网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络交流 >> 正文
 

   
专 题 栏 目
相 关 文 章

没有相关文章

 
一波三折搞定QQ木马病毒           
一波三折搞定QQ木马病毒
作者:陈鹏 文章来源:eNet 点击数: 更新时间:2009-9-14 22:52:31
 




 

前几天,同学在QQ上收到一个人传来的文件(见图1),十分欣喜地打开,结果什么都没有,然后就发现自己也在不停地给人传文件,于是找我帮忙清除。其查杀过程一波三折,现成此文,以供大家参阅。

  



  1.轻松搞定伪装品

  先删除了他接收到的文件,然后用进程查看软件TroyanFindInfo(下载地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系统中所有进程。很快发现了一个很奇怪的进程(见图2),虽然名称是RUNDLL32.EXE,但其他的诸如版本、产品名、说明都和微软的RUNDLL32.EXE不同。

  


  另外,该文件保存在System目录下,而同学的系统是Windows 2000,系统自带的RUNDLL32.EXE应该保存在System32的文件夹中。基于以上的判断,初步断定该进程为木马进程,于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目,找到和刚才删除的RUNDLL32.EXE有关的键值即可。

  小提示

  ★进程查看软件很多,比如以前介绍过的IceSword,本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo,因为它比较小巧,信息也比较全面,实用。当你自己不能判断出进程文件时,还可以点击“Save”(保存)按钮,保存好LOG文件,然后传给高手,让他帮忙分析。

  ★以前大多数QQ病毒都是通过发送病毒网站地址来传播的,现在也有不少通过QQ直接发送病毒文件,比如,使用图片图标的EXE文件,大家在接收来自好友或陌生人的消息及文件时一定要提高警惕,最好先询问一下对方是否发过该信息或文件,以免无畏中招。

  ★开机自启动在注册表里的具体位置可以参见本刊2005年第1期的《中毒后遗症,妙手来清除》。

  2.清除病毒的“幕后黑手”

  本来以为是一个Easy Case,可刚回到家,同学就打来电话说好像木马没清除干净。过去一看,果然又出现了原来的状况。按照刚才介绍的方法先行处理过后,再回想一下整个操作,推断出可能木马把自己的分身隐藏到了系统的某个角落。

  

  
热门推荐 组网技巧:轻松搭建无线局域网 教你三招 打造更具个性的MSN

  于是打开“我的电脑”,在菜单栏上点击“工具→文件夹选项”,在弹出的“查看”选项卡里将“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”两项的勾选去除,再选中“隐藏文件和文件夹”里的“显示所有文件和文件夹”(见图3)。

  


  进入系统目录里,仔细看了一下WINNT、System、System32的目录,果然不出所料,发现了“.exe”和“notepad.exe”两个特殊的文件,根据刚才查杀System目录下RUNDLL32.EXE的经验,这些文件既不是系统自带的程序,文件的属性又和刚才删除的RUNDLL32.EXE属性类似,可以推断出这些文件就是木马文件,自然将其删除。最后,再去注册表,检查一下所有的启动项目。

  小提示

  ★系统自带程序都有各自特定位置和图标,比如开始要删除的“RUNDLL32.EXE”,如果是系统自带程序,那在Windows 2000/XP中保存在系统目录里的System32文件夹里。

  ★类似于“ .exe”和“notepad.exe”这类的木马文件的命名抓住了人们心理上的弱点,对相似东西会忽略掉。如果隐藏了扩展名,本例中的这两个文件粗粗看一眼就很容易忽略掉。还有一种就是用比较类似的字母或者数字来代替,达到混淆的目的,比如“I”(大写I)、“l”(小写L)、“1”(数字1)或者是“O”(字母O)“0”(数字0)就很容易拿来混淆。

  3.最终善后

  好事多磨,当我正暗自得意时,突然发现所有应用程序都无法使用,还弹出如图4所示提示,于是继续解决问题:到Window的系统目录里把“Regedit.exe”的扩展名改为COM,不理会警告再运行,即可打开“注册表编辑器”,然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]将“默认”键值改回“%1 %*”。再以“”和“notepad”为关键词进行搜索,结果又发现注册表的一处键值,即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad %1”,修改回默认的“NOTEPAD.EXE %1”即可。

  最后,为了保险起见,再用安装的杀毒软件对系统进行了全面的查毒,发现QQ目录中的“TIMPlatform.exe”也是木马,去QQ的目录里一看,发现还有一个文件“TIMP1atform.exe”,经过查看属性,查毒,确认它是被木马改名的原“TIMPlatform.exe”文件,改回后,一切正常。

  


  小提示

  ★在检查注册表时一定要眼尖,看清楚键值是不是给做了手脚,是不是多加了一个空格,或使用了混淆字母。

  ★当发现查杀完木马后系统出现异常,很有可能是其留下了诸多的后遗症,具体处理方法详见本刊2005年第1期的《中毒后遗症,妙手来清除》。

  ★推荐在手动清理完木马后再用杀毒软件对系统进行彻底的查杀。

  小编有话说:无独有偶,小编最近也手动清除了几次病毒,使用的工具是RegFix(下载地址:http://nj.onlinedown.net/soft/25562.htm)及IceSword(http://www.newhua.com/cfan/200508/icesword.rar),前者可用于修复注册表,后者则是非常不错的手工杀毒必备软件。其实只要用得顺手,使用任何工具都可以解决问题,整个流程就像本文介绍的那样。

  
热门推荐 组网技巧:轻松搭建无线局域网 教你三招 打造更具个性的MSN



  

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客