广告病毒 靠脚本恶心人
安全维护
读者求助:我的电脑曾经中过广告病毒,用杀毒软件解决了问题。最近,我的电脑又出问题了,桌面有两个IE图标,随便双击哪一个IE图标,都会连接到一个导航网站。
这跟此前的中毒特征是差不多的,我怀疑又中了广告病毒,于是用杀毒软件全盘查杀,没有发现病毒,又用安全辅助工具全盘查杀,也没有发现木马。删除桌面上的IE浏览器图标,重启后又出现了。真是太奇怪了!我扫描了系统日志,希望数动连线的高手可以帮帮我,我是不是中了病毒?这个问题应该怎么解决?
脚本病毒在捣鬼
我们分析了该读者上传的系统日志,确信该读者的电脑的确是中毒了,是比较流行的“流氓桌面”病毒的变种。该变种才出现,就受到安全爱好者和安全厂商的关注,目前已经有了对付它的方法。
为什么该变种会受到大家的关注呢?因为它的行为非常卑鄙、非常狡诈。绝大多数广告病毒都是可执行程序,罕见脚本类型的。该病毒的主体是在系统盘的Program Files中,一个名为qqqq且没有后缀名的脚本文件。
在系统“程序”菜单的启动项里面,该病毒伪造了一个“腾讯QQ”启动项(图1),这样系统启动的时候,病毒也就激活了。该病毒会将系统桌面上的IE图标进行隐藏,然后在系统桌面创建两个假的IE图标,它们都指向同一个导航网站。此外,在快速启动栏和开始菜单中都会出现假的IE图标。
该病毒运行后,没有进程或线程,很难被安全辅助工具所发现,而大多数杀毒软件都是通过特征码进行病毒判断的,要发现该病毒就更难了,所以该读者的杀毒软件和安全辅助工具没有发现病毒就不奇怪了。删除假图标的方法是行不通的,系统重启后,该病毒又会重新创建假图标。
病毒清除方案
经过我们测试,发现部分最新病毒库的杀毒软件是可以查杀该病毒的。如果杀毒软件找不到该病毒,那试试带云查杀功能的安全辅助工具,比如《金山急救箱》(下载地址:http:/ /www.shudoo.com/bzsoft),运行工具后,点击窗口中的“立即扫描”按钮,工具会自动寻找病毒、恢复IE(图2)。
如果用户有一定的安全基础知识,可以尝试手工清除该病毒。运行进程安全工具XueTr,点击界面中的“启动项”标签,在启动项列表中找到一个名为“腾讯QQ.lnk”的项目(图3),点击鼠标右键选择菜单里面的“删除(启动信息和文件)”命令。
最后,删除桌面、快速启动栏和开始菜单中的假IE图标,恢复被隐藏的真IE图标即可。