驱赶披着羊皮的狼——揭露“李鬼卫士”的阴谋
网络安全
最近IT江湖上不太平,一种假冒安全辅助软件的病毒正在兴风作浪,它就是“李鬼卫士”,(李鬼是《水浒传》中假扮李逵的那个家伙)。中了“李鬼卫士”病毒的网民,在系统文件夹中,会出现类似《360安全卫士》的程序及图标(图1)。
“李鬼卫士”其病毒命名为Win32.Troj.StartPage.251392,从其命名上就可以看出这是一个木马程序变种,据分析它是用VB编写的,可以伪装成安全辅助软件《360安全卫士》的相关文件。
当病毒运行后,会修改IE浏览器的默认首页、增加IE浏览器扩展按钮,还会将用户的网卡物理地址、计算机名称等信息发送至远程服务器,严重威胁用户的各种账号和密码的安全。想知道如何判断中了这类病毒吗?
首先,打开系统的任务管理器查看一下进程,会发现存在360Safe.exe、360Server.exe两个进程;如果用户本来就运行着《360安全卫士》,则会发现有两个360Safe.exe及一个360Server.exe,其中一个360Safe.exe是《360安全卫士》主程序,另一个360Safe.exe及360Server.exe则是“李鬼卫士”病毒的进程。
然后,在系统目录C:\Winnt\System32或C:\Windows\System或C:\Windows\System32文件夹下会出现360Safe.exe、360Server.exe、AllRight.exe、MSINET.OCX(VB控件)、NTVBSvcW.tlb(类型库文件)、SoftIcon.ico(图标文件)这几个文件。
接着,上网打开浏览器后会自动打开一个名为007788的网站页面,仔细查看,会发现IE浏览器上多了一个扩展功能按钮,单击这个按钮会直接访问007788网站,同时浏览器默认主页地址已经被修改为“www.007788.com”,这时就应该明白自己已经中毒了(图2)。
最后,对“李鬼卫士”病毒进行代码分析,发现这款病毒运行成功后会修改系统注册表启动项,把自己的相关信息加入其中,这样它以后便能随系统启动而自动运行。而为了隐藏得更好,它会把自己伪装成《360安全卫士》的相关文件。
除此而外,“李鬼卫士”还会统计我们计算机的机器信息,这也是该病毒的重要特征。
赶走“李鬼卫士”病毒
由于“李鬼卫士”会在系统文件夹中释放文件,一般手工无法删除,所以使用Unlocker软件(下载地址:http://www.cpcw.com/bzsoft)将系统目录C:\Winnt\System32或C:\Windows\System或C:\Windows\System32文件夹中的360Safe.exe、360Server.exe、AllRight.exe、MSINET.OCX、NTVBSvcW.tlb、SoftIcon.ico几个文件删除。然后下载最新版的杀毒软件对系统进行病毒查杀即可。
对待“李鬼卫士”这类型的病毒一定要未雨绸缪,在安装杀毒软件以及安全辅助软件后,应将一些主要的访问保护(禁止从Windows文件夹中创建可执行文件、禁止公用程序从Temp文件夹运行文件等)进行设置,并打开监控功能(比如闪存盘病毒免疫、邮件监控、内存监控等),对其软件也要经常进行升级,这样才能真正保障计算机的安全(图3)。
此外,不要随意接收从聊天工具发送过来的文件,也不要登录来历不明的网址。及时更新自己的杀毒软件病毒库,从而有效防止遭受到各类恶意程序的损害。
编辑观点:病毒将热衷伪装成安全工具
“李鬼卫士”最大的特点就是善于伪装,它伪装成比较出名的安全工具,很容易就迷惑住用户。有了这个开头,越来越多的病毒将成为披着“羊皮”的狼,打着安全工具的幌子来迷惑大家,所以我们一定要学会用火眼金睛分辨真伪!