2007年病毒、木馬、惡意程序異常活躍,大有橫行互聯(lián)網(wǎng),我是病毒我怕誰之勢。很多網(wǎng)友都曾丟失過個(gè)人信息,這包括游戲帳號、QQ號碼,甚至銀行帳戶等,造成這些帳號丟失的元兇,大概歸納起來有三種病毒:一是QQ尾巴病毒,二是下載者病毒,三是網(wǎng)馬病毒。
一、QQ尾巴病毒中毒癥狀:自動(dòng)的向QQ所有好友列表發(fā)送一句話,內(nèi)容多以色情,詐騙為主。如:“這是我的照片”,“最近好久不見,十分想念,我自己做了一個(gè)網(wǎng)站”,還有的是“我最近遇到一些困難,有沒有錢能接濟(jì)下,這是我的銀行卡號和開戶信息等”。
二、下載者病毒:通過移動(dòng)存儲(chǔ)介質(zhì)感染,如U盤、手機(jī)存儲(chǔ)卡、DV/DC的存儲(chǔ)卡。通常該病毒會(huì)偽裝成一個(gè).jpg.exe文件,由于多數(shù)用戶只注意jpg,卻沒有注意后綴的.exe,當(dāng)點(diǎn)擊運(yùn)行后,病毒會(huì)自動(dòng)下載大量的盜號木馬和做鍵盤記錄,駐留在系統(tǒng)temp文件里面。這樣機(jī)器就被遠(yuǎn)程控制了,當(dāng)用戶進(jìn)行網(wǎng)銀交易時(shí),帳號、密碼統(tǒng)統(tǒng)的都被遠(yuǎn)程控制者得到。
三、網(wǎng)馬顧名思義就是網(wǎng)頁木馬,一些入侵者用入侵技術(shù)得到一些大流量訪問站點(diǎn)的后臺(tái)帳號,在主站上面掛上編寫好的網(wǎng)頁木馬,在一些訪問者訪問網(wǎng)站的時(shí)候被悄無聲息的安裝到了本機(jī)上面,成為了一個(gè)帶菌者。現(xiàn)在網(wǎng)馬的種類也很多,利用的途徑也曾出不窮,最近比較流行的有迅雷0day網(wǎng)馬,ppstream網(wǎng)馬,pplive網(wǎng)馬,realplayer網(wǎng)馬。
上面簡單介紹了流行病毒、木馬,而最近,U盤病毒非常盛行,最典型的就是就是auto.exe病毒。如圖1:
 |
| 圖1 |
雙擊系統(tǒng)盤符時(shí),出現(xiàn)讓你選擇用哪種關(guān)聯(lián)文件打開的對話框,而右鍵單擊時(shí),彈出的菜單里增加了一個(gè)auto的選擇,如果你的系統(tǒng)出現(xiàn)這個(gè)情況,那就代表系統(tǒng)已經(jīng)被感染。
這種病毒出現(xiàn)已經(jīng)有一段時(shí)間了,最近新變種為了躲避殺毒軟件,利用了空字節(jié)寫入,修改系統(tǒng)日期,以卡巴為例,如圖2
 |
| 圖2 |
上圖中卡巴(avp)是灰色的,而系統(tǒng)日期時(shí)間為2005年12月10日,如圖3:
 |
| 圖3 |
我們把系統(tǒng)時(shí)間修改為正確后,再看一下下avp的顏色,如圖4:
 |
| 圖4 |
#p#副標(biāo)題#e#
分析:
該病毒被種植后,會(huì)自動(dòng)訪問一個(gè)地址為xxxx.xxxxx.com 的站點(diǎn),下載隨機(jī)生成的7位編碼.exe文件,這些exe文件都保存在c:documents and settings 下的local setting目錄下面的tempporary internet files文件目錄里面如圖5:
 |
| 圖5 |
這里的update.txt和f2b4657b556.exe就是剛剛生成的木馬程序,這個(gè)f2b4657b556.exe是隨機(jī)生成的,經(jīng)過測試,每次都不一樣。病毒為了保全自己還會(huì)在system32下面生成大量的dll文件。如圖6:
 |
| 圖6 |
從文件生成日期來看,都是最新生成的文件,而此前未中auto.exe的時(shí)候是沒有這些DLL文件的,里面還有一個(gè)隨機(jī)生成的.exe文件,生成日期為,12月9日。通過查看系統(tǒng)隱藏文件可以看到這些文件,在所有硬盤分區(qū)中都有auto.exe和autoruan.inf。直接刪除是肯定不成的。因?yàn)樵赪indows目錄里面,還有很多生成文件,比如擴(kuò)展名為exe和log的文件及文件夾,如圖7
 |
| 圖6 |
由于auto.exe帶有進(jìn)程注射,不能直接刪除system32文件夾下新生成的dll和exe文件,可以使用icesword找出有問題的進(jìn)程。先終止可疑相關(guān)進(jìn)程,再刪除文件。
#p#副標(biāo)題#e#
下面是可疑文件:
upxdnd.dll,LotusHlp.dll,mppds.dll,SHQ.dll,SHQMANGR.dll,LYMANGR.dll,mhshal.dat,LYLOADMR.exe,K119742729615.exe,K119742729312.exe,LHOADER.exe
如果裝了專用防火墻,則會(huì)彈出如下提示框:
 |
| 圖7 |
該病毒試圖訪問連接到222.73.26.9這個(gè)目標(biāo)站點(diǎn)上,可以肯定,這個(gè)IP地址一定是遠(yuǎn)程控制終端。下面就要?jiǎng)h除這些該死的東西。
先把icesword打開,然后點(diǎn)進(jìn)程,如圖8:
 |
| 圖8 |
這些關(guān)鍵系統(tǒng)進(jìn)程里面肯定存在一點(diǎn)害群之馬,那么如何將駐留在系統(tǒng)進(jìn)程里面的壞東西清除出去呢?右鍵單擊關(guān)鍵進(jìn)程,再選擇彈出的模塊信息,就可以看到里面包含的DLL(動(dòng)態(tài)鏈接庫)。#p#副標(biāo)題#e#
我們按照得到的那個(gè)文件列表,在關(guān)鍵系統(tǒng)進(jìn)程里面操作,如圖9:
 |
| 圖9 |
強(qiáng)制解除就可以了。經(jīng)過重復(fù)的操作,再刪除那些文件就可以了,另外有些EXE文件是刪除不掉的,遇到這樣的文件只要放到桌面上,經(jīng)過連續(xù)的兩次重新啟動(dòng)即可刪除。
編者注:上面是針對流行的AUTO病毒的手工清除辦法,如果大家系統(tǒng)中沒有icesword分析工具,也可以通過其他手段查找相應(yīng)的進(jìn)程,這里就不再一一介紹。其實(shí)針對AUTO病毒有已經(jīng)有很多專殺工具,51CTO安全頻道專門針對這種U盤病毒推出查殺專題,希望能給各位網(wǎng)友帶來幫助。
