可恶 竟利用红心头像施“毒”
网络安全
病毒名称:Win32.Troj.redheartpic.ea.1145553
中文名称:红心大盗
病毒类型:图片木马
病毒危害:严重
本期医生:秋风落叶
读者反映:换用红心头像却中毒
不久前互联网上发起了“爱国红心”行动,网友们普遍都把自己的QQ头像换成了爱国红心,我也从一个网站上下载了红心图片换成 了QQ头像,不过没过多久,就发现我电脑里的杀毒软件、360安全卫士以及QQ医生都无法使用了,QQ密码也被盗了。
我向朋友求助,得知我可能中了红心大盗——一个图片木马,听说这款木马是最近才在互联网上泛滥起来的,利用红心国旗图捆绑木马在网页上传播,危害范围非常大。请问医生,我应该怎么彻底清除红心大盗病毒?
病毒自述:伪装成红心入侵电脑
最近我看到红心很受欢迎,心很痒,研究半天后终于成功地伪装成红心图片。只要用户拷贝加了“料”的红心国旗图时,我就会随之隐藏运行,将病毒文件Uninsep.bat.pro.exe和Pro.dll释放到系统盘的根目录下(图1),同时Kernel32.dll文件也被替换了。
然后,我会迅速查找电脑中是否安装有安全软件,大刀阔斧地将它们映像劫持。像常用的金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等常见安全软件,都在我的“贵宾”列表中。
这还不够,我还会在系统盘的“Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe(图2)。然后利用8088端口自动连接黑客服务器,修改系统注册表,创建名为“Scager”的系统服务,实现开机自动启动。
除此以外,我还有一件“隐身衣”——自我删除功能,当我穿起它运行后,就会将病毒本体删除,只剩一张正常图片,任用户千查万找也看不到我的踪影。上面这些工作只是前期工作,后面执行的这些才是我的工作目标,我会悄悄在后台秘密记录用户的键盘操作和鼠标操作,窃取用户输入的机密信息,并发送给黑客。
本期医生:重新拷贝Kernel32.dll文件
此病毒利用广大民众的爱心作恶,实在可恨,现在我就带领大家一起来清除该病毒。
第一步:重启电脑后按F8进入到安全模式下,利用搜索找到Uninsep.bat.Pro.exe和Pro.dll文件,将它们删除。然后用Windows XP安装光盘启动电脑,按“R”键进入启动故障恢复平台,利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件。
第二步:在“Windows故障恢复控制台”中,使用以下命令修复(F盘为光驱目录,根据实际情况指定):
Cd system32
Ren kernel32.dll kernel32dl
Expand f:\i386\kernel32.dl-
exit
第三步:将“Documents and Settings\
All Users\「开始」菜单\程序\启动\”里面的probell.exe程序删除。最后以系统管理员身份登录系统后,单击“开始→运行”,输入“Msconfig”回车后即可启动“系统配置实用程序”,在“服务”里去掉Scager服务前面的钩,将它停止。
第四步:利用网络防火墙阻止8088端口访问外网。这里以McAfee为例,打开控制台后双击“访问保护”,在弹出的“访问保护属性”中单击“添加”,然后设置端口为“8088”以及方向为“出站”,确定即可(图3)。查杀完病毒后,最好再利用杀毒软件查杀一下系统中的远程木马,以保证系统更安全。
小知识:Kernel32.dll是Windows壳进程,属于内核级文件,它控制着系统的内存管理、数据的输入输出操作和中断处理。