下错驱动程序 惹病毒上身
网络安全
病毒名称:Worm.Win32.AutoRun.enw
中文名称:U盘寄生虫enw
病毒类型:蠕虫病毒
病毒目的:破坏系统、伺机盗窃用户信息
本期医生:阿杰
9月16日 星期二 多云
今天是中秋节假期后的第一天,安全诊所里面来看病的电脑多了起来,来来往往好不热闹。当我送走一个感染流氓软件的电脑后,想喝口水休息一下,门被突然打开了,从外面走进来一个气喘吁吁的电脑。一看其脸色,就知道病得不轻,肯定是它身体内的系统感染了某种病毒。
“医生,我好难受,感觉身体沉得不行,都快走不动路了。”
“先别急,把症状描述一下。”
“主人在中秋节期间没有用我,今天用我上网后没有多久就中毒了。系统超级慢,而且杀毒软件和安全工具都运行不了。这是怎么回事?”
“进行过一些简单的身体检查没有?安装过什么可疑的程序没有?”
“做了,自己能检查的我都检查了,可是没发现可疑的程序,整个上午就下载安装了一个华硕主板驱动更新程序。正因为这样主人才着急啊,逼着我上医院来找你。”
假驱动是病因
听了病人的描述,我对病情已经大致清楚了。病人是感染病毒无疑,而且这个病毒使用了映像劫持技术导致杀毒软件和安全工具都无法运行。此外,安装的华硕主板驱动更新程序可能有问题。
为了确认我的判断,我打开了病人的system32文件夹,寻找病源。果然找到了ASUS.exe,这个是华硕主板驱动程序?先不管它,我接着找,哈哈,又发现了ACER.exe,这个是宏碁的主板驱动程序?太可疑了!我将病毒提取出来后,送到了化验科,经过我暗恋已久的化验科MM仔细的化验后,得到了这个病毒的详细检测结果:
分析报告1:该病毒运行后会释放ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls文件到系统目录中,其中ASUS.exe、ACER.exe、MuTemp.exe为病毒文件,jxxgmw.exe、jxxgmw.nls为病毒的备份文件(图1)。
分析报告2:该病毒为了传播自身,会释放ASUS.exe和Autorun.inf文件到硬盘的每个分区和移动存储设备中,通过系统自动播放功能传播病毒。这样即使重装了系统,打开非系统盘的其他盘符,也会再次感染病毒。
分析报告3:现在很多杀毒软件都通过在SSDT中加载驱动实现“主动防御”功能,为了破坏杀毒软件的主动防御功能,该病毒给系统加载一个beep.sys病毒驱动,从而让系统的SSDT重置,让杀毒软件“残废”。 此外,该病毒还通过映像劫持技术让杀毒软件真正地“歇菜”。
分析报告4:为了能随着系统启动而启动,该病毒会修改注册表,把自己添加到启动项中,为了防止启动项被清除,该病毒还为自己添加了系统服务。此外,该病毒还通过注册表禁止显示隐藏文件。
删除伪装成驱动的进程
我拿到化验科MM的化验单非常开心,有了这个就可以对症下药了。我给这个病人开出了如下药方:
第一步:首先运行安全工具IceSword(下载地址:http://www.shudoo.com/bzsoft),注意要改名后运行。运行后切换到“进程”项,会发现其中有ASUS.exe和ACER.exe进程,用Ctrl键同时选中,点击右键选择“结束进程”(图2)。
第二步:再切换到“文件”功能,将system32文件夹中的ASUS.exe、ACER.exe、MuTemp.exe、jxxgmw.exe、jxxgmw.nls文件删除。别忘了还有其他盘符中的ASUS.exe和Autorun.inf文件。由于病毒还会修改系统的UrlMon.dll文件,因此清除后我们还要从别的电脑上拷贝一份UrlMon.dll文件到system32文件夹中。
第三步:最后运行系统修复工具SREng(下载地址:http://www.shudoo.com/bzsoft),切换到“系统修复”功能,再点击“高级修复”标签,将其中的修复级别滑块拖动到“高强修复级别”,再点击“自动修复”按钮即可。这样系统注册表、服务等一系列被病毒修改的策略就都修复了。
最后重新安装杀毒软件(如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。
网软频道
更多病毒解决方案
1.网银盗号器61440
http://www.shudoo.com/08/0822/14/11409018.html
2.在线修复kaspersky病毒
http://www.shudoo.com/08/0724/15/11233183.html
3.娜妲病毒
http://www.shudoo.com/08/0815/14/113765303.html