热点推荐:
您现在的位置: 电脑学习网 >> 网络技术 >> 正文

Win32.Troj.DownloaderT.pl.43008病毒

2013-09-12 15:53:31  来源: 网络技术 

  我是一家网吧的网管,为了维护网吧的电脑以及保护操作系统的安全,我给每台电脑都安装了还原系统。最近发现很多电脑的操作系统都得了“重感冒”,老是被木马、病毒侵袭,即使安装了还原系统也无法阻挡。
  后来我用安全工具检查,发现电脑中了一个名为Win32.Troj.DownloaderT.pl.43008的病毒。请教医生,我的还原系统是被它破解的吗?我要怎么才能彻底消灭该病毒呢?
病毒自述:我的名字就叫“关门放狗”
  看过周星驰《七品芝麻官》的朋友们都知道一句经典台词“关门放狗”,如今这句台词就成为了我的大名!我不但会运用天赋将电脑的还原系统彻底破解掉,让自己深深扎根于电脑操作系统中,还会持续散播一些木马病毒,让你们的电脑彻底曝光在黑客的眼皮之下。下面就来看看我是如何一步步实现目的的。
  当我进入用户的电脑系统后,首先会在系统盘中释放出五个病毒文件,其中的四个文件分别为1.exe、2.exe、3.exe、4.exe,这四个文件是在系统盘根目录下(图1),还有一个是在系统盘WINDOWS\Temp\目录下随机命名的TMP文件,这个文件其实就是前辈“机器狗”病毒的驱动程序。

  接着,我就想办法让自己扎根于电脑操作系统中,迅速修改系统注册表,把自己的相关信息加入其中,实现随系统启动而自动运行之目的。WWw.ITcOMPUTEr.com.cn我会创建一个名为“sys_flt”的服务,然后该服务程序指向在Temp目录中生成的TMP文件。当这个TMP文件被顺利加载后,就能将我自身复制到系统盘的“DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\”目录下,并设置属性为只读。
  当我在电脑系统里站稳脚跟后,就通过一系列快速地攻击,解除还原系统对电脑的保护,让我自己深深扎根于用户的电脑中!我会悄悄地连接http://www.2**01*8.cn/api/other这个由木马种植者指定的地址,下载许多木马程序到用户电脑上运行,给用户的系统安全带来无法估量的威胁。
本期医生:使用“打狗棒法”清除恶狗
  如果是网吧的话,最简便快捷的清除方法是利用GHOST在短时间内恢复系统,毕竟大批量的电脑一台台来进行手工查杀不太现实。而使用了还原系统的普通用户,用我的“打狗棒法”即可铲除这条恶狗。
  Step1:由于“关门放狗”病毒从网上下载了大量的木马,这些木马的危害结果各不相同,有些会破坏电脑的安全模式,并隐藏受保护文件,还有些会劫持杀毒软件,所以我们首先打开“我的电脑”,选择“工具”菜单→“文件夹选项”,选择“查看”,取消“隐藏受保护的操作系统文件”前的对钩,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后单击“确定”。
  小提示:如果安全模式也无法进入,则打开安全工具SREng,点击界面中的“修复安全模式”即可(图2)。

  Step2:删除系统盘根目录下的1.exe、2.exe、3.exe、4.exe四个病毒文件,以及系统统盘WINDOWS\Temp\目录下随机命名的TMP文件,某些文件在手工删除时会提示“此文件正在使用无法删除,使用Unlocker就可以避免这种问题。
  Step3:然后升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀,再用《360安全卫士》配合AVG Anti-Virus清除系统中剩余的病毒即可。

 
Win32.Troj.Unknown.366080病毒

  病毒名称:Win32.Troj.Unknown.366080
  中文名称:暗组远控
  病毒类型:木马程序
  威胁等级:中等
  本期医生:痛并快乐着
定时关闭端口的Svchost.exe进程
  最近我在论坛中看到网友推荐一款非常好看的播放器,就下载安装了,在安装时出现程序错误提示,当时以为无法安装就直接删除了。没过几天,我就在那个论坛上发现了我的一些私人照片。
  我知道电脑中毒了,急忙通知我哥哥,他检测了我的系统后发现有一个Svchost.exe进程,不但在偷偷地进行数据传输,并且还定时关闭传输数据的端口。哥哥结束这个进程,没有想到出现60秒倒计时关机。请问医生,这个病毒应该怎么清除?
多重伪装巧隐藏
  本人绰号“暗组远程控制2008”, 由于“十八般武艺”样样精通,成为黑客进行远程控制的利器,在“腥风血雨”的网络中占有一席之地,你的私人照片被盗,就是我的杰作。
  我常常通过文件捆绑、邮件伪装等方式欺骗用户并植入系统。由于现在的杀毒软件都有主动防御功能,因此当我成功进入到用户系统以后,修改系统服务描述符表(主动防御就靠它起作用)让主动防御对我在系统中的操作“视而不见”。
  接着,我释放一个DLL文件到系统中的System32目录里面,然后将木马本身销毁,将释放的DLL插入到Svchost.exe进程中,所以一结束Svchost.exe进程就会出现60秒倒计时关机。
  为了可以随着系统自动启动,我还设置了一个对应的启动信息。我采用的方法和其他木马不同,它们往往通过新建的服务来进行启动,而我是对系统的BITS服务信息(BITS服务是Windows系统自带的服务之一,可以利用空闲网络带宽在后台传送文件)进行替换,这样除了可以方便隐藏也能轻松穿透防火墙的拦截。
  除了隐藏功能不错外,我的控制功能也是相当的强,包括屏幕控制、视频控制、文件管理、键盘记录等常见的控制功能。利用视频控制可以打开远程的摄像头,从而捕捉到远程的视频信息;利用键盘记录功能可以记录远程系统的键盘操作,比如账号和密码的输入等。所以要盗你的私人照片并不困难!
手工清除“暗组远控”病毒
  这个病毒很狡猾、很善于隐藏,要捉它要下一番功夫,仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示:
  第一步:首先运行安全工具WSysCheck,点击“进程管理”标签后在进程列表中找到显示为粉红色的Svchost.exe进程。选中这个进程后会在窗口下方,看到一个名为12345.dll的DLL文件,选中它点击右键中的“卸载模块”命令(见图)。

  第二步:接着点击程序的“服务管理”标签,从服务列表中找到红色的BITS服务。点击右键菜单中的“定位注册表项”命令,程序自动跳转到注册表管理标签。选择注册表中的ServiceDLL这项,点击右键中的“编辑值”命令,然后在弹出的窗口中将值恢复为系统默认的%SystemRoot%\System32\qmgr.dll。
  第三步:然后点击程序的“文件管理”标签,在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后,点击右键中的“直接删除文件”命令,就能够成功地将木马从系统中彻底清除。

 
Trojan.Win32.AntiAV.aa病毒

        反病毒终结者变种AA(Trojan.Win32.AntiAV.aa)病毒值得我们特别注意。病毒运行后会在系统目录下保存病毒文件,并窜改注册表信息以实现随系统自启动。它会破坏计算机的还原功能和常用的还原类软件,使用户(特别是网吧用户)无法还原系统。
  该病毒还试图关闭多种主流杀毒软件及安全工具,给用户计算机安全带来威胁。此外,它还会从黑客指定的网站下载病毒,这些病毒会窃取用户的网游账号、密码等信息,给玩家带来损失。

  清除方法:使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要升级到20.33版。此外,我们还要开启杀毒软件的实时监控功能,防止病毒感染计算机,并要设置系统还原点和备份重要文件。

 
From:http://www.itcomputer.com.cn/Article/Network/201309/360.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.