披着“补丁”外皮的“狼”
安全阵地
艾克(Worm.Ahker.b),这是我在安全公司病毒通辑令上的名字。在被通缉之前,我一直在思考如何扩大自己的影响力和影响范围,经过反复研究之后,我认为以后安装Windows XP SP2包的用户会越来越多,伪装成SP2的升级补丁一定会骗过许多人,并帮助我扩大影响……
我的特点
我主要通过电子邮件进行传播,电子邮件的主题一般为“Service Pack 2 BUG!!”,附件压缩包里名为 Fix_SP2.exe的文件就是我。
当用户运行这个所谓的升级补丁程序后,机器就会被感染。为了不被人发现,我会自动终止大部分反病毒软件和个人防火墙的运行,同时禁用许多系统程序。另外我还会修改Host文件,禁止用户访问微软、Yahoo等网站,并尝试下载含有病毒的压缩包。
为了继续传播,我会利用OutLook地址簿查找电子邮件地址,并藏在邮件里进入更多人的电脑,让它们无法正常工作。
我就是怕……
人类在和我的一次次较量中,找到了消灭我的办法,这让我很郁闷……
1.结束病毒进程。由于我禁用了任务管理器,因此可以通过Windows优化大师里的进程管理以及在网镖等网络防火墙中查看是否有“SERVICES.exe”程序访问网络,结束该进程,我就无法动弹了。
2.删除病毒文件。点击“打开程序所在目录”,可以找到我的藏身之处,删除病毒主文件“SERVICES.exe”(一般在系统目录下)。同时在C盘根目录下查找并删除我带来的两个手下(即“Fix_SP2.zip”和“Norton AntiVirus.txt”)。
3.删除病毒键值。重新启动电脑并进入安全模式,打开注册表编辑器,删除我在注册表中添加的多个“发动机”(也就是启动项):
HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\CurrentVersion\Run
"Norton Auto-Protect" = "SERVICES.exe"
HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\CurrentVersion\Win dowsUpdate\Auto Update
"默认" = "SERVICES.exe"
HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\CurrentVersion\run services
"Windows Service" = "SERVICES.exe"
另外,还要删除我在“HKEY_LO CAL_MACHINE\SOFTWARE\CurrentVers ion\”下创建的所有主键和其下的键值。
需要你“善后”
嘿嘿!虽然我被抓住了,但人类还得为我所造成的破坏进行善后工作,因为我禁用了众多系统程序,需要一项项手动恢复。
1.恢复任务管理器和注册表编辑器。展开“HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\ System”项,删除“"DisableTaskMgr" = ""dword:00000001"”和“"DisableRegistry Tools" = "dword:00000001"”两个键,或者把键值改为“0”。
2.恢复“运行”窗口。删除“HKEY_CURRENT_USER\Software\Micro soft\Windows\CurrentVersion\Policies\Explor er”项下的“"NoRun" = "dword:00000001"”和“"DisallowRun" = "1"”两个键值。
3.恢复Windows XP SP2自动更新。把以下的键值修改为“0”。
HKEY_CURRENT_USER\Software\Mic rosoft\security center
UpdatesDisableNotify = "dword:00000 001"
AntiVirusDisableNotify = "dword:0000 0001"
HKEY_CURRENT_USER\Software\ Policies\Microsoft\Windows\WindowsUpdate\ AU
NoAutoUpdate = "dword:00000001"
4.恢复被病毒禁止运行的程序(如notepad.exe、regedit.exe等)。删除“HKEY_CURRENT_USER\Software\Micro soft\Windows\CurrentVersion\Policies\Expl orer\DisallowRun”这个主键或它下面的所有键值(如“"1" = "regedit.exe"”)。
5.在“X:\WINDOWS\system32\drivers\ etc”(X为系统盘)目录下找到“hosts”文件,用记事本把它打开,删除里面所有定向IP地址为127.0.0.1的网址。