引言：最近當(dāng)筆者使用IE上網(wǎng)沖浪時(shí)，當(dāng)打開(kāi)某個(gè)網(wǎng)站后，IE莫名其妙的自動(dòng)關(guān)閉了。當(dāng)筆者再次打開(kāi)IE時(shí)，發(fā)現(xiàn)自動(dòng)進(jìn)入一個(gè)內(nèi)容很雜亂的站點(diǎn)，毫無(wú)疑問(wèn)主頁(yè)被惡意修改了。

最近當(dāng)筆者使用IE上網(wǎng)沖浪時(shí)，當(dāng)打開(kāi)某個(gè)網(wǎng)站后，IE莫名其妙的自動(dòng)關(guān)閉了。當(dāng)筆者再次打開(kāi)IE時(shí)，發(fā)現(xiàn)自動(dòng)進(jìn)入一個(gè)內(nèi)容很雜亂的站點(diǎn)，毫無(wú)疑問(wèn)主頁(yè)被惡意修改了。而且系統(tǒng)運(yùn)行速度變得很慢，看來(lái)一定是誤入了惡意網(wǎng)站，招來(lái)了不法程序的攻擊。筆者重啟電腦，發(fā)現(xiàn)系統(tǒng)運(yùn)行速度變得很卡，在沒(méi)有聯(lián)網(wǎng)的情況下打開(kāi)IE，之后在任務(wù)管理器中看到IE進(jìn)程的高達(dá)100%，看來(lái)，一定是隱藏在IE背后病毒木馬等惡意程序在搗亂。但是，運(yùn)行筆者安裝的某款免費(fèi)殺軟，對(duì)系統(tǒng)進(jìn)行掃描檢測(cè)后，卻沒(méi)有發(fā)現(xiàn)病毒的蹤跡。不難看出，這要么是免費(fèi)殺軟不給力，要么是遇到了新型或者免殺性的病毒。沒(méi)辦法，只有自己動(dòng)手，和病毒進(jìn)行正面交鋒了。

在任務(wù)管理器中仔細(xì)查看進(jìn)程信息，沒(méi)有發(fā)現(xiàn)可疑進(jìn)程，看來(lái)或者是病毒隱藏了進(jìn)程信息，或者是病毒沒(méi)有將自身文件添加到常規(guī)啟動(dòng)項(xiàng)中。因?yàn)樵跊](méi)有上網(wǎng)的情況下，運(yùn)行IE都會(huì)出現(xiàn)問(wèn)題，病毒很可能將自身變成系統(tǒng)服務(wù)，或者偽裝成驅(qū)動(dòng)文件，來(lái)獲得更高級(jí)別的運(yùn)行權(quán)。運(yùn)行“msconfig”程序，在系統(tǒng)配置實(shí)用程序窗口中的“服務(wù)”面板中勾選“隱藏所有的Microsoft服務(wù)”項(xiàng)，只顯示所有非系統(tǒng)服務(wù)。果然發(fā)現(xiàn)一個(gè)名為“Network Update Service”服務(wù)很可疑，因?yàn)閺谋砻嫔峡雌饋?lái)這似乎是和系統(tǒng)網(wǎng)絡(luò)配置相關(guān)的服務(wù)，但實(shí)際上系統(tǒng)根本沒(méi)有此類服務(wù)。

運(yùn)行“services.msc”程序，在服務(wù)管理器中雙擊該服務(wù)，在起屬性窗口中發(fā)現(xiàn)其服務(wù)名稱為“wmidxsvc”，描述信息為“這是和系統(tǒng)網(wǎng)絡(luò)配置相關(guān)的項(xiàng)目，用來(lái)設(shè)定網(wǎng)關(guān)參數(shù)，以及為網(wǎng)絡(luò)共享服務(wù)提供便利，如果此服務(wù)被禁用，任何依賴它的服務(wù)將無(wú)法啟動(dòng)?！焙翢o(wú)疑問(wèn)，這就是病毒創(chuàng)建的服務(wù)，虛假的描述信息只是在欲蓋彌彰罷了。筆者決定順藤摸瓜，將不法程序一網(wǎng)打盡。選中該子健，在右側(cè)窗口中的“ImagePath”項(xiàng)中發(fā)現(xiàn)與其關(guān)聯(lián)的程序路 徑 為“%SystemRoot%System32wexpent32”。 先在文件夾選項(xiàng)窗口中選擇“顯示所有文件和文件夾”項(xiàng)，同時(shí)取消“隱藏受保護(hù)的操作系統(tǒng)文件”項(xiàng)，這樣可以輕松顯示所有的隱藏文件。 進(jìn) 入“C:WindowsSystem32”文件夾，在其中按照創(chuàng)建日期排序，讓所有新文件顯示在前列。因?yàn)椴《緞?chuàng)建的文件一般日期較新，很容易查找出來(lái)。

但是，該文件并沒(méi)有立即現(xiàn)身。筆者覺(jué)得有些奇怪，難道起徹底隱形了不成？經(jīng)過(guò)按照名稱順序細(xì)致查找，才發(fā)現(xiàn)了該文件，原來(lái)其創(chuàng)建日期為2009年7月14日星期二上午7:25:06。和普通的系統(tǒng)文件創(chuàng)建日志完全相同，怪不得無(wú)法將其按照創(chuàng)建日期排序出來(lái)?？磥?lái)，要么該文件就是系統(tǒng)自帶的文件，要么是病毒將自身文件的創(chuàng)建日期進(jìn)行了刻意修改，來(lái)實(shí)現(xiàn)魚目混珠的目的?；谶@些考慮，筆者沒(méi)有冒然刪除該文件。考慮到病毒也許會(huì)冒充驅(qū)動(dòng)程序，從底層侵入系統(tǒng)，筆者決定對(duì)驅(qū)動(dòng)文件進(jìn)行一番 檢 查。Windows的 所有驅(qū)動(dòng)文件默認(rèn)都存放在“C:WindowsSystem32drivers”文件夾中，因?yàn)槔锩嫖募芏?，無(wú)法準(zhǔn)確判斷其真?zhèn)巍?/p>

因?yàn)橄到y(tǒng)采用的Ghost備份文件安裝的，原始的Gho文件就存放在硬盤中，運(yùn)行Ghost Explorer這款軟件，在其主界面中點(diǎn)擊菜單“文件”-“打開(kāi)”項(xiàng)，選擇目標(biāo)Gho文件，可以顯示其中包含的完整的系統(tǒng)文件信息，打開(kāi)其中的之后打開(kāi)其中的“C:WindowsSystem32drivers”，按 照創(chuàng)建時(shí)間的順序?qū)烧叩尿?qū)動(dòng)文件信息進(jìn)行比對(duì)分析，很快就發(fā)現(xiàn)了名為“nxwmdrv32.sys”的文件極為可疑。查看該文件的屬性，發(fā)現(xiàn)其創(chuàng)建的日期為2012年12月7日。這和面提到的“wexpent32”文件的日期并不一致，主要原因筆者系統(tǒng)采用的是Ghost安裝方式，驅(qū)動(dòng)文件是由系統(tǒng)提供的“drive.cab”壓縮解壓后創(chuàng)建的，而“%SystemRoot%System32”中文件是Ghost安裝文件制作者在制作發(fā)布時(shí)創(chuàng)建的，二者之間并不完全一致。病毒入侵后，在創(chuàng)建非法文件時(shí)，會(huì)判斷不同文件夾中原始文件的創(chuàng)建日期信息，然后將自身文件的創(chuàng)建日期進(jìn)行修改，來(lái)實(shí)現(xiàn)混跡于其間的目的。

在注冊(cè)表編輯器中點(diǎn) 擊“Ctrl+F”鍵，搜 索“nxwmdrv32.sys” 字 符串，在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名為“nxsio32”的子健，在窗口右側(cè)的“ImagePath”欄中發(fā)現(xiàn)了該文件的蹤跡。根據(jù)以上信息，可以判斷這是病毒偽造的驅(qū)動(dòng)文件，為的是獲得高級(jí)別的運(yùn)行權(quán)，從系統(tǒng)底部侵入，這樣可以有效避開(kāi)殺軟的監(jiān)控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下還發(fā)現(xiàn)了“wmidxsvc”子健，其內(nèi)容和上面提到的可疑服務(wù)完全一致。筆者將上述“nxsio32”和“wmidxsvc”刪 除。 考慮到“nxwmdrv32.sys”和“wexpent32”文件的創(chuàng)建時(shí)間不一致，但是同屬一個(gè)“派系”，在驅(qū)動(dòng)文件夾中是否存在和“wexpent32”文件創(chuàng)建日期相同的其他可疑文件呢？因?yàn)轵?qū)動(dòng)文件一般都帶有數(shù)字簽名，于是筆者以“wexpent32”文件創(chuàng)建日期基準(zhǔn)，在驅(qū)動(dòng)文件夾中查找與之日期相同的文件，找到幾個(gè)符合條件的文件后，逐個(gè)查看其數(shù)字簽名信息。雖然病毒文件也會(huì)為找數(shù)字簽名，不過(guò)難免存在馬腳。經(jīng)過(guò)仔細(xì)排查，果然發(fā)現(xiàn)名為“vrddnj.sys”的驅(qū)動(dòng)文件數(shù)字簽名漏洞百出，例如沒(méi)有版本和公司信息等內(nèi)容。在注冊(cè)表編輯器中搜索“vrddnj.sys”字符 串，在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名為“vrdnj”的子健，在其右側(cè)的“ImagePath”欄中顯示了該文件的具體路徑。看來(lái)，這也是病毒偽造驅(qū)動(dòng)程序文件。

根據(jù)以上分析，將注冊(cè)表中和病毒相關(guān)的鍵值全部刪除，然后重啟系統(tǒng)，進(jìn)入安全模式，先關(guān)閉系統(tǒng)還原功能，因?yàn)椴《鞠矚g藏身到各磁盤根目錄下的“System Volume Information”文件夾中，來(lái)逃避追捕。之后刪除上述所有和病毒相關(guān)的文件，當(dāng)刪除“vrddnj.sys”文件時(shí)，系統(tǒng)彈出警告信息，提示該文件正在使用無(wú)法刪除。運(yùn)行注冊(cè)表編輯器，查找和“vrddnj.sys”相關(guān)的所有項(xiàng)目，果然 在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”，“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ