粗看是360细查却是病毒
站长空间
病毒名称:Win32.TrojDownloader.Agent.192512 中文名称:变种鸽子下载器192512
病毒类型:木马下载者 病毒目的:下载其他病毒 本期医生:草草
系统中隐藏了360模块
几天前我电脑中的杀毒软件无法升级了,想登录到杀毒软件官方论坛咨询一下解决方案,结果发现论坛无法登录。不得已,我请朋友帮我检测,他在系统的svchost.exe进程中发现了“360安全卫士文件粉碎”模块,但是我并没有安装360安全卫士。请问医生我的系统是不是中毒了?
假冒360安全卫士
最近一段时间奇虎360炒的很热,于是我——变种鸽子下载器192512,也打起了360的主意,伪装成360卫士搞鬼。
进入系统后,我先释放病毒文件到系统的system32目录下,包括Kernel32.exe、VVinHe1p.exe、VVinHe1p.dll、VVinHe1p.ocx和VVinHe1p.zip五个文件。其中VVinHe1p.dll和VVinHe1p.zip是病毒的主文件,用于破坏杀毒软件以及下载病毒。另外,我还会在临时目录下加入manifest.txt和sysdata.xml两个文件,里面保存有多种病毒的下载地址信息。
接着修改注册表并添加一个启动服务,这样就能在开机后加载病毒文件VVinHe1p.exe。然后VVinHe1p.exe再将病毒文件VVinHe1p.dll和VVinHe1p.zip插入svchost.exe进程,并且伪装成奇虎公司的360安全卫士(图1)。这样用户一看以为是360安全卫士的模块,根本就不会联想到病毒文件上去,这样我就可以一直隐藏下去了。
最后我通过匹配文件名的方式删除杀毒软件的升级程序,以便阻止用户更新病毒库来进行自我防护。然后以360安全卫士之名,通过修改HOSTS文件的方式劫持杀毒软件以及安全工具的域名,从而屏蔽用户向各杀毒软件厂商求助。
删除HOSTS中的恶意信息
假的真不了!仔细检测就可以发现伪装成安全工具的病毒。下面我就教大家如何清除该病毒。
第一步:打开记事本输入病毒文件的路径并保存,病毒文件路径分别是:
%Systemroot%\system32\Kernel32.exe、%Systemroot%\system32\VVinHe1p.exe、%Systemroot%\system32\VVinHe1p.dll、%Systemroot%\system32\VVinHe1p.ocx和%Systemroot%\system32\VVinHe1p.zip。
接着运行金山毒霸文件删除工具(下载地址:http://www.shudoo.com/bzsoft),点击“从文件导入”按钮选择保存有病毒路径的记事本,最后点击“删除”按钮即可彻底删除病毒文件(图2)。清除完成以后,按照程序的提示重新启动系统。
第二步:运行系统修复SREng工具(下载地址:http://www.shudoo.com/bzsoft),点击“系统修复”中的“HOSTS文件”标签,将标注为“以下内容为 360安全卫士 为免疫 360安全卫士 所添加”(图3)中的所有内容全部选中,然后点击“删除”按钮清除恶意信息。
第三步:最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全面扫描和查杀,将病毒残留物彻底清除干净