今天的主角是tel.xls.exe这个优盘病毒。这个病毒出现地比较早，之所以说它，

　　是因为它是一个比较典型的优盘病毒，而且变种比较难以消灭。优盘病毒一般都以autorun.inf引导一个exe的实体病毒文件。

　　当然也有后期的以vb脚本引导的，那就更难处理了，而且往往打不开优盘，可以用Win+R, 然后直接输入盘符名打开优盘。

　　tel.xls.exe作为一个优盘病毒，也不例外。tel.xls.exe被感染后，会释放文件进入system32目录，同时会把自己复制到每一个盘符中，监听本地端口，窃取主机信息并发送，其行为类似木马。

　　下面我来一步一步详细讲解：

　　1.首先当然是构建测试环境，真机测试比较危险，不推荐。我用的是虚拟机，虚拟机优点是使用方便，而且不会影响实机。 就是先期配置烦一点，而且对机器配置要求比较高。

　　如果是配置差或者懒得去弄虚拟机，可以装个影子系统。

　　Windows下的虚拟机又分VMWare和Virtual PC两种，实现虚拟的原理不同，目的是一样的。

　　Virtual PC已经被微软收购，从07版开始只能在windows里虚拟windows，呵呵，垄断啊， 不过有个好处，VPC2007是免费的。VMWare则可以在Windows下虚拟几乎所有操作系统，windows/dos/linux/freebsd等等。

　　不过是收费软件。虚拟机装好之后，只要再安装一下软件自带的插件，就能与真机交换文件了。非常好用。另外，虚拟机一般用桥接网络上网，非常好用。我下面就以免费的VPC 2007来演示啦~

　　2.其次是抓样本，当然你优盘里面有现成的样本就更好了有些论坛的样本区就有样本，上去下一个。

　　3. （这个病毒破坏力太强，之前的英文版系统的svchost.exe被破坏，无法开机，不高兴修复了，直接改用新装的中文WinXP，所以这边会出现两个系统的截图）下载后解压，发现看不到文件，其实是因为病毒的文件属性是隐藏的系统文件。必须进文件夹选项修改一下，把划红线的地方修改一下，顺便把后缀也显示出来~ 文件就可见了~

　　a.jpg (49.2 KB)

　　划红线的三个都改一下

　　2008-9-21 17:19

　　4.接下来，可以把文件传到多引擎扫描网站上看看，

　　比如VirScan.org, 类似的网站还有Virus Total, Jotti's Malware Scan等。

　　一来可以“验明正身”，看看这个到底是不是病毒。

　　而来可以看看各个厂商的结果，如果没有报的话，还可以向厂商上报~

　　这边以“国产”的Virscan为例：

　　VirSCAN.jpg (86.88 KB)

　　扫描结果

　　毕竟是老病毒了，除了国外的冷门杀软，基本都报了。这无所谓，我们主要看的是病毒分析方法和过程，呵呵。

　　5.为了分析病毒行为，可以放入沙盒(Sandbox) 测试。

　　网上就有一个不错的现成的沙盒(Norman Sandbox)，可以对文件行为做分析。只要上传文件，输入邮件地址，就能在邮箱收到报告。

　　c.jpg (45.6 KB)

　　当然，这个沙盒的特点是现成的，操作简单速度快，不过结果也比较简单。 真正要观察病毒的实际行为，可以在虚拟机里面用RegMon, FileMon,autorun, TCP/IP等来看。

　　这些软件都是Sysinternal的，去年被微软收购了~ 当然，也可以用单机版的Sandbox来看，就是这个软件比较贵。

　　6. 不一会，就收到了分析的邮件：

　　e.jpg (37.73 KB)

　　释放的文件，进程、注册表修改、MD5等参数全部一次性拿到，方便啊~ 其实，对于一般用户来说，用一些好用的工具，例如金山清理专家或SREng同样能发现端倪：

　　使用清理专家扫描，发现可疑启动项：

　　qidong.jpg (49.56 KB)

　　全面扫描，发现更多可疑项：

　　quanbu.jpg (51.89 KB)　

　　扫描恶意软件，发现autorun.inf

　　eyi.jpg (49.59 KB)

　　再使用SREng扫描：

　　sreng.jpg (46.34 KB)　

　　附上SReng扫描报告，

　　报告中的下列项目就是病毒生成的：

　　引用:

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　<ASocksrv><SocksA.exe>

　　进程

　　[PID: 3864 / SYSTEM][C:WINDOWSsystem32mmc.exe] [N/A, ]

　　服务

　　[Smart Card Supervisor / mmc][Running/Manual Start]

　　<2 - 系统找不到指定的文件。

　　><(File is missing)>

　　Autorun.inf

　　[C:]

　　[AutoRun]

　　open=tel.xls.exe

　　shellexecute=tel.xls.exe

　　shellAutocommand=tel.xls.exe

　　shell=Auto

　　7.和沙盒的分析结果比对， 多出一个叫 kill 的任务。如下图：

　　777.jpg (35.06 KB)

　　多出一个mmc.exe进程，与沙盒分析结果吻合~

　　666.jpg (44.85 KB)

　　8. 使用类似IceSword的工具结束进程。

　　IceSword是中科大的pjf写的，由于使用了Windows核心的API，可以直接看到隐藏文件和进程，个人认为IceSword在处理两个进程互为保护的病毒时特别有效。可以同时结束两个进程。或锁住一个进程，不让其再生。这招对付进程互为保护的病毒非常不错。

　　aaa.jpg (56.7 KB)

　　9. 进程对应的文件，与沙盒分析吻合，删除之~

　　111.jpg (54.88 KB)

　　生成的另两个文件，删除之~

　　555.jpg (55.47 KB)　

　　10.Win+R, msconfig, 删除增加的启动项。

　　333.jpg (41.12 KB)

　　11. mmc在监听本地3000端口。一旦联网，就会对外发送信息。

　　12. 最后，用金山毒霸全盘扫描一下，“打扫”一下战场吧~ 因为生成的文件比较多，手工删的话也可以，先搜索文件再删除， 不过用毒霸又快又方便！ 监控一开，立马开始删除~

　　eee.jpg (45.05 KB)

　　呵呵 已经感染exe了，扫描记录如下：

　　ddd.jpg (76.5 KB)

　　svchost.exe受损，症状为再开机无法进入系统。进度条一直在走，

　　ccc.jpg (20.66 KB)

　　插入光盘修复或进入Windows故障修复台，拷贝光盘原文件至硬盘修复即可~

　　bbb.jpg (45.8 KB)

　　最后，附：VBS一次性清除代码：

　　引用:

　　on error resume next

　　set w=getobject("winmgmts:")

　　set p=w.execquery("select * from win32_process where name='algsrv.exe' or name='SocksA.exe'")

　　for each i in p

　　i.terminate

　　next

　　set fso=createobject("scripting.filesystemobject")

　　set del=wscript.createobject("wscript.shell")

　　dim d(5)

　　dim v(5)

　　d(0)=del.ExpandEnvironmentStrings("%SystemRoot%system32SocksA.exe")

　　d(1)=del.ExpandEnvironmentStrings("%SystemRoot%system32FileKan.exe")

　　d(2)=del.ExpandEnvironmentStrings("%SystemRoot%system32algsrv.exe")

　　d(3)=del.ExpandEnvironmentStrings("%SystemRoot%Session.exe")

　　d(4)=del.ExpandEnvironmentStrings("%SystemRoot%BACKINF.TAB")

　　for i=0 to 1

　　set v(i)=fso.getfile(d(i))

　　v(i).attributes=0

　　v(i).delete

　　next

　　set fso=createobject("scripting.filesystemobject")

　　set drvs=fso.drives

　　for each drv in drvs

　　if drv.drivetype=1 or drv.drivetype=2 or drv.drivetype=3 or drv.drivetype=4 then

　　set w=fso.getfile(drv.driveletter&":tel.xls.exe")

　　w.attributes=0

　　w.delete

　　set u=fso.getfile(drv.driveletter&":AUTORUN.INF")

　　u.attributes=0

　　u.delete

　　end if

　　next

　　set reg=wscript.createobject("wscript.shell")

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue",1,"REG_DWORD"

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLDefaultValue",2,"REG_DWORD"

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue",2,"REG_DWORD"

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENDefaultValue",2,"REG_DWORD"

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenUncheckedValue",1,"REG_DWORD"

　　reg.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtUncheckedValue",0,"REG_DWORD"

　　reg.regdelete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunASocksrv"

　　set fso=nothing

　　msgbox "病毒清除成功，请重启电脑！",64,"tel.xls.exe病毒专杀"