图1
按照常规方法分析，利用fport工具查看，结果如图2所示：

                                                                               图2
　　所有的TCP连接都是由Explorer.exe发出的，而Explorer.exe是系统进程，主要的作用是负责显示系统桌面上的图标以及任务栏。显然，常规的方法是无法发现病毒体的。那么狡猾的病毒是如何“寄生”在Explorer.exe中的呢？
　　这就要了解“DLL线程注入”技术的相关知识了。通过“线程注入”技术，病毒体成为Explorer.exe的一个线程，让用户难以发现。尽管这种病毒非常狡猾，我们还是可以让其显露原形的。只要我们监测Explorer.exe运行时都载入了哪些DLL文件，再对这些DLL文件分析就能够找出病毒体。DLLShow就是这样一个查看程序启动时与程序相关联的DLL文件的工具，可以在http://www.gregorybraun.com/下载一个30天的试用版。运行DLLShow后可以看到Explorer.exe运行时载入的DLL文件，如图3所示：

                                                                        图3
　　从图中可以看出所有合法的DLL文件都会在列表中显示公司的名称、功能等。可疑的文件是“三无”产品，很容易看出来，图4是笔者利用Dllshow分析病毒计算机的日志文件。

                                                                              图4
　　图中系统文件都有Microsoft的标识，其中有三个文件比较可疑，没有任何标识。从路径可以看出有两个文件是3721的文件，另一个可疑文件是~209.tmp，这个临时文件居然加载到Explorer.exe进程中了。根据路径信息，利用可读写NTFS分区的DOS引导盘启动计算机，将~209.tmp剪切出来。再重新启动计算机，然后利用Netstat-an命令查看，染毒计算机网络状态一切正常。好了，已经成功分离病毒体，把抓到的样本提交给安全厂商就OK了。
　　1月12日的病毒定义可以正确发现该病毒，病毒名称为win32.Bobax.D，是一个和“震荡波”病毒类似的蠕虫病毒，利用04-011漏洞进行传播。只要安装了相应的补丁就可以防御该病毒了。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1589&categ_code=10041003