今天小編就爲大家分享一篇關於Rootkit病毒的解決辦法,小編覺得內容挺不錯的,現在分享給大家,具有很好的參考價值,需要的朋友一起跟隨小編來看看吧
在諸多病毒類型裏面最讓人深惡痛絕的就是Rootkit(內核型)蠕蟲病毒,許多時候殺毒軟件能檢測到該病毒,但卻無法有效清除。此類病毒的特點是病毒文件爲兩個或多個,一個是擴展名爲EXE的可執行類型文件,一個是擴展名爲SYS的驅動類型文件。EXE可執行文件爲傳統的蠕蟲病毒模塊,負責病毒的生成、感染、傳播、破壞等任務;SYS文件爲Rootkit模塊。
Rootkit也是一種木馬,但它較我們常見的“冰河”、“灰鴿子”等木馬更加隱蔽,它以驅動程序的方式掛入系統內核,然後它負責執行建立祕密後門、替換系統正常文件、進程隱藏、監控網絡、記錄按鍵序列等功能,部分Rootkit還能關閉殺毒軟件。目前發現的此類模塊多爲病毒提供隱藏的機制,可見這兩類文件是相互依賴的。既然病毒已經被隱藏了,我們從何處入手發現病毒呢?這裏就以感染orans.sys蠕蟲病毒的計算機爲例,探討如何檢測和查殺該類病毒。
檢測病毒體文件
Norton防病毒軟件報告c:windowssystem32orans.sys文件爲Rootkit型病毒,這裏可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測的。那麼是否刪除了該文件就能清除病毒呢,答案是不行的。
首先在染毒的系統下該文件是受保護的,無法被刪除。即使用戶在安全模式下刪除了文件,重新啓動後,另外一個未被刪除的病毒文件將隨系統啓動,並監控系統。一旦其發現系統的註冊表被修改或病毒的SYS文件遭刪除,病毒就會重新生成該文件並改回註冊表,所以很多時候我們會發現病毒又重生了。因此需要同時找到這兩個文件,一併處理。但在受感染的系統中,真正的病毒體已經被Rootkit模塊隱藏了,不能被殺毒軟件檢測到。這時就需要從系統中的進程找到病毒的蛛絲馬跡。系統自帶的任務管理器缺少完成這一任務的一些高級功能,不建議使用。這裏向大家推薦IceSword或Process Explorer軟件,這兩款軟件都能觀察到系統中的各類進程及進程間的相互關係,還能顯示進程映像文件的路徑、命令行、系統服務名稱等相關信息。在分析過程中不僅要留意陌生的進程,一些正常系統進程也要仔細檢查,因爲病毒常以子進程插入的方式將自己掛到系統正常進程中。在IceSword軟件中以紅色顯示的進程爲隱藏進程,往往是內核型木馬的進程。
端口分析也是一種常用的方法,因爲病毒常打開特殊的端口等待執行遠程命令,部分病毒還會試圖連接特定的服務器或網站,通過進程與端口的關聯,檢測到病毒進程。
在上面的例子中我們通過比對正常運行的系統和染毒系統很快就判斷出系統中的restore進程爲異常進程,該進程的映像文件爲c:windowsrestore. exe,這樣我們就找到了病毒體文件。而當找到這個文件時,發現Norton沒有告警,可見病毒文件躲過了殺毒軟件。進一步分析還發現病毒在系統中添加了一項服務,服務名稱爲“restore”,可執行文件路徑指向病毒文件。
手工清除病毒
1.關閉系統還原功能,右鍵單擊“我的電腦”,選擇“屬性”,在“系統屬性”中選擇“系統還原”面版,勾選“在所有驅動器上關閉系統還原”,關閉系統還原功能。
2.重新啓動計算機進入安全模式,在“控制面板”→“管理工具”中單擊“服務”,病毒在這裏添加了“restore”服務,將該服務禁用。
3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。
4.運行註冊表管理器regedt32. exe,查找註冊表病毒添加的表項。在
- HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
- HKEY_LOCAL_MACHINESYSTEMControlSet001Services
- HKEY_LOCAL_MACHINESYSTEMControlSet002Services
三個分支下發現病毒添加的 “orans.sys”和“restore” 註冊表項,刪除該表項。
5.重啓動系統到正常模式,打開系統還原功能,併爲系統安裝補丁程序。
這類病毒的變種很多,從病毒生成的可執行文件到註冊的系統服務、傳播及危害方式都有所不同,這裏主要提供一個思路,大家在遇到時能找準根源解決問題。另外這類病毒多數是利用操作系統的漏洞或猜解管理員的口令入侵的,有些病毒還能同時利用多個漏洞,逐一嘗試。因此大家要充分意識到打補丁的重要性,同時避免空或弱的管理員口令,降低病毒入侵的機會。
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對神馬文庫的支持。如果你想了解更多相關內容請查看下面相關鏈接