警惕“柯南”把持你的电脑

网络安全

2007年1月29日 第5期

随着移动硬盘、闪存等移动设备在人们生活工作中的普及,当用户将这些移动设备连接到Windows系统后,系统的自动播放功能就会激活相关文件。正是基于这种情况,最近通过这种方式进行传播的病毒也将越来越多,除了危害极高的熊猫烧香以外,一款图标为柯南头像的病毒也需要提请大家注意。

坐堂医生:吴军

医生特长:病毒病理分析

本期病毒危害程度:★★★★

病毒图标是“柯南”

今天坐诊病毒诊所的是吴军医生,刚刚一个病人向他描述说:最近公司五台电脑同时中毒,Windows系统经常运行缓慢。再经过金山毒霸2007的扫描后,发现了一个名为rsseek.exe的可疑进程,该可疑进程的图标是一个柯南头像。

与此同时,在选择系统的“所有文件和文件夹”选项后,明明硬盘里面有的隐藏内容就是显示不出来,同时也删除不了。而且系统的CPU占用率常常突然升至100%,以至于运行的应用程序突然失去响应。通过病人的描述以及自己的专业知识,吴铭医生怀疑用户的系统中了ROSE变种病毒。

“柯南”的身份特征

这个病毒是近一段时间出现的比较顽固的病毒,它其实是修改过的ROSE病毒。到目前为止还没有统一的名字,瑞星将它称之为 Trojan.PSW.QQPass.pqb 病毒。该病毒的特点是可以通过可移动磁盘进行传播,主要危害是盗取QQ账户和密码,并且会终止大量反病毒软件的进程,降低系统的安全等级。

“柯南”竟如此顽固

首先打开系统的任务管理器,在进程列表中发现一个可疑的rsseek.exe进程文件,同时在注册表的RUN启动项中也发现该进程的启动项。按理说这个病毒应该很容易清除,那么为什么这个病毒竟然如此顽固呢?

原因就在于该病毒在每个磁盘分区和目录下都生成了名为rsseek.exe和autorun.inf的两个文件,并且对注册表进行修改,让用户无法查看隐藏文件。

这样,即使是用户将病毒清除掉后,只要双击磁盘分区或目录就会又在系统目录生成病毒文件,这也是用户觉得该病毒无法删除的主要原因,这个特性和最近另一个名为熊猫烧香的病毒十分地相似。

磨刀不误砍柴工

首先打开系统的任务管理器,在进程列表中查找rsseek.exe这个进程,发现后点击鼠标右键中的“结束进程”命令将它结束掉,这样我们就关闭了病毒文件的进程。接着点击开始菜单中的“运行”命令,键入REGEDIT后回车打开注册表编辑器,依次展开注册表HKEY_LOCAL_MACHINE\Software

\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL”,会发现其中的“Checked Value”键值为1(图1)。

5-f10-1.jpg
图1

这里需要特别注意的是,病毒会把本来有效的双字节(DWORD)值Checked Value删除掉,新建一个无效的字符串值Checked Value,并且把键值改为0。如果是这样的话,我们将这个字符串值改为1是毫无作用的。

如果看到的是字符串值,应该删除此Checked Value键值,接着点击鼠标右键再重新建一个双字节值,名称还是Checked Value,并把它的值赋为1。然后这样就可以在“文件夹选项”中将“系统文件和隐藏文件”选项设置为显示,经过这样的操作以后被隐藏的系统文件都将显示出来。

一切灰飞烟灭

现在,分别在某个分区盘上单击鼠标右键,选择其中的“打开”命令后进入磁盘分区(特别提醒:整个过程中不得双击磁盘分区和目录,需要打开时用鼠标右键中的“打开”命令),这样我们可以看到每个盘和目录下都有autorun.inf和rsseek.exe这两个文件,将这些病毒文件全部删除(图2)。

5-f10-2.jpg
图2

下面我们再次运行REGEDIT打开注册表编辑器,依次展开注册表项目“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run”,在启动项列表中找到“syjmp”键值,删除其中的键值为C:\WINDOWS\system32\rsseek.exe 的项(图3)。

5-f10-3.jpg
图3

最后到C:\WINDOWS\system32\目录下,删除rsseek.exe文件后重新启动电脑即可。这个时候杀毒软件可以正常运行,并且实时监控也可以正常使用,但是开机无法自动运行。最简单的办法就是执行杀毒软件的“添加删除组件”,接着在弹出的窗口选择“修复”命令后重新修复即可。

防患于未然

最近一段时间,这种类型的病毒频频爆发,使得很多用户都被折腾得苦不堪言。其实对付这类病毒,除了平时提高自己的防范意识以外,还有一个方法就是关闭所有驱动器的自动播放功能。首先打开组策略编辑器,进入到“计算机配置→管理模板→系统”,在右边的窗格中选择“关闭自动播放”一项。该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭该策略就生效了。从此以后,就可以阻止这种利用磁盘自动播放功能进行传播的病毒入侵了。