Autorun蠕虫病毒查杀实验.ppt

一、实训目的 二、实训知识准备 三、实训要求 四、实训环境 通过对该病毒的查杀，让学生熟悉autoruns和procexp和icesword软件的使用，并了解病毒的特性以及查杀过程，为以后的病毒分析查杀建立基础。 1. 病毒名称 Worm.Win32.AutoRun.elc 2. 病毒别名 疯狂自由女孩病毒 3. 病毒文件信息 File：lhsurdj.exe MD5：4F7D28EB58510D05149FE566972BDD51 SHA1：857BCF33080A21751BAA499844A2986 CRC32：4D7CD431 壳：FSG 2.0 - bart/xt [Overlay] 4. 影响系统 WIN9X/ME/NT/2000/XP/2003 5. 病毒类型 蠕虫病毒 6. 病毒大小 39125bytes 7. 传播方式 需人工下载其服务端。 8. 病毒特征 蠕虫家族出现Autorun变种以来，就一直带给我们很大的麻烦。其家族新变种疯狂自由女孩病毒的出现又给其家族带来了很大的助力，使其势力进一步扩张，计算机在被疯狂自由女孩病毒感染后会在系统目录下会生成大量的病毒文件，并且与家族同类变种一样会生成autorun.inf文件使其重复感染。 9. 病毒行为 9.1. 释放的文件： C:\windows\system32\lhsurdj.exe C:\windows\system32\eohuylj.exe C:\windows\system32\eohuylj.inf C:\windows\system32\musz1s.dll C:\windows\system32\musz2s.dll C:\WINDOWS\system32\uuygec.dll C:\WINDOWS\system32\uuygec.nls 各个盘的根目录下产生lhsurdj.exe和autorun.inf 其中uuygec.dll，uuygec.nls还修改了创建时间来隐藏自己。所有病毒文件都需清楚干净。只要有一个未被删除，重启后仍会生成并加载之前那些病毒文件。 9.2. 注册部分： 添加了以上文件生成的项及启动记载项； 破坏显示隐藏文件： HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ShowSuperHidden改为0 对大多杀毒软件，及冰刃等查看进程或文件的软件进行了映像 劫持。 9.3. 进程中的lhsurdj.exe与eohuylj.exe是互斥体，也起着进程守护 的作用。 9.4. 连接网络时，回到指定网站下载其它木马病毒。 学员在虚拟机中激活病毒LHSURDJ.EXE，并利用工具按步骤对系统进行观察，分析病毒行为，最后对病毒进行查杀。过程中应对步骤进行相应记录，有问题及时提出。需要断开网络，注意本机安全。 1. pc一台，安装有Vmware5.5以上版本；虚拟机中最好安 装有WinXP版本。 2. 病毒文件——病毒.RAR 3. 第三方工具——autoruns和procexp和icesword软件 * Any question？ * * * * * * * *