本文详细介绍了Windows系统中常见的病毒类型,如蠕虫、挖矿、木马、宏病毒等,重点讲述了如何通过进程排查、文件排查、网络连接检测、启动项和服务排查等方式进行系统安全检测和应对勒索病毒等威胁。
windows应急
病毒分类
1、蠕虫病毒(worm)
文件夹蠕虫、网络蠕虫、邮件蠕虫等,主要特点是具有很强的传播性
2、挖矿病毒(CoinMiner/XMiner)
利用被感染主机进行挖矿,占用主机资源,近几年十分流行,通常与僵尸网络搭配
3、木马病毒(Trojan/Backdoor)
木马、后门等主要是为了获得主机的控制权限,窃取信息,执行C&C端的功能指令等
4、感染型病毒(Virus)
主要行为是感染文件,常见家族有Sality、Ramnit、Virut等
5、宏病毒(W200M/X97M/OMacro)
文档类文件启用宏功能后执行宏代码,通常为一个DownLoader,下载执行其他恶意软件
6.僵尸网络:是由大量中了木马病毒的主机组成,不特定单一主机中了僵尸网络病毒
感染型病毒和蠕虫病毒:都具有扩散性,但感染型病毒只是在同台主机的不同文件间扩散;而蠕虫病毒是在不同主机间扩散,范围不一样。
7.勒索病毒:其实可以算是影响比较大的感染型病毒,也会感染文件,但它感染程度更恶劣,加密文件,勒索赎金。
进程排查
病毒的存在形式是多样的,可能是独立运行的进程,也可能是将动态库或恶意代码注入到系统进程、应用进程中运行。这里,粗略分为三种,即独立进程模块、动态库模块、隐藏模块。
1、独立进程块
这是最简单的一种形式,即病毒是独立可执行文件,以独立进程在运行。这类进程通常要么进程名随机,要么伪装成与系统进程相似的名字,或者名字与系统进程完全一样,但文件位置完全不是系统默认的正常路径。以某中毒主机为例,打开任务管理器后观察如下:病毒进程名为svch0st.exe,而系统进程为svchost.exe。
遇到这种,我们可以使用PCHunter对所有进程文件校验签名,检查无签名或签名可疑的进程。
或者使用微软提供的procexp,他支持自动上传进程文件至virustotal
动态库模块
病毒也可能以动态库的方式注入到系统进程或应用进程中去。如下图所示,客户某一中毒主机,我们使用PCHunter工具观察到病毒体sdbot.dll模块注入到系统进程explorer.exe进程中,并且对该进程挂了应用层钩子,包括IAT、EAT和inline等类型的钩子。
同上,可以使用PCHUNTER校验某个进程的dll文件做快速判断。
扫一扫
2406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
