谎称播放器 安装就中毒
安全维护
最近上网,你最需要抵御的是什么病毒?是色播病毒,该病毒面世后,感染电脑的数量不断攀升,目前已经达到每天感染10万台电脑——每天都有10万用户面临着网游盗号的风险。
最近,我们收到很多读者朋友的求助信息,他们的电脑中了毒,个人敏感数据被盗。他们中毒的过程都差不多,访问某些视频网站时,网站要求安装一个QVOD播放器,安装后系统中的杀毒软件图标就消失了。用户可以找到QVOD相关的进程,却找不到QVOD播放器。这到底是为什么呢?
用户安装的是病毒
我们对用户中毒的网站进行调查,发现从这些网站下载的根本不是什么播放器,而是最近非常猖獗的色播病毒,该病毒谎称是视频网站的专用播放器,诱骗不明情况的网友进行下载和安装(图1)。除此以外,这个病毒也会采取捆绑软件的方式传播,在安装软件的时候偷偷潜入用户的电脑。
我们对色播病毒进行了深入的分析,当它成功进入系统后,会结束主流杀毒软件的进程,禁止用户访问安全网站,从而为病毒进一步破坏系统铺平道路,接着它替换Windows系统中的appmgmts.dll或msimg32.dll文件,替换后的文件描述窜改为Qvodintsll module。此外,该病毒还会修改QQ软件中的相关组件,在运行QQ时,病毒就会被激活。
做完这些,病毒就会在系统的临时目录中,下载大量窃取网游账号的盗号木马,这些盗号木马会将自身插入到资源管理器、记事本、输入法等系统进程中。当用户运行网络游戏时,输入账号和密码后就会被木马窃取,从而蒙受盗号的损失。
色播病毒解决方案
我们已经提到,色播病毒会禁用杀毒软件,所以中毒后想用杀毒软件解决问题比较困难。最简单的解决方法是使用色播病毒专杀工具(下载地址:http://www.shudoo.com/bzsoft)。下载工具后(图2),点击“开始扫描”按钮进行分析,分析完成以后会自动删除病毒并要求重新启动系统。
除了使用专杀工具外,还可以使用安全辅助工具,用安全辅助工具扫描系统,分析病毒的行为和路径,然后根据扫描的结果修复系统。一般来说,安全辅助工具修复系统后,需要重新启动系统才能清除干净病毒文件。
如果用户一时间找不到上面的工具,而自己也有一定的安全基础,那么可以试着手动删除病毒。运行进程管理工具Wsyscheck,在进程列表中选择所有后缀名为TMP的进程以及所有显示为紫红色的系统进程,点击右键,选择“结束选择的进程”(图3)。如果操作后还出现紫红色的系统进程,那么选中该进程,在模块列表中定位到没有厂商名称的模块,点击右键选择“卸载模块并删除文件”命令。
接着点击窗口中的“服务管理”标签,在“文件厂商”列表中找到含有“QVOD”的项目,点击右键选择“删除选中的服务与文件”命令即可。此外,列表中还有一个以数字开头的启动服务,利用同样的方法再将它删除。
最后使用安全辅助工具修复被病毒破坏的系统文件,再用杀毒软件在安全模式下进行全盘查杀,清除色播病毒下载的盗号病毒。