决战网络木马
网络通信
朋友的电脑出了问题:系统运行迟缓,鼠标点击反应迟钝,疑是病毒作怪,就用3721的在线杀毒检查了一下,并没有发现病毒。于是下载了江民的KV2004试用版,安装完成后,启动江民杀毒王,只见屏幕一闪,江民消失了,只剩下我和朋友发呆地瞪着屏幕。
一、会反查杀杀毒软件的木马
请出Msconfig,看到启动项里多了个“C:\Windows\System\Lespy.exe”,二话不说,删。重新启动,江民的实时监控并未启动,启动江民杀毒王,江民依然匆匆离去,再请Msconfig, “C:\Windows\System\Lespy.exe” 阴魂不散,依然稳居启动项中。看来这个LeSpy挺难对付,应该是引导型的病毒,必须用干净的系统盘启动在DOS下杀毒了。
为了一睹LeSpy的芳容,打开百度输入“Lespy”搜索。且看这个Windows下的PE病毒,原来是窃取“传奇”信息的木马,不过这个木马当真厉害,除了修改注册表和系统文件保证自我复制达到启动自己的目的外,还会查杀当前系统中反病毒软件的进程,例如木马克星 、金山网镖、瑞星、金山毒霸、江民杀毒软件。真的是老鼠成精了,木马要查杀反病毒软件,天下奇闻!如此厉害,怪不得江民见了就躲。
二、木马特点
1.木马运行后将自己复制到%WINDIR%目录下,文件名为“Internet.exe”,并在%SYSDIR%目录下复制另一个文件,文件名为“LeSpy.exe”。
2.修改注册表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run增加数据项:“Internet” 数据值为:“%WINDIR%\INTERNET.EXE”以达到病毒自启动的目的。
3.修改系统文件: WIN.INI文件的“Windows”小节 ,修改数据项:“RUN”增加数据值:“%SYSDIR%\LESPY.EXE”。
三、清除木马
根据木马的特点,采用如下方法也可以对它加以清除。
首先启动到DOS,删除C:\Windows\System\LeSpy.exe和C:\Windows\Internet.exe两个文件(Windows环境下Internet.exe是不能删除的);再重新启动到Windows 98,这时系统会弹出两个警告窗口,意思是找不到自动启动的病毒程序,直接确定就行了,然后运行KV2004杀毒,或安装升级瑞星后杀毒。注意查杀木马结束后,不要忘了请出Msconfig,去掉启动项中的“C:\Windows\System\Lespy.exe”,不然每次启动时都会有两个警告窗口。
经过对木马的剿杀,朋友的系统恢复了正常,反应迟钝的问题到底是哪一种病毒引起的都不得而知,不过扰乱我们杀毒的却是Trojan.PSW.LMir.hj(KV2004报告的是Trojan.PSW.LMir.jo)。这个仅有26KB的木马能和众多动辄数十兆的防黑、防毒重量级软件玩起猫与老鼠的游戏,的确是了得,令人佩服,只可惜木马的制造者走的是歪门邪道。看来对病毒的防治任重而道远,反病毒阵营的两大领军人物,瑞星和江民还要一路走好。