KillVirus

Microsoft Windows 恶意软件删除工具: MRT

三 24th

admin分类在KillVirus

没有评论

Microsoft 在每月第二个星期二发布系统升级补丁的时候,总会送大家一个"Microsoft Windows 恶意软件删除工具"。

Microsoft® Windows® 恶意软件删除工具可以检查您的计算机是否受到特殊流行恶意软件(包括 Blaster、Sasser 和 Mydoom)的感染,并在找到感染时帮助将其删除。

该工具会在 %WINDIR%\debug 文件夹中创建名为 mrt.log 的日志文件。

Windows Update 提供的该工具版本每月会在您的计算机后台运行一次。 如果找到感染,该工具将在您下一次启动计算机时显示一份状态报告。

如果你想手动通过MRT来检查计算机,直接在“开始-运行”中输入MRT并回车即可启动此工具的图形化界面。

文章参考:

http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=zh-cn

, ,

现在连数字签名都靠不住了

五 28th

admin分类在KillVirus

2 comments

来源:赛迪网    作者:李铁军

通常,商业软件发行时,为向用户证明该程序未经篡改,会在发布版本时使用数字签名。如下图: 

程序的数字签名

 

图1 正常文件的数字签名

通常,当一个EXE被破坏(如病毒感染或被捆绑木马),数字签名信息会丢失,从文件属性中看会发现原来数字签名标签页缺失。

但现在发现部分木马传播者采取了更巧妙的方式,一般粗略查看文件属性时,会发现该EXE文件的数字签名看上去没有异常。如下图: 

病毒木马感染文件使数字签名异常

 

图2 病毒感染后的EXE文件也能看到数字签名

如果不小心,就会认为这个EXE完全正常,但是这个文件已经被捆绑了多个木马。在沙箱(sandboxie)中运行这个EXE,会发现该程序向windows\system32目录写入了4个dll文件,毒霸也会报告发现病毒。 

病毒木马感染文件使数字签名异常

 

图3 沙箱中可以看到执行该程序后病毒生成的DLL文件

 

病毒木马感染文件使数字签名异常

 

图4 沙箱中执行病毒EXE时,毒霸会报告发现病毒

那我们该如何区分此类攻击呢?有两个方法:

1.查看数字签名的详细信息,在图1或图2中,我们应该查看该数字签名的详细信息,点击“详细信息”按钮即可。

我们会发现正常EXE和感染(或捆绑木马)后的EXE数字签名的区别:

 

病毒木马感染文件使数字签名异常

 

图5 正常EXE的数字签名详细信息

 

病毒木马感染文件使数字签名异常

 

图6 被篡改后的EXE数字签名信息无效

2.使用数字签名验证程序sigcheck.exe (可以百度一下找这个工具,著名系统工具包Sysinternals Suite的组件之一,可以访问http://technet.microsoft.com/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683(en-us).aspx下载。)

数字签名异常的结果为:

 

C:\modify.exe:
        Verified:       Unsigned
        File date:      15:46 2008-5-23
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Version:        n/a
        File version:   n/a

数字签名正常的结果为:

 

C:\che.exe:
        Verified:       Signed
        Signing date:   16:28 2008-4-29
        Publisher:      n/a
        Description:    n/a
        Product:        n/a
        Version:        n/a
        File version:   n/a

原因分析:

1,精心设计的感染

当EXE被感染时,是很容易破坏文件的数字签名信息的,如果攻击者感染或破坏文件时,有意不去破坏EXE中有关数字签名的部分,就可能出现感染后,数字签名看上去正常的情况。但认真查看文件属性或校验文件的HASH值,你会发现该EXE程序已经不是最原始的版本了。

2.该软件发行商的数字签名文件被盗,攻击者可以把捆绑木马或感染病毒后的EXE程序,也打包上数字签名,这种情况下就更严重了。企业如果申请了数字签名证书,一定要妥善保管,否则后患无穷。

病毒gr80r96.dll和mx9d.sys

五 28th

admin分类在KillVirus

没有评论

处理一台中病毒的电脑,使用NOD32和360安全卫士处理一番后仍留下gr80r96.dll和mx9d.sys无法清除,这两个病毒文件在NOD32中表现为:

C:\WINDOWS\system32\gr80r96.dll – Win32/BHO.NDW 木马 变种 – 无法清除。 – 已隔离 – 已删除 (在下次重启后)
C:\WINDOWS\system32\drivers\mx9d.sys – Win32/Rootkit.Agent.NCK 木马 变种 – 无法清除。 – 已隔离 – 已删除 (在下次重启后)

但是重启和安全模式下都无法清除,原来是因为病毒自动在系统的注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

项中把C:\WINDOWS\system32\gr80r96.dll 加入。

进行安全模式的桌面亦会自动运行病毒文件,因此最安全的方法是使用“深山红叶”或者其他引导光盘中的Windows PE系统,跳过启动Windows。

再删除 C:\WINDOWS\system32\gr80r96.dll 和 C:\WINDOWS\system32\drivers\mx9d.sys

找回文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框

二 29th

admin分类在KillVirus

2 comments

今天在分析由d.52hxsh.com传播的弹出unqbi.qb-qq.com广告窗口的病毒时,发现这个病毒把文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框干掉了,这种方式不同于以往把有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue的手段。

出现这种现象是因为有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。

在仔细对比了虚拟机和正常机器上的注册表后,发现此病毒是更改了

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]   

中的两个项,从而把"隐藏受保护的操作系统文件(推荐)"的复选框从文件夹选项中隐藏起来了。

因此只需要导入本文提供的SuperHidden.reg附件即可解决问题。

另一附件SHOWALL.reg则是解决无法显示所有文件的注册表。

附件:superhidden.reg(1424 Byte)

附件:showall.reg(2400 Byte)

,