揭开电脑灵异广告声之谜
网络安全
病毒名称:Troj.kavlec
中文名称:伪“Web反病毒保护”
病毒类型:流氓广告程序
病毒目的:传播色情广告,从中牟利
本期医生:天涯衰草
读者反映:灵异的色情广告声
我上网搜索一些资料,没多久系统就莫名其妙地播放一些挑逗的广告声音。当时以为是浏览的网页播放的,结果关掉所有的网页后,这些不堪入耳的声音还在“漂”。请问医生这些灵异的声音到底是从什么地方来的?我不会是大白天见鬼了吧?
病毒自述:为钱传播色情广告
很多病毒为了快速“致富”,都去到盗网银、网游的账号,基本上都没有好下场,成为人人喊打的过街老鼠。我——伪“Web反病毒保护”,跟它们不一样,我靠传播色情广告赚钱。
我利用网页木马的传播方式,悄悄地进入到用户的系统中。一旦发现用户登录网络,就给他播放各种各样的色情广告,播放的广告越多我的收入也就越多。当我进入到Windows系统以后,首先修改注册表中Userinit键值的内容,在“数值名称”默认信息的后面加上病毒主文件的地址C:Windows\System32\Sochost.exe(图1)。这样就可以随机起动了,不仔细看的话还以为是系统进程Svchost.exe呢!
接着,我利用浏览器的插件功能,将自身加载到系统的IE浏览器之中,从而方便自己对浏览器的控制。由于加载到浏览器的文件是DLL文件,因此加载它的时候需要调用Rundll32.exe进程。
为了掩人耳目和迷惑用户,我还将伪装成“Web反病毒保护插件”的广告文件Kavsus.Dll分别注入到Iexplorer和Explorer的进程中 ,从而可以打开多个带有色情内容的网站。同时通过特有的驱动文件对调用的进程进行隐藏,这样用户在任务管理器里面怎么也找不到陌生进程。
当电脑上网后,我会调用一个或多个隐藏的Iexplorer.exe进程,在系统后台浏览这些色情网站的网页,下载其中的各种各样的广告信息,并利用这些隐藏的进程在后台播放.wmv格式的有声广告。
本期医生:让电脑没灵异
由于病毒对Iexplorer和Explorer进程进行了隐藏,所以出现了用户关闭网页还出现声音的灵异事件。从这个病毒的症状可以看出,这是一个地地道道的流氓广告病毒。下面我就教大家如何清除它。
第一步:首先断开系统的网络连接,接着运行安全工具《金山清理专家》。点击“在线系统诊断”中的“启动项管理”,在窗口中选择Userinit项,再选择“修复该项”命令清除病毒的启动项。
第二步:然后选择“浏览器修复”选项,在窗口选中“WEB反病毒保护”和“Accounts Manager”两项(图2),在弹出的气泡窗口中,选择“禁用该项”来禁用病毒的恶意插件,最后重新启动Windows系统。
第三步:系统重新启动后,搜索并删除文件Sochost.exe、Kavsus.dll、Gfommudc.dll、Kavlec.sys。又找到该安全工具“浏览器修复”窗口,勾选“WEB反病毒保护”和“Accounts Manager”后,选择“清除该项”即可完成清除对这个病毒。
以后遇见这样的情况,首先清空系统的缓存信息看看。如果清除后就没有声音了,就说明这些声音是由浏览器所发出的。如果清除后还存在声音的话,就证明是病毒造成的。