害人不浅的伪病毒

Author: 奇人 Date: 2001年 45期

#1?牐牎袄渡А? 案例分析
  ?牐犛始饽渴?:“送给你的情人节礼物”。打开后有一个附件,名字为:“dear,吻你!”,双击附件后,立刻弹出一个窗口,标题栏上写的是:“千年老妖”,下面写着一句话:“亲爱的,送给你一个关机之吻”,旁边还有一个倒计时器,进行60秒倒计时。当倒计时结束后计算机立刻重新启动,等蓝天白云过后,又出现了那个窗口,还是从60开始倒计时,按下“Ctrl+Alt+Del”三键想选择关闭这个窗口时,计算机立刻死机。再次开机,一阵狂敲“F8”,选择安全模式启动,但不幸的是,“千年老妖”依然和我见面了,无法进入桌面。
  ?牐犜趺窗炷兀慷粤耍野沧傲薟in98和Win2000双操作系统,能不能从Win2000启动,然后再删掉那个病毒程序呢?立刻重新启动计算机选择Win2000,随着Win2000登录画面的闪过,顺利进入到了Win2000的桌面。立刻查找“dear,吻你”,终于,在C:\Windows下被我找到并彻底删除了它。
  ?牐犎缓螅植檎易⒉岜恚境怂泻小癲ear,吻你”的字符串,按“F5”键刷新,重启计算机,选择Win98,结果却大失所望。这回虽然没有见到千年老妖,但出现了另一个对话框:装载C:\Windows\Temporary Internet files\content.IE5\CBAPE29F\“dear,吻你”出错,必须重新安装“Windows”,单击“确定”按钮后,计算机自动关机。
  ?牐牬耸保坪踔挥兄刈跋低痴庖惶趼房勺吡耍渚蚕吕春笞邢阜治觯珺oot.ini、System.ini、Win.ini、Autoexec.bat几个文件便成了我怀疑的重点对象……
  #2?牐牻饩龇椒?
  ?牐牱椒ㄒ?:
  ?牐犌谢坏組S-DOS下,在Windows下面找到System.ini文件,找到那个XX之吻的文件名(病毒文件名),把那一条删除就行了。这样,你进入Windows系统就不会加载那个文件,然后在Windows下找到那个文件删了就行了。
  ?牐牱椒ǘ?:
  ?牐犘薷腃:\Windows\system.ini文件。把[boot]段的shell=病毒文件名.exe(当然前面还可能有病毒文件名的路径)改成shell=C:\Windows\explorer.exe。
  ?牐牱椒ㄈ?:
  ?牐燗盘启动,拷贝其他机器的“explorer.exe”覆盖“病毒文件名.exe”。
  #1?牐牎癙retty Park”案例分析
  ?牐犛⑽摹癙retty Park”是什么意思?原来是“美丽的公园”,打开后,发现是可执行文件,从此“Pretty Park历险记”就开始了。
  ?牐犗低晨加械悴徽#罄淳退阑恕V仄簦τ贸绦蚓筒荒苤葱辛恕J宰潘饔τ贸绦蛲急辏聊坏鲆桓龆曰翱颉罢也坏接糜诖蚩τ贸绦虻膄iles32.vxd...”,又试着双击了几个图标,又出现同样的对话框,这一下我可害怕了。但慌乱之中,灵机一动,是不是病毒程序把系统的文件移位或删除了呢?于是在“查找”的对话框中键入“files32.vxd”,然后进行查找,没找到。
  ?牐牪皇且莆唬鞘遣皇俏募簧境耍康狡渌幕由隙晕募胁檎遥匀徽也坏健<热籉iles32.vxd根本不存在,那是不是打开方式被修改了?带着问题,我对比了两台机器上应用程序的打开方式,正常的一台是“可执行”,我的是“files32.vxd”。原来是这样,于是我单击“文件类型选项”里的“应用程序”项,想修改应用程序的打开方式,但系统禁止,没办法!
  ?牐犝媸遣《竞θ税?!网上搜寻后,发现下面有解决的方法:在“运行”对话框中运行“regedit”……还没看完,我就迫不及待地单击“开始”→“运行”,键入“regedit”,满怀希望的单击“确定”按钮,讨厌的对话框又出来了,又是“找不到……”,哎呀,regedit也是(*.exe)应用程序我绝望了,准备重装系统。
  ?牐牷故遣桓市摹W郊扑慊坝挚妓妓鹘饩龅姆椒ǎ蝗挥窒肫?*.reg的文件可以改变注册表,便试着按修改项编了一个注册文件(*.reg),双击,屏幕显示注册表修改成功。试着运行(*.exe)文件,可是这又是一个失败的尝试,该死的Pretty Park!
  #2?牐牻饩龇椒?
  ?牐牏僦匦乱匀砼唐舳扑慊葾盘转到系统盘C。
  ?牐牏诮隒:\Windows\command\目录。
  ?牐牏奂雜canreg/restore。这时屏幕显示了5个备份文件(*.cab),分别是近5天来的注册表备份,从中选择上一次启动时的正确备份,回车,系统就自动恢复了注册表。重启后一切OK。