"%1\" %*" ※ ※ ※ 本文纯属【风之痕】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-3-9 10:35 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号