警惕一个新的黑客软件

Author: 瞿芾、佘明军 Date: 1999年 第50期 29版


  今天朋友给我mail来一个软件,说是不知道谁发来的,图标到是挺好看,就是不敢执行(安全意识挺强的),要我看看能不能执行。我收到一看是个小图标,挺可爱的(是个绿头发的娃娃脸)。我想就执行吧,谁怕谁啊!我也看过不少黑客软件了,大多是把自己复制到system目录下,再添加注册表上,让其自动运行。我于是执行了这个程序,和大多数黑客软件一样,没反应,我知道就不是什么好东西了!马上打开进程管理察看,发现c:\windows\system\Files32.vxd 在进程中,一般情况下是没有的,立刻终止进程。打开资源管理器删掉这个Files32.vxd 结果删除的时候报错,说文件占用。再察看进程,这个东西又出来了,怎么回事?马上又终止进程,删掉了这个文件。这时,我想打开注册表看看它有没有动什么手脚。却出现提示Windows无法找到Files32.vxd,要求定位。我一下子慌了,我想,难道和happy99一样合并到系统文件里了?赶快要网友帮我找找机子里有没有Files32.vxd,结果说没这个文件!我重启动计算机,发现启动以后Files32.vxd依然运行,还自动跳出拨号连接对话框。我将所有程序能隐藏自动启动的地方都看过了,也没有发现!我只能再到注册表里看看了。结果终于发现了HKEY_CLASSES_ROOT\exefile\shell\open\command,默认键值变为FILES32.VXD ″%1″ %*,居然是用这个来打开应用程序!也就是说只要有程序执行。它就会出来!真太黑了!
  我跟踪了一下它的网络动作发现如下动作:202.96.128.110:25,smtp,195.40.6.1:6667,IRC,202.103.190.46:8000,udp,可能由于我是169它连接不上IRC服务器。它会自动地转换服务器。我记录下了几个地址207.152.95.10、195.238.2.19、193.55.112.8、195.40.6.1,这几个都是它连接的irc服务器地址,但是不知道具体做了什么动作。该软件文件名是pretty_park.exe  大小为36.5KB。
  该黑客程序通过电子邮件在网络上广为传播,当你不小心运行该程序后,你上网的账号、密码、ICQ号及私人信件等资料就被拱手送至他人手中,进而控制你的电脑和使用你的个人资料。
  带有该黑客程序的邮件内容如下:“TEST:Pretty Park.exe:)”,在附件中就附带有Park.exe。如果你收到了这样的邮件,认为这是从你的好朋友或亲人那里发过来的,大可以放心地执行附件中的程序,那你就大错特错了,因为这是他感染了该黑客程序的病毒之后由该程序自动发给你的,也就是说,他也不知情。当你收到这封信时如果执行了附件中的该黑客程序之后,计算机就会自动将这封信发给你通讯簿中所有的联系人,进而形成一种链式反应。
  如果你不小心执行了该黑客程序,请寻找电脑里是否有FILES32.VXD这个文件,如有即为中毒。解除方法如下:
  在“开始”的“运行”里输入“Regedit”并回车,再进入“HKEY_LOCAL_ROOT\exefile\shell\open\command里,会发现一个叫FILES32.VXD″%1″%之类的东西,立刻删掉它,然后重新启动电脑,再到Windows\System中删除FILES32.VXD,再将Pretty Park.exe删除即可。