全面解剖sbl(U盘病毒)的支体隐藏-网络安全专区

全面解剖sbl(U盘病毒)的支体隐藏

作者：妖界之箭编辑：杨京京 2007-09-27 00:00

　　【IT168 专稿】病毒侵害电脑安全，杀软保卫计算机，两者间的对抗永远没有结局，旧的病毒倒下了，新的恶意程序又出现了，病毒的再造力绝不可小视。而第三方存储设备却是病毒通过网络传输以外的传播大道，很多病毒程序撰写者正是瞄准此点，加大了此类病毒的编写量。

　　病毒简介

　　病毒名称：sbl.exe

　　病毒长度： 25088 字节

　　传播途径：第三方存诸设备

　　感染平台：windows98、windows2000、windows nt 、windows xp等

　　中毒症状：用户会发现在每个磁盘下都出现sbl.exe可执行文件并且删不掉，还伴有autorun.inf文件。杀毒软件自动关闭，无法查看杀软网页，如使用第三方安全软件也将被强制关闭，用户无法查看windows任务管理器。

　　病毒分析

　　当病毒感染一台计算机后，首先会在C:\WINDOWS\system32下生成1.inf启动信息文件、chostbl.exe程序文件和lovesbl.dll库文件，并在硬盘所有分区下创建autorun.inf和sbl.exe文件，其Autorun.inf内容为：

　　[autorun]

　　OPEN=sbl.exe

　　shellexecute=sbl.exe

　　shell\Auto\command=sbl.exe

　　shell=open

　　定时检测其属性是否为隐藏。随后病毒转战注册表，注册服务AnHao_VIP_CAHWA 显视名称为GooD DownLoad CAHW，数字字串为1，其值指向C:\WINDOWS\system32\chostbl.exe程序文件，以达病毒源程序自启动的目的。

　　病毒完成上述行为后，开始调用TerminateProcess函数关闭：360tray.exe、360safe.exe、avp.exe、runiep.exe等安全类软件;其次开始调用另一函数GetWindowsTextA以获得当前用户窗口标题，并利用PostMessageA函数尝试发送WM_CLOSE、WM_DESTROY、WM_QUIT指令自动关闭带有：江民、金山、微点、卡卡、木马克星、木马清道夫、超级巡警、安全卫士、NOD32核心及任务管理器等窗口，让安全软件无力运行;随后病毒程序调用FindWindowA函数，尝试利用函数PostMessageA发送WM_CLOSE指令，关闭AVP.AlertDialog、AVP.Product_Noti及AVP.Product_Notification窗体;最后会运行cmd.exe程序执行net stop sharedaccess命令关闭Windows自带的防火墙服务，以达扫除障碍保存自已的目的。

　　此时病毒仍然没有罢手，而是在被感染计算机的C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程，自行利用svchost.exe程序每200ms一次从互联网中下载木马程序wei.exe、hao.exe、haowei.exe到C:\Documents and Settings目录下，分别命名为servciesa.exe~servciesc.exe。导致除了硬盘目录WINNT、WINDOWS、NetMeeting、RECYCLE、Internet Explorer、System Volume Information、Outlook Express、Common Files、Messenger、Windows Media Player、WinRAR、MSOCache、Documents and Settings下的exe无法被感染外，所有的硬盘exe可执行文件将被加入593字节的病毒内容，但其原图表不变。

　　病毒清除方案

　　一、在互联网http://download.kztechs.com/files/sreng2.zip中下载sreng程序并运行，依次打开：启动项目-服务-Win32服务应用程序，在其中选择隐藏经认证的微软项目，然后根据列表框中的信息删除A GooD DownLoad CAHW / AnHao_VIP_CAHW和Windows Accounts Driver / WindowsRemote服务，重新启动计算机。

　　二、右击打开我的电脑，在工具栏的文件夹选项中，显示隐藏文件或文件夹，显视隐藏受保护的操作系统文件(推荐)，让其属性为可视退出，随后右击打开C盘，删除根目录下的sbl.exe、autorun.inf及C:\WINDOWS\system32\下的chostbl.exe、servciesa.exe~servciesc.exe即可，然后清理各磁盘根目录下的autorun.inf和sbl.exe可执行文件即可。(注：打开各分区时一定要右击打开，如双击病毒程序将被击活)

　　笔者按：遇到上述病毒后，用户在清除完成病毒后，应立即加固系统安全打入补丁，并升级当前所用杀软的病毒库，在使用U盘、mp3等第三方存储设备前应先进行病毒扫描，并养成打开任意磁盘设备时使用右击的良好习惯，以防激活未知病毒。

关注我们