满屏尽是“小瓢虫”
网络安全
读者反映:“小瓢虫”爬满我的显示屏
几天前,我打开电脑没有多久,就听见我的系统硬盘一阵狂转。当时我并没有在意,后来当我重新启动系统以后,发现很多程序图标都变成了绿色的“小瓢虫”图标(如图1),接着又发现Windows系统的时间被改成2030年。
不但系统中的杀毒软件不能使用,而且系统信息也受到了大量的破坏,其中任务管理器、控制面板、修改系统配置、注册表编辑器统统被禁用。这到底是怎么回事?那些绿色的“小瓢虫”是从哪里钻出来的?
病毒自述:文件替换和映像劫持齐上阵
哈哈!这些都是我——“小瓢虫”的杰作。我是2007年两大毒王——熊猫烧香和AV终结者结合产下的“混血儿”,综合了两大病毒的特点,破坏力就不用我显摆了吧!
替换可执行文件的图标,是我的拿手好戏。首先我通过网页木马进入到用户的系统中,接着在系统目录中会释放多个病毒文件,包括Netshare.cmd、Autorun.inf、Taskeep.vbs、SDGames.exe、Avpser.cmd等。
其中Taskeep.vbs的作用是运行启动病毒进程,Avpser.cmd用于结束计算机上的安全软件,而Netshare.cmd的作用是打开本机的磁盘共享。为了防止用户结束进程,我还对自身进程SDGames.Exe进行了隐藏(如图2)
释放完病毒文件后,我就开始进行文件感染,除了系统盘以外的可执行文件都是感染目标。在每个磁盘的根目录下都生成SDGames.Exe、Autorun.Inf、Recycleds.Url、Windows.Url、新建文件夹.Url五个病毒文件。这样无论用户是双击磁盘还是运行URL文件,都会再一次激活并运行关联的SDGame.exe文件。
为了防止用户利用安全软件清除我,利用继承AV终结者的映像劫持技术阻止各类安全软件的运行,甚至连不是安全软件的QQ也被劫持,因为这样用户就不能通过QQ进行求助了!不但如此,为了防止用户通过系统自带的工具进行修复,我还对注册表内容的大肆窜改,这样安全模式、控制面板、文件夹选项、命令提示符等都不能使用了。
我还会对系统进行检测,如果发现系统中后缀名为HTM、HTML、JSP、PHP、ASP的网页文件,就会在它们里面插入一段恶意的挂马代码——很像熊猫烧香的传播方式吧!当用户访问这些网页文件后,就可能会自动下载其中的木马程序。同时如果是服务器系统被感染的话,还有可能造成网站大面积挂马。
本期医生:刮骨疗毒治“小瓢虫”
有什么好吹嘘的?难道以为我们就不能清除你吗?中毒者不用焦虑,我来给你们开一张药到病除的处方。
第一步:由于“小瓢虫”病毒使用了映像劫持技术,大量的杀毒软件和安全工具不能使用,我们可以使用批处理病毒清除文件(下载地址:htttp://www.cpcw.com/bzsoft)。下载解压后,执行其中的Papa.bat文件即可。
第二步:到此为止,这个貌似功能强悍的“小瓢虫”已经清除干净了,不过还有一些病毒的衍生文件需要进一步手工清除。由于病毒替换了除系统盘外的所有可执行文件,因此这些文件就已经是病毒程序本身。因此利用Windows系统的搜索功能,对除了C盘以外磁盘中的可执行文件进行搜索,凡是搜索到的可执行文件一律进行删除。
第三步:由于“小瓢虫”病毒主要还是通过移动设备以及网页木马等方式进行传播,因此我们还要禁用Windows系统中的自动播放功能,并且及时修复系统以及应用程序的漏洞。
首先运行《金山清理专家》,点击“安全百宝箱”中的“U盘病毒免疫工具”,选中所有的选项后,点击“启用选中项”按钮就可以了。接着点击“漏洞修补”中的“系统漏洞”,程序将自动修复系统漏洞和Office软件的漏洞。然后再选择“网页防挂马”功能,点击窗口中的“安装并开启”按钮即可完成操作(如图3)。
第四步:最后就是各位读者一定要加强自己的安全意识,不要随意接收陌生人发送过来的文件,也不要登录不了解的网站。升级自己的杀毒软件到最新的版本,并定时更新病毒库。