电脑技术学习

对一款病毒(木马)程序的分析

dn001

对一款病毒(木马)程序的分析普通用户一听到病毒(木马)软件,就会觉得很神秘,虽然它听起来比较专业不是普通用户所能掌握的,其实它们并不如想象中的那么神秘,所有病毒(木马)软件都要借助一定的媒介和载体,网络和优盘(移动设备等)是病毒传播的主要媒介。病毒和木马程序表现在细微之处,那就是它们必须在磁盘中以文件形式存在,它们会采取一定的策略和多种方法来隐藏自己,因此通过跟踪和分析病毒文件可以彻底的清除病毒(木马)程序。本文就是从文件的角度去清除一款病毒程序。

(一)识别病毒在本文中已经对木马病毒文件进行了精确的定位,即文件wmgtpvd.exe为病毒文件。病毒文件的定位有以下几种方式:(1)使用杀毒软件对磁盘文件进行杀毒扫描,扫描结束后,病毒软件会显示查杀结果,在这些结果中,查杀到的病毒文件往往以红色进行醒目显示。

(2)使用抓包工具进行端口监听。计算机启动后,默认状况下不进行任何正常应用程序的网络连接,如果在抓包工具中发现有网络连接,那么可以认为,系统可能存在木马程序,在对外进行网络连接。

(3)使用一些进程查看软件进行查看。

(二)查看病毒属性选中“wmgtpvd.exe”文件后,右键单击,在弹出的菜单中选择“属性”,然后在“wmgtpvd.exe属性”中选择“版本”进行版本信息等查看,如图1所示。

1 查看病毒程序文件属性
说明:
1)通过文件属性可以查看该木马程序的产品版本、产品名称、公司以及语言等信息。通过文件属性主要了解该病毒可能是来自那个国家,不过有些病毒编写者会混淆语言,比如病毒编写者是日本人,他的本国语言应该是日语,但他编写的语言采用英语,因此查看文件属性中显示为“English”,不能判断该程序就是英国人编写的。
2)通过文件的描述进行相关搜索和判断。透过文件描述来判断该程序是否为系统或者应用程序正常文件。这个判断往往跟经验相关,普通用户判断相对较难。不过网络搜索可以解决该问题。打开浏览器后可以在百度以及Google等搜索引擎中查找该文件的相关信息,如图2所示。在Google中没有查到该病毒文件的任何信息,后面我又在百度中进行了搜索,也没有任何结果。该文件太过于生疏,因此极有可能是非流行病毒程序。由于目前网络用户过亿,很多用户会在碰到病毒后将碰到的问题发表在bbs等处以获取帮助。
2 通过Google等搜索引擎查找病毒信息
(三)通过工具软件打开病毒文件,获取病毒文件相关信息
对于exe文件不要直接运行,可以使用Winhex或者UltraEdit等工具软件使用二进制格式方式打开病毒文件,打开后依次从上往下查看右边的信息,如图3所示,可以发现该病毒文件是以将病毒插入到svchost.exe进程,且会访问网站地址:http://zht.9966.org/worldmanage/default.aspx

标签: 木马