磁碟机变种,你别想鱼目混珠!
网络安全
读者反映:奇怪的smss进程
几天前我不小心运行了一个网络上下载的软件,结果系统就死机了。重启以后发现杀毒软件没有自动运行,手动运行也不行,我知道电脑感染了病毒,马上运行“任务管理器”进行查看,但是并没有发现可疑进程。
后来我在朋友指引下,使用了安全工具《冰刃》查看了系统的进程,发现其中的smss.exe进程很可疑,因为smss.exe所在的路径应该为Windows\System32\目录,而现在却出现在了Windows\System32\Com目录(图1)。请问我感染的是什么病毒?该如何清除它?
病毒自述:看我磁碟机变种的感染手段
嘿嘿,这是我磁碟机变种Worm.Win32.DiskGen.a的杰作。自从我出道以来,就被骂到现在,可我依然活得好好的。我首先通过网页木马或移动设备等,悄悄地潜入到用户的系统中。
然后我立即在系统盘中释放出7个病毒文件,分别是System32\Com\目录下的Lsass.exe、Smss.exe、Netcfg.Dll、Netcfg.000,System32目录下的dnsq.dll、System32\Drivers\目录下的Alg.exe,以及系统盘根目录下的037589.log。
此外,我还在所有的磁盘分区中生成Autorun.inf和Pagefile.pif两个病毒文件。这样只要用户双击磁盘分区,我们就可以再次获得新生而为所欲为。如果用户在中毒电脑上使用移动设备后,我就毫不客气地立即将它传染,借以进一步扩大自己的传播范围。
接着我窜改系统中的相关数据,将自己添加到开始菜单中的“启动”命令,并且随机命名为“\~.exe.xxxxxx(xxxxxx为随机数字)”进行自启动。通过窗口和进程名称,查找已经安装的安全工具,然后迅速禁止它们运行。我还可以告诉你,几乎所有著名厂商的产品,都已经上了我的黑名单。
当然,我不会放过所有非系统分区下的可执行文件,甚至连RAR、ZIP压缩包内的可执行文件也不放过。同时还感染HTM、HTML等格式的网页文件,在其中添加恶意代码。如果中毒的计算机系统已经连接网络的话,就会自动访问黑客指定的病毒网址。
本期医生:横扫磁碟机变种
虽然磁碟机变种看起来很“凶狠”,但清除它并不困难,下面大家看我是如何清除它的。
第一步:搜索System32目录中后缀名为Dll.V的文件(文件名是随机的)并删除,接着利用最新版本的《AV终结者专杀》(下载地址http://www.cpcw.com/bzsoft)进行查杀,当软件提示发现恶意程序后按照要求需要进行重启时不要重启(图2),而是直接进行强行关机(直接按关机按钮)或拔电源。
因为该病毒会在关机的时候写入病毒,开机的时候清除病毒自身,从而导致安全工具查不到,但非法关机可以让病毒在关机的时候不再写入。重新启动后再使用专杀工具,清除病毒文件以及设置的映像劫持的相关信息内容(图3)。
第二步:现在升级杀毒软件的病毒库,然后进行全盘查杀,这样可以清除附加的感染文件中的病毒信息内容,从而避免用户再一次地激活病毒信息。
小提示:也可以使用《smss.exe和lsass.exe病毒专杀工具》(下载地址http://www.cpcw.com/bzsoft)全盘查杀,效果相同。
第三步:运行SREng(下载地址http://www.cpcw.com/bzsoft)来修复系统。先点击SREng中的“系统修复”按钮,选择其中的“Windows Shell/IE标签并选中“全选”后,点击“修复”按钮就可以修复其他被窜改的系统内容。
最后提醒大家一定要加强自己的防范意识。比如关闭系统的自动运行功能,以及利用程序来防范网页木马的入侵,从而避免这些病毒对自己系统的破坏,以及个人的经济损失等。