这“耗子”连同类都不放过
网络安全
病毒名称:Trojan-Downloader.Win32.Losabel.je
中文名称:小耗子下载者
病毒类型:木马下载者
病毒目的:下载更多的病毒
本期医生:痛苦的人
读者反映:中了Losabel.je病毒
我开了一家网吧,连续几天有用户反映系统运行时好时坏,检查了半天也没有发现什么问题。于是叫朋友来看看出了什么问题,他检测后告诉我可能是中了Trojan-Downloader.Win32.Losabel.je病毒。请问医生,我应该怎么彻底清除这个病毒?
病毒自述:排除其他下载者
你的网吧,是我破坏的。我的名称叫做“小耗子下载者”,我的使命就是专门下载更多的病毒到用户的系统中。我最大的特点就是能够残杀同类下载者。我常常利用网页木马进入用户系统中,接着将自身复制到系统System32的目录中(图1),然后在程序中加上微软的属性信息,这样用户还以为我是系统自带的文件。
这样就可以更好地在系统中进行隐藏,而不会轻易地被用户发现和清除掉。然后利用驱动文件来修复被杀毒软件修改的SSDT表,这样做的目的就是为了破坏杀毒软件的主动防御功能。同时我还屏蔽了系统的安全模式,这样用户就无法进入安全模式了。
我利用映像劫持屏蔽大量的安全软件(图2),包括IceSword等主流查杀工具。这样不仅可以阻止用户使用这些软件,还可以在调用它们的时候再一次激活主文件。
接着自动关闭带有“杀毒”、“病毒”、“金山”等关键字的窗口和网页,从而更好地对自己进行保护。然后搜索系统中的进程信息,一旦发现国内外知名杀毒软件或防火墙的进程就结束它们,这样重新启动系统后,我在系统中运行更“安心”了。
系统中的安全软件搞定以后,我开始对其他下载者等恶意程序进行屏蔽,这也是我与其他下载者最为不同的地方(图3)。这样做既可以使本程序运行更为流畅,也可以避免其他的下载者从这个系统“分一杯羹”。另外我还有一点与众不同,就是去掉了下载者常见的闪存感染功能,这样就可以隐藏得更深了。
最后我就要进行下载操作了,毕竟我本身就是一款下载者嘛。首先调用系统的IE浏览器从自身配置信息中读取下载表,并按照此表下载各种病毒。下载完成后,我会立即清除缓存中的下载地址。至此,我完成了一个下载者程序应尽的“神圣职责”。
本期医生:删除Mousie.exe 修复系统
这只“小耗子”在破坏性上的确动了些脑筋,可惜这些脑筋都没有用到正道上。只要尽早地将它从系统中清除,就能避免系统受到更大的危害。
第一步:首先运行安全工具IceSword,点击工具栏中的“列表”按钮,在“进程”列表中找到被“小耗子”利用的IE浏览器进程。然后点击右键选择“结束进程”命令来结束该进程,这样就切断了小耗子下载者的下载途径。
第二步:再点击IceSword工具栏中的“文件”按钮,接着进入系统的System32目录中。找到“小耗子”的主文件Mousie.exe,然后点击右键选择“强行删除”命令即可(图4)。
第三步:现在运行修复工具SREng,点击“启动项目”按钮中的“注册表”标签,找到“小耗子”的启动项Mousie。然后选中红色信息,点击“删除”按钮就可以了。最后再点击“系统修复”按钮,选择其中的“高强修复”标签,点击“修复安全模式”按钮,就可以修复被破坏的Windows系统的安全模式。重复上述操作,把网吧内所有不正常电脑中的该病毒清除掉。
小知识:什么是IPC?
IPC是Windows系统的一项默认共享服务,主要用于远程系统进行文件共享。用户通过它利用密码就可以进行共享。如果管理员的密码太简单了,很容易就被猜出从而被黑客入侵。