ati2avxx恶意代码手工查杀

恶意代码手工查杀

实验目的

手工查杀木马病毒ati2avxx.exe 对手工查杀木马的流程进行实践

实验要求

运行所给的恶意程序的样本，分析运行成活原因，利用所给工具对其进行查杀，使系统恢复正常

实验工具

• IceSword
• ProcessExplorer
• ProcessMonitor

实验过程

运行前的准备

  首先保存虚拟机快照，目的是能够重复实验，保证实验的准确性与最后的成功.
  并且，为了实验方便，在程序运行前，首先打开IceSword ,因为本恶意程序就是不让程序正常打开，实验目的只是查杀验证，方便使用工具

检查

  首先将病毒文件修改为exe，并点击运行，运行完程序，程序会自动消失，隐藏起来

  此时开始利用IceSword工具进行检查

  会发现有个奇怪的进程正在运行，并且从来没有见过，范围已经锁定了，进一步的确定

  咦，发现这个位置有问题

  然后利用ProcessExplorer``ProcessMonitor工具确认一下

  种种迹象表明这个就是那个恶意程序，由于其是隐藏的，发现不了，正准备打开隐藏文件，结果发现这个恶意程序把系统注册表修改了

  可以看到ati2avxx.exe和explore.exe一直在运行,当杀掉ati2avxx.exe时会发现又被重启啦。看来两个必须同时kill掉

分析

  在ProcessExplorer中可以看到ati2avxx.exe是被 explore.exe加载的,而explore.exe是ati2avxx.exe的守护进程

  然后利用IceSword工具同时干掉进程，会发现没有重启

  接着利用ProcessMonitor可以设置filiter，将进程为ati2avxx.exe的过滤出来。

  首先看一下创建那些文件

  会发现一些文件只是单纯的混淆视听用的，但有几个属于重要的moyulh.dll、tgknpb.inf、tgknpb.exe、autourn.inf等等

  我们先按照名字把明显的文件删除

  删除完毕后开始删除备份，毕竟一个恶意代码程序为了保证其存活程度，会隐藏几个备份文件，避免主要程序被删除后，能够继续恢复，而这几个备份文件肯定不会取名非常明显，会隐藏在一堆系统文件之中.
  直接利用Everything删除文件，这个在windows中查找文件，删除文件比较方便彻底

  为了防止少删除几个文件，按照时间排序然后分析删除

  删除IMES.dll

  最后整个系统文件查询一遍，把有问题的删啦，然后就基本上算是删除完

  重启后发现没有程序，进程也没有，啥都没有表示成功

实验收获

  通过此次试验我基本熟悉手工查杀的一些流程，了解当一个恶意程序被加载后，需要首先kill掉所相关联的进程，避免生成，然后为了防止程序的日后继续产生，需要对程序相关文件以及相应的备份文件进行彻底的删除，如果漏掉一个就有可能会继续运行。而如果不事先kill掉进程，删掉文件也会生成。
  这次的恶意程序具有保护进程，并且修改了很多地方的注册表，包括隐藏文件，进一步的将自己隐藏起来。并且为了具备强大的生存性，将备份文件多个隐蔽，很难查找
  然后了解IceSword、ProcessExplorer、ProcessMonitor三个工具的基本功能以及学会简单的使用。
  综合而言，这次的手工查杀实验使我明白，如果要成功的写一个恶意程序，其功能的强大只是一方面，如何使其齐备强大的隐藏性和生存性是其重要的方面。而在查杀方面，不能简单的以为删除文件就算完事，必须找到相关的所有程序，注册表等相关，全部删除才能彻底的查杀恶意代码。