“毒虫”来袭 网游告急
安全阵线
近段时间,百变毒虫病毒的感染量大幅攀升,为什么它能逃过杀毒软件的监控呢?
传播方式有两种
百变毒虫病毒的传播方式有两种,一种是捆绑在游戏外挂中,等着用户下载游戏外挂,伺机入侵用户的电脑;另外一种是捆绑在一些播放器中传播。成功入侵用户电脑后,百变毒虫病毒会盗取用户的网游账号和密码。该病毒之所以能够突破杀毒软件的防御,主要是因为它修改了Windows的ERSvc文件,该文件是部分杀毒软件的监控盲点。
小贴士 | TIPS
百变毒虫病毒在系统运行以后,会在系统的个人用户目录里面,释放一个名为kjbrq.cc3的病毒文件。这个文件的体积大约24MB,由于杀毒软件的云查杀功能,不会上传大于20MB的文件,这样病毒就躲过了杀毒软件的检测。
当kjbrq.cc3文件利用ERSvc服务启动后,会在C:\Program Files\Common Files\Vgqb目录中释放一个名为Vgqb.dll的文件,同时在C:\WINDOWS\System32目录中释放一个名为msdmo.dll的文件。
百变毒虫病毒清除方案
方法1:使用安全软件
建议大家使用傻瓜化的急救箱软件。运行工具后,点击窗口中的“立即扫描”按钮,如果有扩展选项的话最好将其选中。扫描完成后,点击“立即处理”按钮,再重新启动电脑,即可清除病毒以及修复被病毒窜改的系统文件(图1)。
方法2:手工杀毒
如果你有一定的安全基础知识,可以尝试手工清除该病毒。运行进程管理工具XueTr,在进程列表中点击鼠标右键,选择“在下方显示模块窗口”命令,接着在进程列表中选择Svchost.exe进程(不止一个,每个都试一试),当模块窗口出现kjbrq.cc3、msdmo.dll时,选中模块并点击鼠标右键选择“全局卸载模块”命令。
运行绿鹰文件解锁删除器,点击“文件或目录”,在弹出窗口中选择要删除的病毒文件,点击“添加文件”按钮(图2),再点击“暴力粉碎”按钮即可。然后返回到XueTr软件窗口,选择窗口中的“服务”标签,在列表中找到一个红色的ERSvc服务,它就是被病毒所破坏的系统服务。
在该服务上点击鼠标右键,选择菜单中的“定位到注册表”命令,找到ERSvc服务对应的注册表信息,再定位到Parameters子项目,在右侧窗口找到ServiceDll,点击鼠标右键选择“修改命令”,将“数值数据”中的内容删除,替换成%SystemRoot%\System32\ersv
c.dll即可(图3)。
