360系统急救箱报CVPNDRVA.sys木马解析
在使用360系统急救箱(也就是之前的360顽固木马专杀大全)扫描木马的时候,发现一个可疑的文件CVPNDRVA.sys,360报告为病毒木马程序,可以隔离清除。扫描信息如下:
文件名称:CVPNDRV.SYS
公司名称:Cisco Systems, Inc.
文件描述信息:Cisco Systems VPN Client IPSec Driver
名称:AutoRuns 类别:可疑启动项
文件路径:C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
修复情况:禁止自启动
注册表路径:SYSTEM\CurrentControlSet\Services\CVPNDRVA
注册表的项名:ImagePath
可以看出这个CVPNDRVA.sys文件是思科的VPN拨入客户端的相关驱动文件,那到底这个文件是否为木马呢?sys后缀的文件一般都是系统文件,但是好多病毒木马就是利用这一点伪装成系统文件,在C:\WINDOWS\system32\drivers这个目录存放了系统和相关软件的驱动文件都是sys格式。
Cisco VPN Client之前有一个拒绝服务器攻击的漏洞就涉及到CVPNDRVA.sys这个文件,制定输入缓冲区大小小于8+31字节,可导致本地内核非页面池METHOD_BUFFERED被通过内联memcpy的非法内核内存破坏。思科官方对这个漏洞一直没有提供解决方案。由此可以看出360系统急救箱报CVPNDRVA.sys木马应该是和这个文件存在漏洞有关。我尝试删除这个CVPNDRVA.sys这个文件,然后启动Cisco VPN Client没有发现任何问题,但是不排除产生非预知性错误,请酌情尝试,注意备份文件。