裘医生接诊了一位病毒受害者——王方。王方的《传奇》账户被黑客盗走,虽然通过努力取回了账户,但还是有很多昂贵的游戏装备消失了。因此,他怀疑电脑感染了病毒。在给他的电脑进行检测的过程中,裘医生发现电脑IE经常自动弹出网页。当他观察任务管理器时,发现有几个“iexplore.exe”进程和一些陌生进程(如:updaterun.exe)。www.sq120.com推荐文章
这时,裘医生已经可以确诊,王方的电脑感染了死神下载者病毒。这是一个非常狡猾的病毒,会造成很多杀毒软件及个人防火墙软件无故退出。该病毒运行后会从黑客指定的网站下载其他的病毒及木马,下载的这些恶意程序会窃取用户的网络游戏账号、密码等信息,给用户的信息安全带来很大威胁。
病毒档案
死神下载者病毒可以通过邮件、恶意网站等途径传播,可以通过IE的漏洞对系统进行入侵。该病毒还可以在盘符下生成autorun.inf和可执行病毒文件,插入闪存就会被感染。由于该病毒采用的隐藏方式比较多,清理起来有些麻烦。
快刀斩病毒
裘医生自信满满地在王方的电脑上打开Process Explorer,首先观察到几个明显的病毒进程(如:117929271962.exe、902.exe、Updat erun.exe等),对它们都可以通过右键菜单命令“Properties”查看属性获得其路径(图1),然后通过右键菜单命令“Kill Process”杀除该进程,最后删除该进程文件。Www.ITComPUteR.com.CN
进行以上操作后,裘医生发现了几个可疑的进程,貌似系统进程却可能是病毒的载体。于是,裘医生右键单击一个rundll32.exe进程选择“Properties”命令,果然发现它的Command line为“C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vxlu\ihve.dll,Service –s”。其实这就是运行了ihve.dll这个病毒程序的结果。
右键单击该进程选择“kill Process”命令予以杀除,接着进入相应目录删除病毒文件。对另一个rundll32.exe进程和rundll2000.exe进程加载的病毒进行类似操作也是必要的。
裘医生还发现系统启动了几个iexplore.exe进程,这些进程在做什么呢?右键单击其中一个IE进程选择“Properties”命令,发现它的Command line为“C:\Program Files\Internet Explorer\IEXPLORE.EXE“ http://www.zhugui1234.cn/qq/qb.htm”,也就是调用IE连接“ http://www.zhugui1234.cn/qq/qb.htm”这个网址(图2)以连接病毒下载网站和广告弹出网页。 对三个IE进程都进行“Kill Proc ess”命令操作予以杀除就可以了。
病毒隐身照样杀
以上操作还是不能保证重新启动后,系统不被隐藏极深的病毒破坏。因此,裘医生决定对系统做一次深入的“全面体检”。
裘医生使用擅长调整修复系统的SREng来分析系统。一打开SREng就弹出警告信息,显示为API Hook错误(图3)。API HooK技术是一种用于改变API系统函数执行结果的技术,可以被病毒用来隐藏自身。
裘医生点击“修复入口点错误”按钮以查出隐身的病毒。当SREng切换到“启动项目”选项时,马上弹出警告信息,提示注册表值Userinit被修改。病毒很可能通过该键值进行了加载,打开该键值发现被修改成了“C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\tGGRk.exe”,而正确的应该是“C:\WINDOWS\system32\userinit.exe,”修改回来并删除tGGRk.exe。
通过上面的清除发现病毒文件有些是通过服务加载的。切换到“服务”选项,点击“Win32服务应用程序”按钮,在弹出的窗口果然发现了病毒的服务,接着就尝试删除所有病毒服务和病毒服务的映像文件。打开超级巡警,在超级巡警的“服务管理”选项,右键单击病毒服务,选择“删除服务和映像文件”命令即可。
由于死神下载者病毒下载了木马病毒来控制感染病毒的电脑。接着就是清除死神带来的木马了。选择超级巡警的“进程管理”选项,检查Explorer.exe这个系统Shell进程发现了灰鸽子2007的服务端文件G_Server2007.dll,于是右键单击该文件选择“强制卸载标记模块”命令,然后删除该文件即可。
什么是IEFO劫持 这两周恶性病毒AV终结者疯狂肆虐网络,出现当日就“宰杀”几十款国内外知名杀毒软件及防火墙,该病毒使用一种名为IFEO劫持的技术,导致众多杀毒软件无法运行的原因也在于此,普通网民或许会问究竟什么是IEFO劫持?
IEFO劫持也称为Windows文件映像劫持技术,在Windows注册表中有一项Image File Execution Options,主要用于调用对应程序,系统默认必须要有超级管理员级别用户才有权修改。
当此项被用户误改或发生故障时应用程序就会混乱,用户会发现运行的并不是自己指定的程序,例如双击IE后却跳出了Outlook的窗口,运行Word却打开了Excel,应用程序之间互相覆盖,这时就出现了映像劫持现象。通常这种情况很少发生,即使发生了多半也都是由于部分程序写入注册表时无意破坏了此项。
而AV终结者正是利用了这个少有人注意的地方,病毒侵入系统后首先窜改注册表中的Image File Execution Options项,查找系统中安装的安全类软件并在此替换为自身。
由此就出现了用户打开杀毒软件时丝毫没有反应或运行了其他程序,这时杀毒软件已经被病毒屏蔽重新定向了,系统此刻调用出来的正是病毒。于是有用户不停点击杀毒软件希望能启动,却不知这是在不停运行病毒文件,直到最后大量病毒同时运行系统资源耗尽。
可以说映像劫持技术为众多恶性病毒又提供了一条逃避追杀的方法,通常的反病毒技术都会先从系统启动项、系统服务等处拦截病毒开机自动运行。而一旦病毒利用IFEO技术劫持了杀毒软件致使开机后系统自动加载杀毒软件时却自动运行了病毒。
同时,映像劫持实施容易,只要在Image File Execution Options项下多加一行代码就能劫持对应程序,可以说稍懂注册表的人都能做到。这就让人不得不担心一些病毒制作者看到AV终结者大获成功后,纷纷将目标瞄准于此,导致映像劫持技术泛滥,类似的病毒将蜂拥而出,网络安全面临严峻威胁。因此当前要严密防范此技术的滥用,不可掉以轻心。
下周安全情况预警 高
病毒名称:AV终结者(Win32.Troj.Poseidon)
病毒类型:Win32病毒
危害程度:★★★★☆
中毒症状:鉴于AV终结者强大的破坏力且极有可能衍生变种,本周继续预警。终止并破坏大量杀毒软件运行,感染可移动存储设备,无法进入安全模式,下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\释放随机8位数字字母组成的.dll与同名.bat文件。
解决办法:下载最新专杀(http://zhuansha.duba.net/259.shtml),及时升级杀毒软件严密监控。
ie7无法打开网页 最近有有网友反应在ie7更新之后,出现无法打开网页的情况,不要急,现在大家来看解决方法:如下设置 "设置"-"反黑客"(防火墙),"启用防火墙"点"设置"-"应用程序规则"里找到iexplore.exe进程后双击,弹出对话框删除里面所有规则,再点"预置(模块)"选择"允许所有"即可!
From:http://www.itcomputer.com.cn/Article/Network/201309/456.html