彻底熄灭“网络红灯”
黑客·安全
我是病毒,有人给我取了一个我不喜欢的名字“网络红灯”(Win32/HLLW.Munster),还到处通缉我,真是郁闷。作为一个蠕虫病毒,我可以使计算机的任务栏和系统托盘不断闪烁,直接影响用户操作。哼哼,够厉害吧!
病毒特征
我会通过调用Windows函数使任务栏和系统托盘不断闪烁,为了防止被查杀,我还能监视系统的进程列表,如果发现了某些杀毒软件的进程,就中止它们。另外我还会通过修改系统hosts文件,屏蔽某些杀毒软件的网站,阻止用户通过升级病毒库来“抓”我。
传播途径
呵呵,本着“有洞就钻”的原则,我找到了很多展示自己的机会、途径……
1.共享文件夹:我会搜索系统中名称里包含share字符串的文件夹,然后将主程序拷贝到该目录下,并使用“kaspersky_weird_movie.mpeg.exe”等类似杀毒软件或常用软件的名称诱骗网内的其他用户下载并运行。
2.压缩文件:我还会检查系统中是否安装了WinZip或WinRAR软件,如果有,就利用它们向系统中的.zip和.rar压缩文件添加病毒文件。
3.软盘等移动设备:自动拷贝到软盘中,文件名为“;).pif”。
清除方法
只怪我疏忽了、大意了,最近我被某些“别有用心”的人抓住了几次,而且他们还公布了“抓”我的方法……
第一步,结束进程。打开任务栏管理器,结束3578.exe进程。
第二步,删除病毒文件。删除系统目录SYSTEM或SYSTEM32下的3578.exe(病毒体)和93756.tmp(恶作剧程序)两个文件。然后删除系统盘根目录下的0383272.vbs脚本文件,它被用于向注册表中添加启动项。
通过金山网镖等软件中的共享管理功能,查看哪些文件夹被设置为共享,然后打开这些文件夹,查看其中是否含有nod32_3.0.exe、looknstop30.exe、tds-4.exe、kaspersky_weird_movie.mpeg.exe、madonna_13years.jpg.exe、madonna_with_britneypussy.avi.exe、kav60.exe、windowslonghornbeta1.exe、mtvmusicawards2004_complete.exe、worlddisney_teens.exe等文件,如果有就删除它们。
对于自行添加到压缩包中的病毒文件,手动查找起来很麻烦,建议升级病毒库,并对包括压缩包在内的所有文件进行病毒检测,这样才能彻底清除病毒。
第三步,清除病毒启动项。打开注册表编辑器,找到HKEY_CURRENT_USER \SOFTWARE\Microsoft\Windows\CurrentVersion\Run主键,删除其中的“"WinStart" = X:\Windows\system32\3578.exe”(X为系统盘符,下同)即病毒启动键值。
第四步,修复系统文件。在“X:\WINDOWS\system32\drivers\etc”目录找到“hosts”这个文件,用记事本把它打开,删除里面的所有网址即可。