引言:最近當(dāng)筆者使用IE上網(wǎng)沖浪時(shí),當(dāng)打開(kāi)某個(gè)網(wǎng)站后,IE莫名其妙的自動(dòng)關(guān)閉了。當(dāng)筆者再次打開(kāi)IE時(shí),發(fā)現(xiàn)自動(dòng)進(jìn)入一個(gè)內(nèi)容很雜亂的站點(diǎn),毫無(wú)疑問(wèn)主頁(yè)被惡意修改了。
最近當(dāng)筆者使用IE上網(wǎng)沖浪時(shí),當(dāng)打開(kāi)某個(gè)網(wǎng)站后,IE莫名其妙的自動(dòng)關(guān)閉了。當(dāng)筆者再次打開(kāi)IE時(shí),發(fā)現(xiàn)自動(dòng)進(jìn)入一個(gè)內(nèi)容很雜亂的站點(diǎn),毫無(wú)疑問(wèn)主頁(yè)被惡意修改了。而且系統(tǒng)運(yùn)行速度變得很慢,看來(lái)一定是誤入了惡意網(wǎng)站,招來(lái)了不法程序的攻擊。筆者重啟電腦,發(fā)現(xiàn)系統(tǒng)運(yùn)行速度變得很卡,在沒(méi)有聯(lián)網(wǎng)的情況下打開(kāi)IE,之后在任務(wù)管理器中看到IE進(jìn)程的高達(dá)100%,看來(lái),一定是隱藏在IE背后病毒木馬等惡意程序在搗亂。但是,運(yùn)行筆者安裝的某款免費(fèi)殺軟,對(duì)系統(tǒng)進(jìn)行掃描檢測(cè)后,卻沒(méi)有發(fā)現(xiàn)病毒的蹤跡。不難看出,這要么是免費(fèi)殺軟不給力,要么是遇到了新型或者免殺性的病毒。沒(méi)辦法,只有自己動(dòng)手,和病毒進(jìn)行正面交鋒了。
在任務(wù)管理器中仔細(xì)查看進(jìn)程信息,沒(méi)有發(fā)現(xiàn)可疑進(jìn)程,看來(lái)或者是病毒隱藏了進(jìn)程信息,或者是病毒沒(méi)有將自身文件添加到常規(guī)啟動(dòng)項(xiàng)中。因?yàn)樵跊](méi)有上網(wǎng)的情況下,運(yùn)行IE都會(huì)出現(xiàn)問(wèn)題,病毒很可能將自身變成系統(tǒng)服務(wù),或者偽裝成驅(qū)動(dòng)文件,來(lái)獲得更高級(jí)別的運(yùn)行權(quán)。運(yùn)行“msconfig”程序,在系統(tǒng)配置實(shí)用程序窗口中的“服務(wù)”面板中勾選“隱藏所有的Microsoft服務(wù)”項(xiàng),只顯示所有非系統(tǒng)服務(wù)。果然發(fā)現(xiàn)一個(gè)名為“Network Update Service”服務(wù)很可疑,因?yàn)閺谋砻嫔峡雌饋?lái)這似乎是和系統(tǒng)網(wǎng)絡(luò)配置相關(guān)的服務(wù),但實(shí)際上系統(tǒng)根本沒(méi)有此類服務(wù)。
運(yùn)行“services.msc”程序,在服務(wù)管理器中雙擊該服務(wù),在起屬性窗口中發(fā)現(xiàn)其服務(wù)名稱為“wmidxsvc”,描述信息為“這是和系統(tǒng)網(wǎng)絡(luò)配置相關(guān)的項(xiàng)目,用來(lái)設(shè)定網(wǎng)關(guān)參數(shù),以及為網(wǎng)絡(luò)共享服務(wù)提供便利,如果此服務(wù)被禁用,任何依賴它的服務(wù)將無(wú)法啟動(dòng)?!焙翢o(wú)疑問(wèn),這就是病毒創(chuàng)建的服務(wù),虛假的描述信息只是在欲蓋彌彰罷了。筆者決定順藤摸瓜,將不法程序一網(wǎng)打盡。選中該子健,在右側(cè)窗口中的“ImagePath”項(xiàng)中發(fā)現(xiàn)與其關(guān)聯(lián)的程序路 徑 為“%SystemRoot%System32wexpent32”。 先在文件夾選項(xiàng)窗口中選擇“顯示所有文件和文件夾”項(xiàng),同時(shí)取消“隱藏受保護(hù)的操作系統(tǒng)文件”項(xiàng),這樣可以輕松顯示所有的隱藏文件。 進(jìn) 入“C:WindowsSystem32”文件夾,在其中按照創(chuàng)建日期排序,讓所有新文件顯示在前列。因?yàn)椴《緞?chuàng)建的文件一般日期較新,很容易查找出來(lái)。
但是,該文件并沒(méi)有立即現(xiàn)身。筆者覺(jué)得有些奇怪,難道起徹底隱形了不成?經(jīng)過(guò)按照名稱順序細(xì)致查找,才發(fā)現(xiàn)了該文件,原來(lái)其創(chuàng)建日期為2009年7月14日星期二上午7:25:06。和普通的系統(tǒng)文件創(chuàng)建日志完全相同,怪不得無(wú)法將其按照創(chuàng)建日期排序出來(lái)??磥?lái),要么該文件就是系統(tǒng)自帶的文件,要么是病毒將自身文件的創(chuàng)建日期進(jìn)行了刻意修改,來(lái)實(shí)現(xiàn)魚目混珠的目的?;谶@些考慮,筆者沒(méi)有冒然刪除該文件。考慮到病毒也許會(huì)冒充驅(qū)動(dòng)程序,從底層侵入系統(tǒng),筆者決定對(duì)驅(qū)動(dòng)文件進(jìn)行一番 檢 查。Windows的 所有驅(qū)動(dòng)文件默認(rèn)都存放在“C:WindowsSystem32drivers”文件夾中,因?yàn)槔锩嫖募芏?,無(wú)法準(zhǔn)確判斷其真?zhèn)巍?/p>
因?yàn)橄到y(tǒng)采用的Ghost備份文件安裝的,原始的Gho文件就存放在硬盤中,運(yùn)行Ghost Explorer這款軟件,在其主界面中點(diǎn)擊菜單“文件”-“打開(kāi)”項(xiàng),選擇目標(biāo)Gho文件,可以顯示其中包含的完整的系統(tǒng)文件信息,打開(kāi)其中的之后打開(kāi)其中的“C:WindowsSystem32drivers”,按 照創(chuàng)建時(shí)間的順序?qū)烧叩尿?qū)動(dòng)文件信息進(jìn)行比對(duì)分析,很快就發(fā)現(xiàn)了名為“nxwmdrv32.sys”的文件極為可疑。查看該文件的屬性,發(fā)現(xiàn)其創(chuàng)建的日期為2012年12月7日。這和面提到的“wexpent32”文件的日期并不一致,主要原因筆者系統(tǒng)采用的是Ghost安裝方式,驅(qū)動(dòng)文件是由系統(tǒng)提供的“drive.cab”壓縮解壓后創(chuàng)建的,而“%SystemRoot%System32”中文件是Ghost安裝文件制作者在制作發(fā)布時(shí)創(chuàng)建的,二者之間并不完全一致。病毒入侵后,在創(chuàng)建非法文件時(shí),會(huì)判斷不同文件夾中原始文件的創(chuàng)建日期信息,然后將自身文件的創(chuàng)建日期進(jìn)行修改,來(lái)實(shí)現(xiàn)混跡于其間的目的。
在注冊(cè)表編輯器中點(diǎn) 擊“Ctrl+F”鍵,搜 索“nxwmdrv32.sys” 字 符串,在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名為“nxsio32”的子健,在窗口右側(cè)的“ImagePath”欄中發(fā)現(xiàn)了該文件的蹤跡。根據(jù)以上信息,可以判斷這是病毒偽造的驅(qū)動(dòng)文件,為的是獲得高級(jí)別的運(yùn)行權(quán),從系統(tǒng)底部侵入,這樣可以有效避開(kāi)殺軟的監(jiān)控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下還發(fā)現(xiàn)了“wmidxsvc”子健,其內(nèi)容和上面提到的可疑服務(wù)完全一致。筆者將上述“nxsio32”和“wmidxsvc”刪 除。 考慮到“nxwmdrv32.sys”和“wexpent32”文件的創(chuàng)建時(shí)間不一致,但是同屬一個(gè)“派系”,在驅(qū)動(dòng)文件夾中是否存在和“wexpent32”文件創(chuàng)建日期相同的其他可疑文件呢?因?yàn)轵?qū)動(dòng)文件一般都帶有數(shù)字簽名,于是筆者以“wexpent32”文件創(chuàng)建日期基準(zhǔn),在驅(qū)動(dòng)文件夾中查找與之日期相同的文件,找到幾個(gè)符合條件的文件后,逐個(gè)查看其數(shù)字簽名信息。雖然病毒文件也會(huì)為找數(shù)字簽名,不過(guò)難免存在馬腳。經(jīng)過(guò)仔細(xì)排查,果然發(fā)現(xiàn)名為“vrddnj.sys”的驅(qū)動(dòng)文件數(shù)字簽名漏洞百出,例如沒(méi)有版本和公司信息等內(nèi)容。在注冊(cè)表編輯器中搜索“vrddnj.sys”字符 串,在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名為“vrdnj”的子健,在其右側(cè)的“ImagePath”欄中顯示了該文件的具體路徑。看來(lái),這也是病毒偽造驅(qū)動(dòng)程序文件。
根據(jù)以上分析,將注冊(cè)表中和病毒相關(guān)的鍵值全部刪除,然后重啟系統(tǒng),進(jìn)入安全模式,先關(guān)閉系統(tǒng)還原功能,因?yàn)椴《鞠矚g藏身到各磁盤根目錄下的“System Volume Information”文件夾中,來(lái)逃避追捕。之后刪除上述所有和病毒相關(guān)的文件,當(dāng)刪除“vrddnj.sys”文件時(shí),系統(tǒng)彈出警告信息,提示該文件正在使用無(wú)法刪除。運(yùn)行注冊(cè)表編輯器,查找和“vrddnj.sys”相關(guān)的所有項(xiàng)目,果然 在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”,“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ