目前病毒的反杀毒技术有了新动向,主要是采用了隐身方法。病毒采用的隐身方法据称有下列两种:一是频繁自我删除启动项和文件,就是开机后删除,关机前再创建,例如Backdoor/Byshell.a;二是隐藏进程、文件名(只能在安全模式下看到)和服务,例如灰鸽子病毒最新变种Backdoor/Huigezi.2005。过去手工杀毒的三步方法就是,停止病毒进程,删除病毒文件,删除病毒启动项。现在这些方法将不好使了。
那么,现在应该如何对付这种新病毒呢?其实办法还是有的。对付第一种病毒的方法非常简单,就是非正常关机(突然停电)。这种方法过去我就用过,例如新浪网站偷偷安装的一个游戏插件,其启动项无法去掉,因为找不到它的进程,无法停止它,所以删除了启动项后关机时它又创建了启动项(简直就是“准病毒”),后来就是用突然停电的方式解决的。顺便说一句,非正常关机对硬盘不利,所以不到迫不得已就别这样干。
对付第二种病毒较难,需要在安全模式下才能发现并删除它。因此,首先必须知道病毒入侵了才好采取措施。已知病毒可以被杀毒软件发现,而未知病毒是无法被杀毒软件发现的,但可以被防火墙发现,这是因为病毒往往要连通网络。你先禁止它连通网络(同时选中类似“以后也同样处理”这样的选项),下一步就到安全模式下查找今天刚创建的exe、dll文件,删除即可。
以下供参考。钩子函数具体调用方法我未试过。
-------------------------------------------
Backdoor/Huigezi.2005 技术分析报告
2005年1月6日江民反病毒中心截获灰鸽子病毒最新变种Backdoor/Huigezi.2005。该变种通过hook系统函数可以隐藏病毒自身文件和进程。
具体技术特征如下:
1.病毒运行后,将创建下列文件:
病毒运行后,将创建下列文件(安全模式下查看):
%WinDir%IExplorer.exe,病毒程序
%WinDir%IExplorer.dll, 病毒程序
%WinDir%IExplorer_Hook.dll, 病毒程序
2.通过修改如下注册表项,将病毒自身添加为服务
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management]
3.将IExplorer_Hook.dll注入到系统每个进程中,通过hook系统函数来达到隐藏自身的目的。
(1)隐藏病毒自身进程,通过任务管理器无法查找到病毒进程。
(2)隐藏病毒自身文件,正常模式下查看不到病毒文件。
(3)隐藏自身添加的服务,使自己从服务列表中消失。
网页显示有限 阅读全文请下载本文完整版WORD文档