求助bootkit病毒如何彻底清除

求助bootkit病毒如何彻底清除,第1张

如何有效应对Rootkit内核型病毒 ZDNet 安全频道

在诸多病毒类型里面最让人深恶痛绝的就是Rootkit(内核型)蠕虫病毒,许多时候杀毒软件能检测到该病毒,但却无法有效清除。此类病毒的特点是病毒文件为两个或多个,一个是扩展名为EXE的可执行类型文件,一个是扩展名为SYS的驱动类型文件。EXE可执行文件为传统的蠕虫病毒模块,负责病毒的生成、感染、传播、破坏等任务;SYS文件为Rootkit模块。

Rootkit也是一种木马,但它较我们常见的“冰河”、“灰鸽子”等木马更加隐蔽,它以驱动程序的方式挂入系统内核,然后它负责执行建立秘密后门、替换系统正常文件、进程隐藏、监控网络、记录按键序列等功能,部分Rootkit还能关闭杀毒软件。目前发现的此类模块多为病毒提供隐藏的机制,可见这两类文件是相互依赖的。既然病毒已经被隐藏了,我们从何处入手发现病毒呢?这里就以感染orans.sys蠕虫病毒的计算机为例,探讨如何检测和查杀该类病毒。

检测病毒体文件

Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。

首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。

端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。

在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。

手工清除病毒

1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。

2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。

3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。

4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

HKEY_LOCAL_MACHINESYSTEMControlSet002Services

三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。

5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。

这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会

在网络安全中经常会遇到rootkit,NSA安全和入侵检测术语字典( NSA Glossary of Terms Used in Security and Intrusion Detection)对rootkit的定义如下:A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems.

x7d3]1G!?2Rz0SupeSite/X-Space官方站OvP%T}:t&_0NEw

好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。实际上,rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后,如果他还没有获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装rootkit,然后他将经常通过rootkit的后门检查系统是否有其他的用户登录,如果只有自己,攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后,攻击者就会利用这些信息侵入其它的系统。 SupeSite/X-Space官方站J l+br [0x-V

bX#[H5^*`G!r0什么是rootkit

i*Q i [3tj*y3s0@(j0

8mh iuy}D0Rootkit出现于二十世纪90年代初,在1994年2月的一篇安全咨询报告中首先使用了rootkit这个名词。这篇安全咨询就是CERT-CC的CA-1994-01,题目是Ongoing Network Monitoring Attacks,最新的修订时间是1997年9月19日。从出现至今,rootkit的技术发展非常迅速,应用越来越广泛,检测难度也越来越大。其中针对SunOS和Linux两种操作系统的rootkit最多(树大招风:P)。所有的rootkit基本上都是由几个独立的程序组成的,一个典型rootkit包括: SupeSite/X-Space官方站:Rd]#m+a0]X l

SupeSite/X-Space官方站c yNmQO M

以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息。 SupeSite/X-Space官方站"V'wz,{1[1m:}

特洛伊木马程序,例如:inetd或者login,为攻击者提供后门。

{ dmS8o6W_0隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等。 SupeSite/X-Space官方站jN/WK(V5\ }S

可能还包括一些日志清理工具

)M@H3uF/F}0一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。

o_k(F{Z |#k0还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。

OUzU6R9j q h0Ocrf0SupeSite/X-Space官方站 gerx*eNjl(n,e

入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。 SupeSite/X-Space官方站(m yZ1e3~(L1|

SupeSite/X-Space官方站2dP&q+S1| GW/w.Ew l

在一些黑客组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。 SupeSite/X-Space官方站zY jAUxM)SI\,\w

J J3E&j$u,T#{"jlQ:E0入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。

`TC%dz+O1V'O.]&n{0SupeSite/X-Space官方站c8Ai/Jh,K \

设置uid程序。 黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

V.W M.B#L4p t1FD0

G4~8t:rC0y0系统木马程序。黑客替换一些系统程序,如"login"程序。因此, 只要满足一定的条件,那些程序就会给黑客最高权限。

qg6kb#F SeC0

s'w.I D Vc5R\~0Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。 SupeSite/X-Space官方站*j/y#t{6RGt-~

具体可能通过以下方法给予远程用户以最高访问权限: ".rhost" 文件, ssh认证密钥, bind shell, 木马服务程序。 SupeSite/X-Space官方站m ~?3^8x/B

".rhosts" 文件。一旦 "+ +"被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。 SupeSite/X-Space官方站"t+cR-B_^J N8U9X @

SupeSite/X-Space官方站:l#]_S4\

ssh认证密钥。黑客把他自己的公共密钥放到目标机器的ssh配置文件"authorized_keys"里, 他可以用该账号来访问机器而不需要密码。 SupeSite/X-Space官方站XJ:?0pp.J

SupeSite/X-Space官方站6T\CoY9a}Y

Bind shell。黑客绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。 SupeSite/X-Space官方站Ix_F~R M

SupeSite/X-Space官方站&~3[+[4?L'h\1j'{a

Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。

XF5Q ~u}u0在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。

Yk g"e*|I s0为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如"ls", "du", "fsck"。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。 SupeSite/X-Space官方站8~tG5q7f?JfJ@,w,s

%KSTGJBN[ Zz0为了隐藏进程, 他可以替换 "ps"程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/476943.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-07
下一篇2023-06-07

发表评论

登录后才能评论

评论列表(0条)

    保存