伪装者病毒出现
数码时尚
笔者作为单位的网管,曾经被蠕虫病毒害惨了,于是对微软发布的各种各样的补丁极为重视,无论是微软官方网站的,还是各种公开发行的刊物光盘中的,凡是能装上的我都装了。
发现病毒
这天早上,笔者匆匆忙忙地走进办公室,第一件事就是打开邮箱,收取邮件。结果只收到一封邮件,仔细一看,发现邮件的主题十分熟悉:“Microsoft Windows Security Update”,附件文件是XP Update.exe,这不是我近来一直在找的微软补丁吗?啊,怎么微软会主动提供最新的补丁呀?没错,看附件绝对是Windows XP的升级补丁。还真巧,我用的正是 Windows XP操作系统。
双击附件,想安装这个补丁程序。可连续点了几次都没有反应。肯定是程序有问题,笔者心里开始对微软有十二分的不满,补丁还没测试好就发给用户安装,这不是“耍”我们吗?
不去管它了,笔者这时才想起还没打开自己的KV2003杀毒王进行实时监控,于是笔者打开KV2003杀毒王进行实时监控,然后准备上网。KV2003杀毒王已经5天没升级了,还是先升一下级吧。点击“智能升级”,不到两分钟,升级完毕。这时,杀毒软件突然提示:“发现病毒I-Worm/Gibe.b,已被禁用!”(见图)。
病毒特征及感染过程
赶紧上网查找相关资料,原来这个病毒叫伪装者(I-Worm/Gibe.b),其特征及感染过程如下:
1.该病毒不但可以通过邮件、IRC聊天通道进行扩散,而且还会通过文件共享的方式来进行传播。
2.伪装者网络蠕虫病毒传播的邮件主题看起来好像是微软安全补丁的信息文件,而且还带着附件,其实该附件就是该蠕虫病毒本身。该附件的文件名称也是变化的,从名字上看非常像Windows XP的安全补丁程序,如Update***.exe或Patch***.exe(其中的***是随机选择的)。
3.当含有伪装者病毒的信件被打开后,该病毒首先在Windows目录下生成Gibe.dll文件,接着再新建立两个程序文件:一个是修改注册表信息表项的DX3Rndr.exe文件(大小为73728字节),该执行文件会随着系统启动而运行,该程序的主要功能是负责生成传播的E-mail信件;另一个文件是MSBugAdv.exe(大小是24576字节),该程序的主要功能是搜集用来传播感染的E-mail地址。
4.伪装者网络蠕虫病毒修改的注册表项是HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,键是DxLoad,键值是伪装者蠕虫病毒生成的大小为73728字节的文件DX3Rndr.exe。这样系统每次启动时,该网络蠕虫病毒都能自启动运行。
5.伪装者网络蠕虫病毒还会自动搜索可写的局域网内的共享目录,并在Windows系统网络邻居的启动目录中释放该蠕虫病毒本身,这样做的目的是在系统每次启动时它都能自动运行。
6.伪装者网络蠕虫病毒文件有:DX3Drndr.exe(73728字节)、Gibe.dll(155648字节)、MSBugAdv.exe(14576字节)、V.exe(155648字节)。
7.和其他的感染IRC聊天室的病毒一样,伪装者网络蠕虫病毒是通过修改IRC的聊天初始化文件Script.ini来传染本通道内所有用户,同时还能随时传染刚加入到本通道内的用户。用来传播的可执行文件很多,较典型的如IEPatch.exe(伪装成IE的补丁文件)、KaZaA upload.exe(伪装成KaZaA 共享的上载文件)、Porn.exe(伪装成色情文件)、XboX Emulator.exe(伪装成XboX的模拟器)、PS2 Emulator.exe(伪装成PS2的模拟器)、XP update.exe(伪装成XP的升级程序)等等,用户最能接触的就是以上这些文件和接收到的含有病毒的邮件。
伪装者病毒的清除
首先要升级杀毒软件病毒特征库至最新版,然后断开网络再进行全盘查杀,将找到了的I-Worm/Gibe.b病毒文件全部清除。然后在“开始/运行”框中键入Regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,删除病毒添加的DxLoad键及键值DX3Rndr.exe;同样在运行框中输入Msconfig,打开系统实用配置程序,在启动项内将病毒添加的Run=DX3Rndr.exe前的钩取消。重新启动电脑,再次对电脑进行全盘扫描,确认再也查不出病毒后,伪装者病毒才算彻底杀除了。