小浩变成“老鼠”也瞒不过我!
网络安全
病毒名称:Worm.Win32.XiaoHao.b
中文名称:小浩变种
病毒类型:系统病毒
威胁危害:严重
本期医生:秋风落叶
读者反映:“老鼠屁股”霸占电脑
几天前,我在网上看电影,随便搜索了一个电影网站就进去了,没有多久就感觉电脑突然变慢了,当时我并没有在意,后来当我重新启动系统以后,发现很多程序图标都变成了卡通小老鼠,屁股冲我示威(图1)。
这下我可着急了,打算使用安装的杀毒软件来查杀病毒,可发现右下角Windows系统的时间被改成了2030年,杀毒软件已无法使用。我重启电脑想进入安全模式,但发现安全模式进不去,接着发现CMD命令、任务管理器、注册表都被禁用了。这下我傻了,以往学来的查杀病毒技术完全派不上用场。请问医生,这些灰色的卡通“小老鼠”是从哪里钻出来的?我要怎么清除它们?
病毒自述:EXE魔咒让所有软件程序暴毙
哈哈,我是小浩病毒,大家还记得我吗?以前的我,用“浩”字作标志,现在我的新变种用的是“小老鼠”。据说老鼠是人类的天敌,不但数量大、繁殖很快、生命力很强,而且几乎什么都能吃,什么地方都能住。我则是继承并发扬了鼠类的所有优点,将病毒的关联、隐藏、加载、修改、禁用、感染这些功能全都集中了起来,下面来看看我的本领吧!
当我进入电脑后,我会先复制自身到系统目录下改名为Exloroe.com,修改文件属性为隐藏。再将Exloroe.com拷贝到目录C:\Documents and Settings\All Users\「开始」菜单\程序\启动下,重命名为word.com,并修改注册表加载自启动项以随系统一起启动。
接下来我就修改注册表键值改变.exe文件关联,当用户运行.exe文件时就相当于再次将我激活。然后我就使出必杀招,在注册表中删除安全模式所对应的注册表键值,使用户不能通过安全模式修复系统。当以上工作完成后,我就禁用CMD、禁用Windows自动更新、禁用任务管理器、禁用注册表编辑器,让用户不能调用这些应用程序来查找我的藏身之处。
光做以上这些工作可不够,我还会窜改本地的HTML/ASP网页文件,插入Iframe指向病毒的网站地址,这样就使网页文件带上病毒。我还会修改系统时间使防毒软件失效,导致杀毒软件无法正常工作。
除了上述功能外,我还有极强的感染力,并释放病毒文件Xiaohao.com和autorun.inf到搜索的所有盘符及移动设备中,当用户点击盘符以及使用数码相机传输照片时,均会被我感染。
本期医生:重装系统再“灭鼠”
由于这款病毒破坏力大、感染力强,一旦中毒,电脑中所有的可执行文件无法运行,而且许多关键程序被禁用,手工查杀难度相当大,所以只有重装系统,再进行后续查杀工作,后续查杀防护行动如下:
第一步:选择“开始→运行”,输入gpedit.msc,在“计算机配置→管理模板→系统”的右侧找到“关闭自动播放”,双击打开并选择“已启用”,即可关闭闪存盘自动播放。
第二步:运行安全辅助工具Wsyscheck,选择“文件管理”标签,分别右键点击选中每个磁盘中的Xiaohao.com和autorun.inf病毒文件,在弹出的菜单中选择“直接删除”命令,将它们删除(图2)。
第三步:运行安全软件《360安全卫士》,选择“修复系统漏洞”标签,在“待修复漏洞”中对漏洞进行修复,此外还要将杀毒软件升级到最新版本并进行彻底查杀,清除病毒残留物。
小知识:Iframe是可在一个页面内嵌显示另外一个页面的HTML标签,可以简单理解为“网页中的网页”。