囧!中毒后 主板飙歌
安全阵线
假想一下,半夜三更你坐在电脑前悠然自得地上网,突然主板开始唱歌——一曲“回到未来”,你是不是会被吓一跳?接着你就会抓狂,主板的蜂鸣器发出的歌声(蜂鸣器发出“滴、滴、滴”的声音,主要是用来报警或者提示的),异常难听,仿佛是“死亡咏叹调”。这就是中了唱歌病毒的后遗症。中了它,你就会时时刻刻被“歌声”所折磨。
读者来信
几天前,我用电脑办公,突然听到一种刺耳的声音,无比难听。放下手中工作,我寻找噪音的源头,竟然是在机箱里面,最后确认问题出在主板上。是主板坏了?温度高了?电脑还能正常使用,应该没有问题!
难道有鬼?我是无神论者,才不信这个!那时我突然想到电脑偶尔会弹出广告,是不是中毒了?带着疑问,我用搜索引擎一搜,发现跟我电脑出现同样症状的难兄难弟真不少,都是中了所谓的唱歌病毒。唱歌病毒利用主板的蜂鸣器,演奏“回到未来”。这哪是什么歌声,完全就是噪声,我憎恨病毒作者,太没有音乐欣赏水平了。好在我是一只电脑“老鸟”,懂不少安全知识,清除了该病毒。
主板是如此唱歌的
病毒是运用了什么“巫术”让主板唱歌的呢?它利用的是震动频率,音调的高低与震动频率成正比,也就是说物体震动速度越快则音调越高,如果把震动频率的变化连在一起,主板蜂鸣器就会发出歌声。在播放歌曲时,还可能弹出提示窗口(图1)。
此外,该病毒主要依靠闪存传播,中毒后,会禁用任务管理器、注册表,文件夹选项被隐藏了,“我的电脑”中的菜单内容也被窜改,诸如EXE、COM的程序关联也被强行抹杀了。
病毒原理:唱歌病毒在进入系统后,会将2009.exe和4.exe复制到系统的Windows目录里面。而另一个病毒文件.exe(该文件没有文件名)则会随机释放到系统中的任意目录。接着病毒会自动加载这三个文件到内存,这三个进程就可以起到相互保护的作用,尤其是.exe这个进程在进程管理器里面根本查看不到。
病毒会删除系统文件Userinit.exe,并且修改与其相关的Userinit启动项为4.exe,接着再修改另一个系统启动项Shell中的内容为2009.exe。然后再另外添加4和2009两个启动项到注册表,通过这四个启动项来确保病毒文件达到随机启动的目的。这样即使用户删除了病毒添加的启动项,如果没有注意到启动项被窜改,病毒还是可以运行。
然后病毒会在每个磁盘的根目录释放lotto.exe和Autorun.inf两个文件(图2)。这样用户在双击打开磁盘的时候,就会自动运行病毒文件,从而扩大病毒的传播范围。
克制病毒方案
第一步:同时运行进程管理工具XueTr(下载地址:http://www.shudoo.com/bzsoft)和系统修复软件SREng。在XueTr的“进程”标签中可以看到2009.exe、4.exe和.exe三个进程,通过鼠标选中它们,再点击右键选择“结束进程时删除文件”,接着又点击右键选择“结束进程”命令即可(图3)。
第二步:切换到系统修复工具SREng(下载地址:http://www.shudoo.com/bzsoft),点击“启动项目→注册表”,程序会提醒用户Shell项被修改了,直接点击“是”按钮进行修复(图4)。
接着又会提醒用户Userinit项被修改,同样点击“是”按钮进行修复。然后在列表中选择4和2009两项,点击“删除”按钮清除这两个启动项。最后点击“系统修复→高级修复”,再点击“自动修复”即可恢复被病毒破坏的系统。
第三步:把Windows PE光盘放入到光驱里面,再重新启动并进入到Windows PE系统。通过资源管理器,将从其他系统复制的Userinit.exe文件,复制到系统的System32目录里面,这样就能修复被病毒破坏的系统文件。另外再将每个磁盘根目录中所有伪装成文件夹的病毒文件,以及lotto.exe和Autorun.inf这两个文件,选中后删除就可以彻底清除这个会唱歌的病毒。