按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
“爱虫”病毒修改下面的注册表项目,以便它在下次启动机器的时候可以自动运行:
“爱虫”病毒还设置微软网络探险家浏览器(Internet Explorer)缺省的主页,自动下载一个叫做WIN_BUGFIX。exe 的文件,这个文件看起来象是一个〃后门服务器〃(backdoor server)。人们多次对指向的地址进行连接都没有成功,也就是说该文件在因特网上真实的位置目前是关闭的,这个传说中的后门服务器一直没有找到。
可执行文件将被安装和重命名,以便在启动系统时也能运行:
“爱虫”病毒搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG; VBS; JS; JSE; CSS; WSH; SCT; HTA; MP3和MP2 的所有文件,给无VBS后缀的文件名添加VBS扩展名。如:一个名为Satisfaction。MP3的文件将变为Satisfaction。MP3。VBS。下一次染毒文件被点击或被激活,病毒将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,“爱虫”病毒将产生一个HTML文件,将自身发送到IRC频道中。
检测与清除:
删除在视窗系统目录中的病毒的拷贝:
视窗系统安装目录
Win32DLL。vbs
视窗系统安装目录下的系统目录
MSKernel32。vbs
视窗系统安装目录下的系统目录
LOVE…LETTER…FOR…YOU。TXT。vbs
查找整个系统,搜寻〃*。vbs〃,将它们删除掉,以确保安全。如果你运行mIRC,删除它的script。ini文件。
你可以使用注册表编辑程序(Regedit)手动删除上面所描述的又来自动启动的注册表键值。
第四节 “CIH”的噩梦
“CIH”名字的由来是因为在CIH病毒中间,出现了病毒作者陈盈豪名字的缩写,在网上和陈盈豪交流过好多次了,感觉他是一个很腼腆的人。但是CIH病毒可以说是世界上影响最大的病毒之一,其创造性的技术甚至被某些反病毒软件利用作为病毒防火墙的核心!
1998年的7月26日,名叫CIH的计算机病毒首次露面,袭击了美国,病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗。一个月后,该病毒在中国大陆出现,给多家计算机应用单位造成严重损失。今年4月26日该病毒又一次在全球总爆发,据有关报道,全球有六千万台电脑受到破坏,大量重要资料无法复原,灾情严重者,连计算机主板硬件也不得不更换。仅一天,由于CIH病毒发作,在中国大陆受损的电脑总数约有卅六万台, 所造成的直接、间接经济损失超过十亿元人民币。
CIH病毒是一种文件型病毒,又称Win95。CIH、Win32。CIH、PE_CIH,是感染Windows95/98环境下PE格式(就是微软的一种可执行文件的格式,虽然不是可移植的,就是说不能在苹果机或者其他的工作站上运行,但是微软还是把它命名为可移植的文件格式)文件的病毒。不同于以往的DOS型病毒,CIH病毒是建立在WINDOW95/98平台。由于微软WINDOWS平台的不断发展,DOS平台已逐渐走向消亡,DOS型病毒也将随之退出历史的舞台。随之而来的是攻击Windows系统病毒走上计算机病毒的前台。可以预测,在未来几年内,连同宏病毒在内,Windows平台将会是造病毒和反病毒的主战场。
目前CIH病毒有多个版本,典型的有:CIH版本1。2:四月二十六日发作,长度为1003个字节,包含字符:“CIHv1。2TTIT”,这也是目前流传最广泛的病毒;CIHv1。3:六月二十六日发作,长度为1010个字节,包含字符:“CIHv1。3TTIT”;CIHv1。4:每月二十六日发作,长度为1019个字节,包含字符:“CIHv1。4TATUNG”。我们重点对版本1。2进行分析。
病毒的表现形式、危害及传染途径
CIH病毒是一种文件型病毒,其宿主是Windows 95/98系统下的PE格式可执行文件即。EXE文件,就其表现形式及症状而言,具有以下特点:
受感染的。EXE文件的文件长度没有改变;
DOS以及视窗3。1 格式(NE格式)的可执行文件不受感染,并且在视窗NT/2000中病毒不起作用。
一个最简单的查找CIH病毒的方法是用资源管理器中 “工具》查找》文件或文件夹”的“高级》包含文字”查找所有。EXE特征字符串〃CIH v〃,在查找过程中,显示出一大堆符合查找特征的可执行文件,很可能意味着你的机器已经被CIH病毒感染了。
如果被CIH病毒感染的机器在4月26日开机,很可能会造成显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。
病毒的危害主要表现在于病毒发作后,硬盘数据全部丢失,甚至主板上的BIOS中的原内容被会彻底破坏,主机无法启动。只有更换BIOS,或是向固定在主板上的BIOS中重新写入原来版本的程序,才能解决问题。
该病毒是通过文件进行传播。计算机开机以后,如果运行了带病毒的文件,其病毒就驻留在视窗操作系统的系统内存里了。此后,只要运行了PE格式的。EXE文件,这些文件就会感染上该病毒。
病毒的运行机制
同传统的DOS型病毒相比,无能是在内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都于众不同,新颖独到。病毒的代码不长,CIHv1。2只有1003个字节,其他版本也大小差不多。它绕过了微软提供的应用编程界面(API),绕过了ActiveX、C++甚至C,使用汇编,利用VxD(虚拟设备驱动程序)接口编程,直接杀入视窗操作系统的内核。它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即前面所说的“空洞利用”,将病毒化整为零,拆分成若干块,插入宿主文件中去。
最引人注目的是特征可能是“CIH”病毒破坏硬件的能力,它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例。可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向。下面对该病毒作进一步的剖析,该病毒程序由三部分组成。
CIH病毒的驻留(初始化)
当运行带有该病毒的。EXE时,由于该病毒修改了该文件程序的入口地址(Address of EntryPoint),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184字节,其驻留主要过程如下:
用SIDT指令取得IDT base address(中断描述符表基地址),然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分;
执行INT 3指令,进入CIH自身的INT 3入口程序,这样,CIH病毒就可以获得Windows最高级别的权限(Ring 0级),可在Windows的内核执行各种操作(如终止系统运行,直接对内存读写、截获各种中断、控制I/O端口等,这些操作在应用程序层Ring 3级是受到严格限制的)。病毒在这段程序中首先检查调试寄存器DR0的值是否为0,用以判断先前是否有CIH病毒已经驻留。
如果DR0的值不为0,则表示CIH病毒程式已驻留,病毒程序恢复原先的INT 3入口,然后正常退出INT3,跳到过程9;
如果DR0值为0,则CIH病毒将尝试进行驻留。首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记,然后调用INT 20中断,使用VxD call Page Allocate系统调用,请求系统分配2个PAGE大小的Windows系统内存(system memory),Windows系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序想长期驻留在内存中,则必须申请到此区段内的内存。
如果内存申请成功,则从被感染文件中将原先分成多块的病毒代码收集起来,并进行组合后放到申请到的内存空间中。
再次调用INT 3中断进入CIH病毒体的INT 3入口程序,调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,在Windows内核中文件系统处理函数中挂接钩子,以截取文件调用的操作,这样一旦系统出现要求开启文件的调用,则CIH病毒的传染部分程序就会在第一时间截获此文件;
将同时获取的视窗操作系统默认的IFSMgr_Ring0_FileIO(核心文件输入/输出)服务程序的入口地址保留在DR0寄存器中,以便于CIH病毒调用。
恢复原先的IDT中断表中的INT 3入口;退出INT 3;
根据病毒程序内隐藏的原文件的正常入口地址,跳到原文件正常入口,执行正常程序。
病毒的感染
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序。这段程序共586字节,感染过程如下:
文件的截获
每当系统出现要求开启文件的调用时,驻留内存的CIH病毒就截获该文件。病毒调用INT20的VxD call UniToBCSPath系统功能调用取回该文件的名和路径。
EXE文件的判断
对该文件名进行分析,若文件扩展名不为〃。EXE〃,不传染,离开病毒程序,跳回到Windows内核的正常文件处理程序上。
PE格式。EXE判别
目前,在Windows 95/98以及Windows NT,可执行文件。EXE采用的是PE格式。PE格式文件不同于MS…DOS文件格式和WIN 3。X(NE格式,Windows and OS/2 Windows 3。1 execution File Format)。PE格式文件由文件头和代码区(。text Section)、数据区(。data Section)、只读数据区(。rdata Section)、资源信息区(。rsrc Section)等文件实体部分组成。其中文件头又由MS…DOS MZ头、MS…DOS实模式短程序、PE 文件标识(Signature)、PE文件头、PE文件可选头以及各个Sections头组成。
当病毒确认该文件是PE 格式的。EXE文件后,打开该文件,取出该文件的 PE文件标识符(Signature),进行分析,若Signature=〃00455000〃(00PE00),则表明该文件是PE格式的可执行文件,且尚未感染,跳到过程4,对其感染;否则,认