狂发垃圾邮件病毒拖垮电脑
网络安全
病毒名称:Trojan.Win32.Agent.zdw
中文名称:垃圾邮件传播者
病毒类型:木马病毒
病毒目的:发送垃圾邮件
本期医生:icefall
出现几个同名进程
我下载了一个软件安装包,安装后感觉系统变得缓慢了,于是关掉QQ和所有网页,发现网卡接口灯仍然不停地闪烁,这表示有大量数据在传输。这下我慌了,难道是中毒了?打开任务管理器,看到进程中多出好几个services.exe和cmd.exe(图1),顿时“瀑布汗”。请问医生,我该如何清除该病毒?
我的目的就是发送垃圾邮件
垃圾邮件传播者,是同行给我起的外号,虽然难听但也说中了要害。我一出生,命运就被注定了,入侵网民电脑,传播垃圾邮件。为了增加我的存活几率,我的代码经过了多次异或加密,杀毒软件要提取我的特征码就不容易了。
小知识:异或加密是一种改变特征码的加密方式,两个数不相同时它们异或的结果才为1,例如1异或1=0,0异或1=1,一个数两次异或同一个数(称为密钥)结果是它本身。只要改变密钥,病毒的代码就可以千变万化。
我成功运行后,复制自己的主文件到Windows目录下并改名为services.exe,伪装成系统的文件,不容易被用户发现。然后向启动项中写入病毒启动信息。哈哈!下次开机后我就会自动被激活了(图2)。
之后,修改注册表选项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下wscsvc和ShareAcess子项的Start值为0x4,这样就可以禁用系统的防火墙, 神不知鬼不觉地让系统失去监视我的能力。
把这些掩护措施做好后,我就开始传播垃圾邮件了。根据主人的指令连接到Hotmail,发送大量的垃圾邮件,无论是发送宣传邮件还是想填爆谁的邮箱,我都能轻而易举地完成。
用工具终结病毒进程
这个病毒最大的缺陷就是伪造的进程太多,用户一看就知道自己中毒了,虽然反查杀能力较强,但用手工清除它非常容易。
第一步:终结病毒进程。这里不要在任务管理器中直接结束进程,如果结束的是真的services.exe进程,系统会出现关机提示。正确的做法是用安全辅助工具删除Windows目录下的所有services.exe进程(图3)。
第二步:进入Windows目录下,删除services.exe病毒主文件。接着打开“控制面板→管理工具→服务”,开启被禁用的两个服务Windows Firewall/Internet ConnectionSharing (ICS)和Security Center。
第三步:在“开始→运行”里填入regedit,运行注册表编辑器,找到图4中标明的注册表项并删除。最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全面扫描和查杀,将病毒残留物彻底清除干净。
