計算機病毒與防護木馬病毒行為分析課件

1、計算機病毒與防治教學單元3-5 木馬病毒防治 Trojan.PSW.QQPass.pqb病毒行為追蹤 Trojan.PSW.QQPass.pqb病毒主要特點 Trojan.PSW.QQPass.pqb病毒行為分析第三講 木馬病毒行為分析計算機病毒與防治課程小組Trojan.PSW.QQPass.pqb病毒清除木馬病毒行為分析病毒名稱:Trojan.PSW.QQPass.pqb 病毒 計算機病毒與防治課程小組又名: sxs.exe 病毒,QQ尾巴病毒 危險級別：病毒類型：木馬病毒Trojan.PSW.QQPass.pqb 病毒計算機病毒與防治課程小組Trojan.PSW.QQPass.pqb病毒

2、特點傳播方式： 網(wǎng)絡(luò)和可移動磁盤傳播。主要危害： 盜取QQ帳戶和密碼 對系統(tǒng)的影響：會終止大量反病毒軟件的進程，降低系統(tǒng)的 安全等級，重裝系統(tǒng)也沒有用，此毒危害性很大。 木馬病毒行為追蹤計算機病毒與防治課程小組我們在影子環(huán)境下運行sxs.exe病毒來看看病毒行為病毒樣本在E盤中計算機病毒與防治課程小組木馬病毒行為追蹤我們在E盤中運行病毒文件sxs.exs文件后，系統(tǒng)中的D盤根目錄下上同樣感染了病毒文件！在生成病毒副本的同時還生成了一個自啟動文件計算機病毒與防治課程小組木馬病毒行為追蹤很多情況下用戶并沒有察覺到病毒文件的存在？ 由于病毒修改了注冊表中：HKEY_LOCAL_MACHINESOFT

3、WAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALL下的CheckedValue“=dword:00000001鍵值改為了CheckedValue”=dword:00000000或者干脆胡亂修改。使得即便在文件夾選項中選擇了“顯示所有文件和文件夾”并且確認后，再次打開文件夾選項后，發(fā)現(xiàn)選項仍是“不顯示隱藏文件和文件夾”。通過這種方法大部分病毒達到了隱藏的目的。在將鍵值改正后一般就會恢復正常。如果還是不行的話，可以刪除鍵值，再重新建一個CheckedValue的dword值。計算機病毒與防治課程小組木馬病毒行

4、為追蹤通過IceSword工具來檢查一下系統(tǒng)的進程，在系統(tǒng)進程中并沒有發(fā)現(xiàn)病毒進程。計算機病毒與防治課程小組木馬病毒行為追蹤再用IceSword檢查一下在system32文件中的文件，點擊“創(chuàng)建時間”我們很容易就發(fā)現(xiàn)，病毒生成的QQhx.exe和afkguw.exe兩個新文件。計算機病毒與防治課程小組木馬病毒行為追蹤接著我們查看一下注冊表的啟動項，我們可以發(fā)現(xiàn)病毒文件akfguw.exe已經(jīng)成功的創(chuàng)建了自己的啟動項。計算機病毒與防治課程小組木馬病毒行為追蹤同時我們使用Filemon軟件，記錄下病毒對整個系統(tǒng)中文件的操作行為。然后以sxs.exe和afkguw.exe作為關(guān)鍵字對整個記錄內(nèi)容進行

5、過濾。計算機病毒與防治課程小組木馬病毒行為追蹤 病毒會在創(chuàng)建病毒文件時“贈送”一個Autorun.inf文件， sxs病毒中INF文件所寫的內(nèi)容如下： AutoRunopen=sxs.exeshellexecute=sxs.exeshellAutocommand=sxs.exe病毒病毒編寫者往往利用autorun.inf的自動功能，讓移動設(shè)備在用戶系統(tǒng)完全不知情的情況下，“自動”執(zhí)行任何命令或應(yīng)用程序。因此，通過這個autorun.inf文件，可以放置正常的啟動程序，如我們經(jīng)常使用的各種教學光盤，插入電腦光盤就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內(nèi)容。計算機病毒與防治課程

6、小組木馬病毒行為歸納1.生成文件%system%svohost.exe%system%winscok.dll2.添加啟動項hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun soundmam = %system%svohost.exe3.盜取號碼鍵盤記錄，包括軟件盤。將盜取的號碼和密碼通過郵件發(fā)送到指定郵箱。計算機病毒與防治課程小組木馬病毒行為歸納4.傳播方式檢測系統(tǒng)是否有可移動磁盤，是則拷貝病毒到可移動磁盤根目錄。包括sxs.exe和autorun.inf文件。5.autorun.inf添加下列內(nèi)容，達到自運行的目的。aut

7、orunopen=sxs.exeshellexecute=sxs.ex 6.關(guān)閉窗口名為下列的應(yīng)用程序qqkav、雅虎助手、防火墻、網(wǎng)鏢、殺毒程序等。計算機病毒與防治課程小組木馬病毒行為歸納7.結(jié)束下列進程sc.exe、net.exe、sc1.exe、net1.exe、pfw.exe、kav.exe、kvol.exe、kvfw.exe、tbmon.exe、kav32.exe、kvwsc.exe、ccapp.exe、eghost.exe、kregex.exe、kavsvc.exe、vptray.exe、ravmon.exe、kavpfw.exe、shstat.exe、ravtask.exe、tr

8、ojdie.kxp、iparmor.exe、mailmon.exe、mcagent.exe、kavplus.exe、ravmond.exe、rtvscan.exe、nvsvc32.exe、kvmonxp.exe 等。 8.刪啟動項HKLMSoftwareMicrosoftWindowsCurrentversionRun Ravtask、kvmonxp、ylive.exe、yassistse、kavpersonal50、ntdhcp、winhoxt計算機病毒與防治課程小組木馬病毒手動清除在以下整個過程中不得雙擊分區(qū)盤，需要打開時用鼠標右鍵打開。1 關(guān)閉病毒進程Ctrl + Alt + Del 任

9、務(wù)管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結(jié)束掉。2 顯示出被隱藏的系統(tǒng)文件運行regeditHKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，將CheckedValue鍵值修改為1。在文件夾工具文件夾選項中將系統(tǒng)文件和隱藏文件設(shè)置為顯示。計算機病毒與防治課程小組木馬病毒手動清除在以下整個過程中不得雙擊分區(qū)盤，需要打開時用鼠標右鍵打開。3 刪除病毒在分區(qū)盤上單擊鼠標右鍵打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。 4 刪除病毒的自動運行項 打開注冊表 運行regeditHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 下找到 SoundMam 鍵值，可能有兩個，刪除其中的鍵值C:WINDOWSsystem32SVOHOST.exe。最后到 C:WINDOWSsystem32 目錄下刪除 SVOHOST.exe 或 sxs.exe 。重啟電腦后，發(fā)現(xiàn)殺毒軟件可以打開，分區(qū)盤雙擊可以打開了。 5 如果殺毒軟件實時監(jiān)控可以打開，但開機無法自動運行，最簡單的辦法，執(zhí)行殺毒軟的添加刪