让“坏男孩”不再捣乱
网络安全
病毒名称:Win32.Hack.BadBoy.er.65536
中文名称:坏男孩
病毒类型:后门类病毒
病毒目的:远程控制系统
本期医生:痛并快乐着
9月28日 星期一 多云
“医生,医生,我难受死了。”一台生了病的电脑蹒跚地走进了安全诊所。我招呼它坐下,问道:“哪不舒服?”
“这几天不知道怎么回事,系统有时候会突然变慢,一会儿又好了,非常奇怪。更奇怪的是主人的账号一天丢一个,就好像有个黑手在背后操纵一样。”
“很像是被远程控制了。你主人是什么时候发现你生病了的?”
“是他看了几个网站后,我就不舒服了,然后主人的账号就丢失了。”
听了病人的介绍,我对它的病情已经有了大致的了解。病人浏览的某个网站中,含有病毒,通过该病毒,黑客远程控制了电脑,所以该电脑的主人的账号就被盗了。
电脑内含后门病毒
我让生病的电脑躺在床上,用按压的方式进行简单的检测。当我按到病人系统目录下的system32文件夹时,病人突然疼得哇哇大叫,这里有问题。我将病人送到了医院四楼的化验科,30分钟后得到了电脑体内病毒的详细分析报告。
分析报告1:该病毒是Win32.Hack.BadBoy.er.65536(俗称坏男孩病毒),运行以后会在系统system32文件夹内释放病毒文件Irmondll.dll、snifflogV3.log和HwaylogV3.txt文件。其中HwaylogV3.txt记录的是木马的安装日志,而snifflogV3.log记录的是网络数据嗅探分析信息。
分析报告2:为了可以随系统启动,病毒在注册表里面创建一个名为Irmon的服务。病毒为了更好地保护自己,不允许手工禁止该启动服务,只能直接卸载。病毒会每过半分钟自动读取一次设定的网址,从而在第一时间执行黑客发布的命令。如果网址里面没有任何的操作指令,那么病毒就会静静地潜伏在系统里面。
分析报告3:利用病毒,黑客可以远程查看系统配置、结束系统进程、控制文件上传下载、进行远程屏幕截取等。尤其是对远程屏幕进行截取,这是其他后门都少有的功能。
找出病毒的线程
有了详细的分析报告,我根据生病电脑的实际情况,开出如下处方:
第一步:首先运行进程工具Wsyscheck(下载地址:http://www.shudoo.com/bzsoft),点击窗口中的“进程管理”标签。这时可以看到一个粉色的svchost.exe进程,选中该进程后可以在下方找到Irmondll.dll模块。选中该模块,点击右键选择菜单中的“卸载模块”命令即可(见图)。操作软件可能会提示错误,不用管它。
第二步:然后切换到Wsyscheck窗口的“服务管理”标签,找到服务列表中红色的Irmon服务。从“服务路径”中可以看到,该服务关联的正好就是Irmondll.dll模块。选择Irmon服务并点击右键,选择菜单中的“删除选中的服务”命令即可。
第三步:最后切换到窗口的“文件管理”标签,进入系统的system32目录。找到Irmondll.dll、SnifflogV3.log、HwaylogV3.txt文件,点击右键选择菜单中的“删除”命令即可。
最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。