木乃伊复活三部曲

发布时间：2018-10-03 17:50:30 来源：文档文库

小中大

字号：

手机查看

木乃伊复活三部曲

　　在与病毒的对抗中，我们常用顽固来形容难杀的病毒，主要的麻烦是明明显示清除干净的病毒，重启或再扫描时，又会出现在电脑里，起死回生啊！这怎么像电影里的“木乃伊”一样啊，死了还能复活！冷静下来，你就会想到，木乃伊的复活其实都是因为他死亡的时候留有一个复活的机会，病毒也是，清除后又出现，是因为他们进行了特殊的处理，死亡前给电脑做了改动，很容易被“唤醒”，一场电脑里的木乃伊复活三部曲就为你讲述这其中的故事。

　　第一部：

　　神秘卷轴――神奇的快捷方式

　　木乃伊第一部里古埃及王子因霍特的木乃伊复活了，之前他被法老诅咒并作为祭品而活埋。但是在它的墓穴里还有一份神秘卷轴，这个卷轴可以赋予死去的人以生命，碰巧的是探险队的一名成员无意中朗读了这份卷轴，因霍特重新复活。在你杀掉病毒的同时，是否注意到它还留有一份“神秘卷轴”呢？如果电脑无意间“读”了它，病毒就会复活了。

　　笔者某天收到一封垃圾邮件，主题为“看看我??是怎?N花?{?人的?X的”，寥寥数语没意思，突然发现附件有个“我???楹巫??F.lnk”的链接，也许更多内容在这里，于是双击一下，突然系统提示你的计算机可能存在风险，没有启动任何防火墙，笔者马上检查自己的虚拟机，发现病毒在注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下添加了一个SSUUDL的启动项，指向病毒文件“C:\windows\help\eb6c4499b05f.dll”，赶紧删除，电脑清净了，心想病毒不也就这么回事吗？

　　(1)

　　不经意间笔者又点击了一个名为“jpg-as02”的文件（图标为JPG文件图标，从病毒服务器下载的直接放在桌面了），发现系统又感染病毒了，到底这是怎么回事呢？笔者检查以后发现这个“jpg-as02”是一个“神秘卷轴”，右键单击，在属性中查看，发现这原来是个快捷方式，“目标”里有一些灵异的字符（见图1），将这些奇怪的字符复制过来一看，“神秘卷曲”里的文字如图2所示。

　　(2)

　　仔细分析后发现这些字符竟然是要下载一个病毒文件并执行，即使我们处理了“nk.vbs”下载的病毒文件，当我们双击这个图标的时候，它马上又会下载病毒，从而再次感染。

　　第二部：

　　死亡之书――多文件的大阴谋

　　在木乃伊的第二部，故事有了很大改变，也复杂和曲折得多。一伙盗挖死亡之城的狂人通过死亡之书将木乃伊和他的情人“老怪”伊默特普复活，冒险家里克则发现了一只古手镯，这个神奇的手镯竟然是召唤大魔头蝎子王的法器。死亡之书、手镯……古人留下的貌不惊人的破铜烂铁竟然可以让邪恶的木乃伊一次次的复活。同样一些病毒为躲避杀毒软件的追杀，他们想尽了诡计！通过各种手段让自己一次次的复活，妄想统治用户的电脑。

　　病毒被删除了，但有些关联的东西却又可以让它复活，对于磁盘驱动器我们马上就能想到病毒会通过“autorun.inf”来运行病毒时。但是病毒又启用了另外一种方式来运行病毒――驱动器关联。就像TXT文件存在一个关联程序打开它一样，驱动器也存在类似的功能，病毒利用这种特性通过修改注册表来到达双击驱动器分区来执行病毒。

　　首先病毒在注册表里新建[HKEY_CLASSES_ROOT\Drive\shell\open]（对应于鼠标右键打开）。[HKEY_CLASSES_ROOT\Drive\shell\explore\]（对应于鼠标邮件资源管理器）将默认“command”键值指向病毒程序“C:\winodws\winlog.exe”，当用户双击磁盘分区的时候默认会先执行“winlog.exe”文件，然后病毒会调用系统API函数帮你打开驱动器（这也是为什么双击磁盘分区以后会首先关闭窗口，然后才会打开驱动器的原因），给大家准备了一个小实验来体会，可以下载文件（下载地址：http://work.newhua.com/cfan/200904/test.rar）然后运行“test.bat”按提示输入“1”后各磁盘就打不打开了，试验完运行“test.bat”，输入“2”回车即开清除。

　　小提示：

　　现在病毒流行的招数还有进程的互相保护，例如有的病毒会创建三个进程：“SP00LSV.exe，SVCH0ST.exe和winlog.exe”互相保护，当一个进程被结束的时候，另外一个进程会重启被结束的进程。杀毒软件杀此失彼，病毒文件不断复活。还有的是通过多个文件的关联进行相互保护。

　　此类病毒的特点就是多启动项，多文件，多进程保护，杀毒软件漏掉一个，病毒就笑哈哈又进入系统捣乱，杀毒软件处理此类病毒是心有余而力不足，通常我们可以使用sreng之类的日志扫描软件确认存在异常的启动项目，然后通过xdelbox之类的删除工具清除病毒文件。

　　第三部：

　　龙眼――藏匿的病毒复活器

　　刚刚上演的第三部中，残暴虐杀的始皇帝终遭女巫诅咒，和兵将一起被变成了兵马俑，封印在地下宫殿中。隐居的冒险家里克和妻子伊芙琳又一次得到了“任务”――把一件珍贵文物――龙眼物归原主，这件“龙眼”被人拿来唤醒了封印的秦始皇，沉睡多年的他誓言要让世人皆陷暴政，一场惊心动魄的大战随即开始。在这个过程中，秦始皇和他的兵士都被封印了，但偏偏有一个神奇的“龙眼”可以复活它，一部分又怀着不同的目的想复活它。在病毒世界也有一种神奇的龙眼，隐匿于幕后，却一次次的让病毒复活。

　　(3)

　　不久前有个同学感染了木马下载器，通过分析Sreng日志获得了删除列表，然后使用xdelbox强制删除，他一直在向我赞叹删除工具的强悍。可是，他所不知道的是，病毒在他的电脑里留下了一个“龙眼”，查看QQ的安装目录，会发现存在一个名为“psapi.dll”的文件（psapi.dll是操作系统文件，通常被用于进行进程操作，默认存在于C:\WINDOWS\system32或者C:\WINDOWS\system32\dllcache\目录下），其实这个DLL文件会从一个http://www.baik**.cn/down/gr.exe下载病毒文件执行，而这个病毒实际上是一个木马下载器。

　　小提示：QQ为什么会加载这个文件呢？

　　首先让我们来了解下程序加载DLL文件的顺序：①应用程序的安装目录→②当前的工作目录→③系统目录→④路径变量。说到这里大家应该有些明白了吧。当我们打开QQ它会加载它所需要的系统文件，当然搜索路径还是①②③④的方式，这样QQ就会把这个伪装的“psapi.dll”加载到自己的内存空间执行，而这个DLL的主要功能就是下载一个木马下载器。如果想验证这点，在QQ目录下新建一个名为“psapi.dll”的文件，此时运行QQ的时候会提示错误，查看进程模块的时候同时发现这个伪装的“dll”文件已经被载入进程（见图3）。