手工清除Rootkit病毒

在諸多病毒類型里面最讓人深惡痛絕的就是Rootkit（內(nèi)核型）蠕蟲病毒， 許多時(shí)候殺毒軟件能檢測(cè)到該病毒， 但卻無法有效清除。

此類病毒的特點(diǎn)是病毒文件為兩個(gè)或多個(gè)， 一個(gè)是擴(kuò)展名為EXE的可執(zhí)行類型文件， 一個(gè)是擴(kuò)展名為SYS的驅(qū)動(dòng)類型文件。 EXE可執(zhí)行文件為傳統(tǒng)的蠕蟲病毒模塊， 負(fù)責(zé)病毒的生成、感染、傳播、破壞等任務(wù)；SYS文件為Rootkit模塊。

Rootkit也是一種木馬， 但它較我們常見的“冰河”、“灰鴿子”等木馬更加隱蔽， 它以驅(qū)動(dòng)程序的方式掛入系統(tǒng)內(nèi)核， 然后它負(fù)責(zé)執(zhí)行建立秘密后門、替換系統(tǒng)正常文件、進(jìn)程隱藏、監(jiān)控網(wǎng)絡(luò)、記錄按鍵序列等功能， 部分Rootkit還能關(guān)閉殺毒軟件。

目前發(fā)現(xiàn)的此類模塊多為病毒提供隱藏的機(jī)制， 可見這兩類文件是相互依賴的。 既然病毒已經(jīng)被隱藏了， 我們從何處入手發(fā)現(xiàn)病毒呢？這里就以感染orans.sys蠕蟲病毒的計(jì)算機(jī)為例， 探討如何檢測(cè)和查殺該類病毒。

檢測(cè)病毒體文件

Norton防病毒軟件報(bào)告c:windowssystem32orans.sys文件為Rootkit型病毒， 這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測(cè)的。 那么是否刪除了該文件就能清除病毒呢， 答案是不行的。

首先在染毒的系統(tǒng)下該文件是受保護(hù)的， 無法被刪除。 即使用戶在安全模式下刪除了文件， 重新啟動(dòng)后， 另外一個(gè)未被刪除的病毒文件將隨系統(tǒng)啟動(dòng)， 并監(jiān)控系統(tǒng)。

一旦其發(fā)現(xiàn)系統(tǒng)的注冊(cè)表被修改或病毒的SYS文件遭刪除， 病毒就會(huì)重新生成該文件并改回注冊(cè)表， 所以很多時(shí)候我們會(huì)發(fā)現(xiàn)病毒又重生了。 因此需要同時(shí)找到這兩個(gè)文件， 一并處理。 但在受感染的系統(tǒng)中， 真正的病毒體已經(jīng)被Rootkit模塊隱藏了， 不能被殺毒軟件檢測(cè)到。

這時(shí)就需要從系統(tǒng)中的進(jìn)程找到病毒的蛛絲馬跡。 系統(tǒng)自帶的任務(wù)管理器缺少完成這一任務(wù)的一些高級(jí)功能， 不建議使用。 這里向大家推薦IceSword或Process Explorer軟件， 這兩款軟件都能觀察到系統(tǒng)中的各類進(jìn)程及進(jìn)程間的相互關(guān)系， 還能顯示進(jìn)程映像文件的路徑、命令行、系統(tǒng)服務(wù)名稱等相關(guān)信息。

在分析過程中不僅要留意陌生的進(jìn)程， 一些正常系統(tǒng)進(jìn)程也要仔細(xì)檢查， 因?yàn)椴《境Ｒ宰舆M(jìn)程插入的方式將自己掛到系統(tǒng)正常進(jìn)程中。 在IceSword軟件中以紅色顯示的進(jìn)程為隱藏進(jìn)程， 往往是內(nèi)核型木馬的進(jìn)程。

端口分析也是一種常用的方法， 因?yàn)椴《境４蜷_特殊的端口等待執(zhí)行遠(yuǎn)程命令， 部分病毒還會(huì)試圖連接特定的服務(wù)器或網(wǎng)站， 通過進(jìn)程與端口的關(guān)聯(lián)， 檢測(cè)到病毒進(jìn)程。

在上面的例子中我們通過比對(duì)正常運(yùn)行的系統(tǒng)和染毒系統(tǒng)很快就判斷出系統(tǒng)中的restore進(jìn)程為異常進(jìn)程， 該進(jìn)程的映像文件為c:windowsrestore. exe， 這樣我們就找到了病毒體文件。 而當(dāng)找到這個(gè)文件時(shí)， 發(fā)現(xiàn)Norton沒有告警， 可見病毒文件躲過了殺毒軟件。

進(jìn)一步分析還發(fā)現(xiàn)病毒在系統(tǒng)中添加了一項(xiàng)服務(wù)， 服務(wù)名稱為“restore”， 可執(zhí)行文件路徑指向病毒文件。

手工清除病毒

1.關(guān)閉系統(tǒng)還原功能， 右鍵單擊“我的電腦”， 選擇“屬性”， 在“系統(tǒng)屬性”中選擇“系統(tǒng)還原”面版， 勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”， 關(guān)閉系統(tǒng)還原功能。

2.重新啟動(dòng)計(jì)算機(jī)進(jìn)入安全模式， 在“控制面板”→“管理工具”中單擊“服務(wù)”， 病毒在這里添加了“restore”服務(wù)， 將該服務(wù)禁用。

3.手動(dòng)刪除c:windows restore.exe和c:windows system32orans.sys兩個(gè)病毒文件。

4.運(yùn)行注冊(cè)表管理器regedt32. exe， 查找注冊(cè)表病毒添加的表項(xiàng)。 在

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

HKEY_LOCAL_MACHINESYSTEMControlSet002Services

三個(gè)分支下發(fā)現(xiàn)病毒添加的 “orans.sys”和“restore” 注冊(cè)表項(xiàng)， 刪除該表項(xiàng)。

5.重啟動(dòng)系統(tǒng)到正常模式， 打開系統(tǒng)還原功能， 并為系統(tǒng)安裝補(bǔ)丁程序。

這類病毒的變種很多， 從病毒生成的可執(zhí)行文件到注冊(cè)的系統(tǒng)服務(wù)、傳播及危害方式都有所不同， 這里主要提供一個(gè)思路， 大家在遇到時(shí)能找準(zhǔn)根源解決問題。 另外這類病毒多數(shù)是利用操作系統(tǒng)的漏洞或猜解管理員的口令入侵的， 有些病毒還能同時(shí)利用多個(gè)漏洞， 逐一嘗試。

因此大家要充分意識(shí)到打補(bǔ)丁的重要性， 同時(shí)避免空或弱的管理員口令， 降低病毒入侵的機(jī)會(huì)