“魔兽世界木马”落网
黑客·安全
病毒特征
月黑风高,正是盗号夜。且看我是怎样无声潜入,手到擒来……
我会通过网络进行传播,潜入系统后,会将自己变为与系统高级文字服务程序类似的文件“ctfmonn.exe”(系统高级文字服务程序文件名为“ctfmon.exe”),以迷惑用户。
接下来,我会监视在前台运行的窗口,当发现标题中含有“魔兽世界”字符,以及GxWindowClassD3d和WSWINDOW类名,便会立刻记录键盘输入,盗取《魔兽世界》的账号和密码,并发送给我的主人(木马种植者)。
为了防止用户的查杀,我会反复设置启动项,即每两秒在注册表中重新添加启动项一次。除此之外,我还会在除C盘以外的所有分区(如D、E、F等分区)中释放病毒副本,然后生成“Autorun.inf”文件,只要用户在资源管理器中双击这些盘符,我就会被再次激活。为了防止进程中出现多个木马进程被人发现,我还设置了互斥体,防止多个木马进程在系统中同时运行。
手动清除
可惜,还没尽兴玩几天,我就被敏感的人类发现了,他们向我“下手”了……
1.终止病毒进程
按“Ctrl+Alt+Del”键打开任务管理器,查看是否有“ctfmonn.exe”这个进程正在运行,如果有,就终止它的运行。
2.删除病毒文件
进入系统目录,查找并删除ctfmonn.exe、pluswow.dll和ntsoi.dll这三个文件。然后利用搜索功能,查找“本地硬盘”中的“Autorun.inf”文件(不包括子文件夹),找到后全部删除。接着按照同样的方法查找并删除“kernel.exe”。
提示:不要直接打开资源管理器进行手动查找,这样可能会再次激活木马,可以在“开始”菜单中直接打开“搜索”窗口进行搜索。
最后查找并删除“gbd”这个配置文件,该文件中的内容包括病毒记录的网游服务器信息以及键盘输入的信息。
由于病毒具有文件数量多、容易被再次激活等特点,没有经验的朋友,可以免费下载金山毒霸2005,利用其中的“木马专杀”进行清除。
3.清除病毒启动项
在“运行”对话框中输入“regedit.exe”,打开注册表编辑器。找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce主键,删除病毒添加的启动项“"plus" = "%System%\ctfmonn.exe"”。
防范措施
1.上网时开启网镖等网络防火墙或木马防火墙,并且把安全级别设置在中级或中级以上以防止木马入侵。
2.对陌生文件以及在网上获取的一切文件,都要用毒霸等杀毒软件查毒后再打开。