发表于: 2005-12-14 16:50 | 只看楼主 短消息 资料
字号: 1楼

Backdoor/Agobot的参考清除方法

转自江民社区
    关于Backdoor/Agobot病毒家族,为什么总谈这个病毒家族,很简单,因为它传播能力强,感染面积大。先说说这是什么。



一、网络恐怖主义和Agobot病毒



    网络恐怖主义这个词不新鲜了,好几年以前就听说过了。什么是网络恐怖主义?其实一直没有确切的定义。我的理解就是通过网络干一些危害性很大的事情。很多国内网站文章把一般的黑客攻击也称为网络恐怖主义,我不同意。黑掉别人网站以后吓得忙不迭的打电话认错乃至到派出所自首,这是良民,不是恐怖主义。提前一个月给网管发匿名电子邮件勒索要钱,时间到了钱不到帐,再搞瘫他。网警焦头烂额查不出头绪,网管吓得不敢再收email。这叫网络恐怖主义。当然,如果可以搞一次某国东海岸大面积停电那样的混乱,更是恐怖主义。不过我想说的只是网络勒索,毕竟这些东西是今年风行的,是已经被公认存在的,虽然国内似乎还没有什么报导。其实网络勒索者的王牌就是他拥有一个庞大的“僵尸网络”。僵尸网络由数十万上百万的僵尸计算机组成,僵尸计算机就是感染了病毒,可以被人远程遥控的机器。僵尸网络可以交易,一个十万点的僵尸网络大约值500美元。即使你不是黑客,只要有5000美元,就可以买到大约一百万点的僵尸网络,然后就可以去要钱了。一百万台机器同时对一个网站发动DoS攻击的话,各位网管拍拍脑袋合计合计,你的网站挺得住么?
    网络勒索就是这么简单,低成本高收益。这其中最大的功臣显然是把一台电脑缔造成僵尸计算机的病毒了。这么辉煌的战绩不是单个病毒造就的,而是一群,是一大群。它们是近亲,可以统称为Agobot。Agobot这个名字来自于最初变种的源码,读做“爱狗抱它”。诺顿给病毒起名字时,有颠倒字母的癖好,叫Gaobot,瑞星虽然跟AVP换样本,但一贯喜欢诺顿的这个癖好,所以瑞星管它叫“高波”。无论名字是什么,都无法掩盖Agobot病毒家族成为有史以来最成功的网络蠕虫之一。它成功的原因主要有3点:第一,开放源码,变种无数;第二,与时俱进,利用最新的系统漏洞;第三,还是与时俱进,使用最新最酷的壳来加密自己。
    作为杀毒软件,抵御Agobot最成功的当然要首推AVP,全球遥遥领先的解壳能力和高达95%以上的查杀未知Agobot变种能力,不得不让人敬佩。国内杀毒软件就有些差距了。KV的Agobot广谱查毒程序有所改善,对Agobot查杀能力约有85%~90% ,解壳方面跟AVP比还差了些。瑞星有没有广谱查毒我不能确认,至少从瑞星对我手头1500个Agobot变种的查毒结果来看,似乎是没有,不过瑞星有个听诊器程序,还是不错的,对Agobot变种有大约70%的检出率,但那个毕竟不是杀毒软件,不能杀毒。
    Agobot变种虽多,但彼此差别很小。“They were compiled from the same source with a little modifications”,这是Eugene Kaspersky的原话,上文提到的僵尸网络的价格也是他告诉我的。杀毒软件对Agobot的这种窘境,从另一个角度也反映了基于特征码引擎的软肋。广谱查毒虽然挺有效,但也是特征码广谱,广谱能力还是很有限的。基于行为的查毒方法,我能想到的除了虚拟机就是字符串了,本来想请教Kaspersky。行为查毒,我直觉上认为,是有前途的,目前技术上最大的难题是和特征查毒之间的速度差距。这个和这篇帖子的主题离得有点远,就先不提了。



    二、就目前Agobot的变种来看,清除它是比较简单的,装有杀毒软件的话,可以尝试下面的2种方法:
    1. 直接选择扫描内存查杀病毒,一般来说就够了。
    2. 进入安全模式,进行全盘文件扫描。



    即使没有杀毒软件,手工清除也没有问题:
    step 1, 没有进行大数据量的网络通讯,但系统明显变慢,网络阻塞。发包数量是收包数量的几十倍。这是感染Agobot的普遍特征。
    step 2, 用任务管理器确定CPU占用较高的病毒进程,如果有tcpview等网络监视工具,可以更加准确的锁定病毒进程。
    step 3, 在任务管理器中结束可疑进程。如果失败,可以重启到安全模式,到Windows\System32文件夹中直接删除病毒文件。
    step 4, 启动注册表编辑器,从启动项中删掉病毒程序启动项。
    如果step 3成功,step 4做不做无所谓,当然做了更好。



    清除方法很简单,麻烦的是如何避免再次感染。
    Backdoor/Agobot是通过系统漏洞和管理员帐号弱密码传播的。避免再次感染就是要斩断它的传播途径。
    系统漏洞方面主要是冲击波漏洞(MS03-026)和震荡波漏洞(MS04-011),如果机器上安装了IIS的话,还可能存在WebDav漏洞。
    运行Windows的自动更新,是打漏洞补丁最直接、最有效也是最安全的办法。如果机器上的Windows是盗版的,或者网速太慢,可以下载江民的疫苗程序(http://update.jiangmin.com/download/kvpatch.exe)来打补丁。
    管理员帐号如果没有密码,或者是"123","root"之类的弱口令也是不行的。改一个复杂点的就可以了。这里有个需要留意的问题,就是Administrator帐号,很多用户(特别是WindowsXP用户)甚至不知道这个管理员帐号的存在,相当多的XP用户,Administrator帐号是没有密码的。设置密码的方法是运行compmgmt.msc(管理工具)-->本地用户和组-->用户-->右键点击Administrator-->设置密码。



    比较保险的清除顺序是先打补丁-->断网-->重启-->杀毒。
最后编辑2005-12-14 16:50:31