辛苦從網上下載了一個軟件,安裝後沒看到我想要的功能電腦裡面卻多了一堆病毒,電腦也出現一個讓人不爽的情況,如最喜歡用的浏覽器圖標突然都不見了;桌面也多了了淘寶特賣之類的討厭的圖標,崩潰的是刪除以後重啟電腦又會出現;打開浏覽器首頁突然間變成了陌生網站,但是我根本就沒有設置過這樣的主頁的。
接下來就讓我們來認識下這個偽裝成正常軟件的病毒,經過分析發現這個病毒分工非常明確,每一個部分都負責不同的功能。
一 木馬大頭目quicklnk.exe
通過分析發現quicklnk.exe就像是帶頭大哥,它負責給“病毒喽羅”分配工作,如把Internet Exlporer.rar解壓到桌面,偽裝成Internet Exlporer圖標;把淘寶·特賣.exe,西游·仙劍.exe兩個文件拷貝到桌面,並讓它看上去就是一個圖標;把病毒Csrass.exe,setbrowser.exe 偷偷的啟動起來。
二 木馬喽羅Csrass.exe
Csrass.exe主要負責的是啟動setbrowser.exe(刪除常見浏覽器圖標);調用iemonitor.dll(監控浏覽器啟動並跳轉了指定的導航網站)。
值得我們注意的是,這個猥瑣的Csrass.exe利用了一個小技巧讓病毒不斷的復活:Csrass.exe會響應關機或Logff前的消息 WM_QUERYENDSESSION和WM_ENDSESSION,寫入自啟動項:C:Documents and SettingsAll Users「開始」菜單程序啟動Wscript.vbs,這個文件包含有讓Csrass.exe自動啟動的代碼,讓人防不勝防。
三 木馬喽羅setbrowser.exe
通過分析發現setbrowser.exe主要負責的是把桌面、快速啟動欄包含“浏覽器”,“傲游”,“谷歌”,“世界之窗”之類的快捷方式都刪除掉。
四 木馬喽羅Iemonitor.dll
通過分析Iemonitor.dll主要功能就是監視一些常見浏覽器的進程啟動,然後讓他們訪問預先設置的導航網站類似http://www.1busou.com。
五 QQ電腦管家修復處理
針對這個病毒我們可以開啟QQ電腦管家的實時防護功能就可以攔截它入侵你的電腦,而已經中招的用戶使用QQ電腦管家的木馬查殺功能即可輕松處理。