由于熊猫烧香病毒源代码的泄露,该病毒的变种仍然横行于世。玉兔病毒就是变种之一。它能够破坏系统的安全模式,让用户无法进入安全模式查毒。面对这种情况,我们又该怎么办呢?
安全诊所来了一位求诊者小王,他的电脑已经中了病毒,请求电脑安全医生诊治。医生发现小王电脑中可执行程序的图标都变成了玉兔的图标(图1),双击盘符都无法进入磁盘,很多程序都无法正常运行。小王重新安装系统后,马上又被同样的病毒感染而系统崩溃。安全医生凭着对病毒敏锐的直觉,断定小王的电脑感染了最近非常活跃的玉兔病毒。
玉兔病毒档案
玉兔病毒会破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件后,只要双击盘符就可以感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具运行。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的。
巧避锋芒清除病毒
首先,要清除盘符里的病毒文件和Autorun.inf文件,以防止病毒继续扩散。因为病毒的原因,我们不能够正常进入注册表和使用冰刃检查系统。但是我们可以使用超级巡警绿色版本,因为病毒并不能关闭超级巡警。
进入“进程管理”选项,很快发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。WWW.iTCOmputER.com.cN其中bryato.exe是盗取QQ密码的木马,而另外两个是玉兔病毒的进程。这三个进程都插入了bryato.dll运行。
由于病毒进程具有关闭后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选择“禁止进程创建”命令,接着右键单击三个进程选择“强制卸载标记模块”命令(图2),这样便暂时终止了这几个进程。
进入“启动管理→注册表”选项,很快发现了bryato.exe和severe.exe的非法启动项目(图3)。右键单击这两个启动项目,选择“删除启动项”命令予以清除。
揪出系统深处的病毒
此时,病毒还潜伏在系统深处,还需要我们进一步清理。进入“进程管理”,仔细分析一些系统进程,根据文件创建和其他信息马上发现了Winlogon.exe系统进程被插入了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选择“强制卸载标记模块”命令(图4)终止病毒进程。
在conime.exe进程发现被插入了bryato.dll,选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。接着重新启动计算机,删除记下的病毒文件。
再次重新启动计算机,此时已经可以进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,发现右侧的ChekedValue键值为1,当然无法显示隐藏的病毒文件了,修改为0。
之后便可以显示隐藏的病毒文件了,最后删除导致无法双击打开盘符的Autorun.inf文件以及相关的OSO.exe即可。
如何给注册表加锁
木马、病毒在侵入系统的同时,为了以后能更好的存活在系统内,恶意程序会在注册表里,写入一些相关的恶意信息,可见注册表的作用是非常大的。www.sq120.com推荐文章
因此毫不夸张地说保护系统安全,要从注册表开始,不过注册表的键值实在多如牛毛,而且每个键值都有一定的作用,很难让初学者掌握,所以不妨请Ghost Security Suite(以下简称GSS)(下载地址:http://download.cpcw.com)为你的注册表保驾护航。
为注册表撑起保护伞
GSS防火墙最大的特点就是为注册表提供很多防护设置,用户可根据自己的实际情况,来修改默认的规则或者自定义新规则等操作,从而可以有效降低病毒侵入的概率。
添加删除组
打开“GSS客户端”程序,默认选择的是“首页”标签,我们从中单击“配置”按钮,在弹出的“程序规则”对话框内,左侧“树形栏”已经为大家分好了“全局注册表规则”和“应用程序规则”的栏目,并且其下方还有好几个组件。
如果此时你想添加新组,可以在“分组名称”和“分组说明”文本处,输入想要创建组的相关信息,而后单击“添加分组”按钮,就可将其添加到左侧组件中。反之删除组件,只要选择想要删除的分组,单击“删除分组”按钮,就可将选中组的删除掉。
配置注册表规则
GSS默认情况下,已经为各个分组设置了相关的配置,如果你对默认的配置不满意,可以对它进行更改。这里选择不满意的分组,右侧窗口就会列出该组所包含的注册表,以及其相关项,然后从中选择不满意的键值设置,下方就会显示出默认设置的操作规则(图1)。
为了安全起见,你可依自己的实际情况,对事件操作、执行动作来进行勾选设置,当然你也可以不做修改,可按照默认设置保护注册表的安全。
导出、导入分组
如果此时你想将以上配置好的规则,导出与其他人共同分享,可以选中左侧里面的某个分组后,单击右侧窗口里的“导出分组”按钮,就可将当前分组信息导出,并且以Ghst文件的格式保存到硬盘上。另外相反单击“导入分组”按钮,则可以将硬盘里的分组信息导入到GSS规则内。
监视改动有提醒 病毒修改请绕道
以上规则都已经设置完毕后,GSS防火墙就开始自动监视注册表的举动。如果系统里的某个程序要改写注册表,此时GSS就会自动弹出警告的对话框,给予用户详细键值信息的修改提示(图2)。
大家可根据其信息来判断它是否为恶意修改,还是正常程序的加载,从而可以选择单击“允许”按钮对注册进行修改操作,反之单击“拦截”按钮,拒绝对注册表的读写操作,来保证注册表的安全。
如何保护肉鸡 大家常用的杀毒软件、防火墙,无非就是目前较为流行的几款防御软件,而且每款防御软件的运行进程,也都是固定的名称。因此黑客在执行电脑入侵的同时,为了防止控制木马被防御软件查杀到,他们会将关闭杀毒软件的程序及其控制木马,一并上传到被控机器内,从而能够关闭杀毒软件的查杀,让肉鸡控制更持久。www.sq120.com推荐文章
这里笔者已经事先得到了远程肉鸡的控制权限。为了让木马在肉鸡里“居住”更长久,首先在本地打开“火狐净路先锋”客户端程序(下载地址:http://www.hackeroo.com/htm_data/6/0606/1291.html),将插入到肉鸡里的木马进程,输入到配置文件栏的“提示”文本处,然后勾选“跟随计算机启动”的复选框,让配置的保护程序,随着计算机启动而启动。
如果你担心肉鸡里的木马进程和保护程序的客户端进程,同时被用户强制关闭后,无法在第一时间自动开启。此时你可以选择下面“重启”单选框,而重启时间间隔,最好选择“每隔一秒启动一次”,这样才能保证被关闭后的进程,呈实时开启的状态。
当然杀毒软件可不怕麻烦,绝不会容你的木马实时开启,所以这里我们要先“干掉”肉鸡上的防御软件。如果你对杀毒软件的进程,并不了解可以单击下面“常见的进程”按钮,此时就会弹出含有“众多杀毒进程”的文本内容,然后根据里面的注释,挑选出较为常见的杀毒进程,逐一填写到“要杀掉的进程”的文本处。
这里,我们要注意,如果目标用户被杀毒软件的关闭引起警觉,我们也可以采用不断更新木马服务端的办法,让木马服务端逃脱杀毒软件的查杀。
操作完毕后,单击“生成服务端”按钮,即可在火狐净路先锋软件根目录下,生成我们所配置好的server.exe服务端程序。然后传送到你的肉鸡中并运行,这样,你的肉鸡就不会“跑掉”了。
树树提醒:如果大家发现自己的电脑出现CPU无故使用率达到100%,杀毒软件被关闭或者硬盘狂读的情况,就要怀疑自己的电脑被中了木马。这时就要及时断网,进入安全模式全面扫描,将木马及时查杀。
From:http://www.itcomputer.com.cn/Article/Network/201309/447.html