日前，信息中心工作人員陸續(xù)接到一些用戶報(bào)告，稱其電腦運(yùn)行緩慢，IE時(shí)常彈出異常界面，殺毒軟件卻無任何提示。在查看了感染電腦后，我們手動(dòng)殺掉了這個(gè)病毒，并找到了一個(gè)樣本，放到純凈Windows XP系統(tǒng)的虛擬機(jī)（建立一個(gè)初始快照）中進(jìn)行分析。

進(jìn)程分析

在虛擬機(jī)中運(yùn)行病毒后，可以使用XueTr來查看進(jìn)程，如圖1所示。

圖1

 

XueTr是 一款優(yōu)秀的ARK（Anti RootKit）工具，功能非常強(qiáng)大，除查看進(jìn)程之外，其他功能讀者可以自己去嘗試。我們看到，微軟官方的進(jìn)程都呈現(xiàn)黑色，其他廠商的進(jìn)程都呈現(xiàn)藍(lán)色。注 意“文件廠商”一欄，“MS User”的兩個(gè)進(jìn)程非常的可疑，使用“數(shù)字簽名”校驗(yàn)功能，發(fā)現(xiàn)文件未通過簽名，由此可以確定這兩個(gè)進(jìn)程為病毒嫌疑進(jìn)程。值得一提的是，該病毒使用了進(jìn) 程守護(hù)技術(shù)，在windows系統(tǒng)任務(wù)管理器中結(jié)束一個(gè)進(jìn)程，另一個(gè)進(jìn)程檢測(cè)到之后，還會(huì)立即將被結(jié)束的進(jìn)程“復(fù)活”，利用XueTr工具可以同時(shí)殺掉兩 個(gè)進(jìn)程。

文件分析

還原windows xp系統(tǒng)初始快照，打開Filemon工具，指定過濾字符為“svchost”，再次運(yùn)行病毒，我們注意到兩個(gè)病毒進(jìn)程文件的屬性為HS（隱藏、系統(tǒng)），并分別觀察到了它們創(chuàng)建的路徑，如圖2所示。