此猪非外挂,乃病毒
安全阵线
病毒类型
盗号病毒
病毒目的
窃取键盘输入信息
小编点睛
猪是憨厚老实的家畜,也算人们生活中的“可用之才”。可是这回新出栏的“偷懒猪”病毒则是拥有键盘记录功能的“瘟猪”。它会伪装成“偷懒猪”外挂,引诱你下载,一不小心,你就可能被它毒倒,网游账号被盗,欲哭无泪。
话说不久前,一位网游“游侠”给我们发来江湖救急的飞鸽传书,此君跋山涉水、披荆斩棘、千辛万苦积攒的独门宝物和账号被传说中的无影神偷所盗,路过“江湖当铺”主页,泪见自家账号已沦为众多江湖儿女竞标的稀世珍宝。据了解,此“游侠”乃安全版忠实弟子,一手“安全十八招”耍得有模有样,可是为什么会遭此毒手呢?
经过调查,无影神偷被锁定为“偷懒猪”病毒,它伪装成偷懒猪外挂“丹药”。普通血肉身躯的江湖儿女也食人间烟火,难免贪小便宜,“练武”除了有个百年武林前辈灌顶传功之外,走捷径常见的方式就是服食外挂“丹药”。虽然江湖中人一再视外挂“丹药”为不耻,但是此法仍为众多懒惰游侠所好,正所谓“天下风云出我辈,一入江湖岁月催,皇图霸业谈笑中,不敌人家丹药多”。
“偷懒猪”是如何毒倒众英雄好汉的?吞下它后,在键盘上的一举一动都会被它知晓,钱财入他人之手,隐私被整个江湖流传绝非危言耸听。别以为远离外挂就能高枕无忧,“偷懒猪”还会利用各种系统漏洞入侵你的电脑,即使是安全功夫小有成就的“游侠”也可能马失前蹄。
病毒原理:“偷懒猪”病毒采用自解压格式存储,在进入系统运行后,会在下载目录里面自动解压出“偷懒猪.exe”、 “日志.txt”、“config.xml”等文件(图1),并自动调用所释放的病毒程序。
病毒程序运行后,会在System32目录下释放随机文件名的恶意DLL功能组件,然后在系统后台秘密监视用户的键盘输入,将用户的键盘输入、窗口标题、时间等信息记录到“*.key”文件中,并发送到黑客指定的远程服务器站点上。
克制病毒方案
第一步:先断开电脑的网络连接,再运行进程管理工具Wsyscheck(下载地址:http://www.shudoo.com/bzsoft),可以看到一个紫红色的Svchost.exe系统进程,它里面插入了一个network.dll模块。选中该进程后,点击右键选择“结束选择的进程”即可(图2)。
第二步:点击Wsyscheck中的“文件管理”,定位到病毒主文件所在的System32目录下。选中病毒文件network.dll,点击右键选择“删除”即可(图3)。然后再定位到下载目录,将“偷懒猪.exe”、“说明.txt”、“日志.txt”、“config.xml”和“dd55ee22ff.exe”等一系列文件选中并删除。
第三步:点击Wsyscheck中的“服务管理”标签,在列表中选择病毒启动服务network,点击右键选择“删除选中的服务”即可(图4)。
最后重新启动操作系统,调用杀毒软件对系统进行全面的扫描,以清除病毒残留在系统中的衍生文件。
小知识
Wsyscheck是一款手动清除病毒的工具,它可以简化病毒的识别与清理工作。在进程页中,红色进程表示非微软进程,紫红色进程表示虽然进程是微软进程,但其模块中有非微软的文件。
在服务页中,红色服务表示该服务不是微软服务,且该服务非.sys驱动(最常见的是.exe与.dll,木马大多使用两种方式)。 使用“检查键值”后,蓝色服务显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。