关机按钮消失谁在搞鬼?
网络安全
病毒名称:Win32.Troj.GuisePicture.dr.58368
中文名称:灰色插图
病毒类型:木马病毒
病毒目的:弹出广告、盗窃MSN账号
本期医生:Papa、李志阳
10月6日 星期一 晴
国庆节后第一天上班,安全诊所就被挤得水泄不通,我(李志阳)赶忙走进办公室,还没有坐下,就看见有一台生病的电脑在等我检查。
“哪里不舒服呢?”我问道。
“我的系统中毒了,不能关机了!系统中的关机按钮不见了!”
“怎么中毒的?”
“今天早上,主人MSN上的一个人发来照片,说是他国庆旅游照的,主人好奇就接收了。看了照片没有多久,我就中毒了。现在杀毒软件不能用了、任务管理器打不开、安全模式进不去了,想去安全网站求救,连网站都打不开。最可恶的是,关机按钮不见了。医生,快帮帮我!”
利用MSN传播的灰色插图
听了生病的电脑的自述,我知道问题出在哪里了,肯定是照片有问题。病毒通过MSN,以照片共享的名义传播。为了得到病毒的详细信息,我从生病电脑上提取了样本送给化验科的Papa,经过他的分析后,得知该病毒就是国庆期间新出的病毒——灰色插图。分析报告如下所示:
分析报告1:该病毒在互联网上通过MSN传播,用户接收了含病毒的压缩包并解压后,会得到.scr图片文件和.exe病毒(图1)。
分析报告2:该病毒运行后,会释放主文件symlsry和autorun.inf文件到硬盘的每个分区和移动存储设备中,并能通过系统自动播放功能激活病毒。这样即使重装了系统,打开非系统盘的其他盘符,也会再次感染病毒。为了隐藏自己,该病毒将主文件保存在自己创建的属性为隐藏的回收站文件夹下,非常难发现。
分析报告3:该病毒会创建隐藏的进程(进程名是随机的),用来关闭安全软件及一些安全辅助工具。此外,通过修改HOSTS文件禁止用户登录安全网站,以阻拦用户通过网络获得安全厂商的技术援助。
分析报告4:该病毒会检测是否在虚拟机中运行,如果发现不是真实电脑会自动终止执行,以避免被人在虚拟机中查到蛛丝马迹。做完这些,该病毒就会修改注册表,导致关机按钮消失、无法进入安全模式等。
清除灰色插图病毒
知道病毒的底细,就好办了,我很快就找到了清除方法:
第一步:首先运行安全工具Wsyscheck(下载地址:http://www.shudoo.com/bzsoft)。运行后切换到“进程管理”项,会发现其中有一个symlsry进程,选中该进程后点击右键选择“禁止选择的程序运行”(图2)。
第二步:再切换到“安全检查”中的“活动文件”功能,将此前进程中看到的病毒启动项“修复并删除”。此操作会将注册表中病毒信息以及病毒文件同时处理掉。再切换到“文件管理”,删除病毒的备份文件(图3),其中包括autorun.inf以及相同修改时间的RECYCLER文件夹。
第三步:进入系统分区下的windows\system32\dirvers\etc\目录,使用记事本程序打开HOSTS文件,将里面的内容完全清空后输入127.0.0.1 localhost即可(图4)。
最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。