前几天,把数码相机借给朋友用了,拿回来之后,自己导出照片的时候,注册表监控软件弹出了提示,当时也没有细看。拒绝就是了,见得多了。一连三个拒绝之后,发现系统突然变得很慢,应该是中蠕虫病毒了。
笔者发现每个文件夹下都多了一个与该文件夹同名的子文件夹,其实是伪装的exe文件,尝试双击打开便又会弹出更改注册表的提示。杀毒软件中有3月份的病毒库,竟无法清除。于是重做了一下系统,装上单位的诺顿,升级到最新病毒库,彻底扫描了一遍电脑,清除成功!
上网查阅了一下,相关信息并不是很多,看来此蠕虫还算较新,此病毒名称为W32.Rontokbro@mm,邮件蠕虫病毒,已有几种变种。清除方法如下:
首先关闭系统还原功能,然后:
1.用更新后的杀毒软件作全面扫描,如果不能打开杀毒软件先下载brontok washer(下载地址:http://s1.ultrashare.net/hosting/fs/35c3739c0a1a0fba) ,执行清除后再用杀毒软件进行全面扫描。
2.点击“开始→运行”输入“regedit”打开注册表,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在右边找"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe",将它删除。www.ITCoMputer.Com.cn
注意,此种病毒极易传播,笔者的相机卡可能就是朋友洗照片的时候感染的,在此给大家提个醒。
如何防止注入式捆绑 中午吃饭的时候,表妹突然说道:“唉,不知道怎么搞的,我的系统最近慢得要命,你们谁帮我看看啊?”我心想:“这里除了我懂电脑,谁还会啊,明明就是说给我听的,只是大家心照不宣罢了。”于是来到表妹家为她进行检测。经过认真的查找,终于在系统中发现了大名鼎鼎的灰鸽子木马。www.sq120.com推荐文章
由于表妹及时给系统打上补丁,所以不可能被黑客通过网页木马利用系统漏洞进行入侵,那木马又是从何而来呢?我联想到最近无意间从网上看到一篇文章,文章介绍了一款可以见缝插针的软件RobinPE。这款软件可以将恶意程序插入到一个可执行文件中,而且被插入的文件大小不会发生改变。当用户每次正常启动这个文件后,被插入的恶意程序就会悄悄的释放出来,并在后台秘密的运行。
想到这些我便问表妹:“最近有没有下载什么可疑的程序啊?”表妹想想,回答道:“前段时间,我下载了一个最新的MSN 8,还是绿色版的。”我知道,所谓的绿色版,其实就是一些网友制作的修改版,也许木马程序就隐藏在这个MSN 8中。经过检测我发现这个MSN 8是通过UPX经过了加壳处理的,于是更加怀疑这个文件。果然解壳后,发现在这个所谓的“绿色版”MSN 8里面捆绑了灰鸽子木马,看来我的猜测没有错。
不管这么多,先将表妹电脑中的灰鸽子清除掉(清除灰鸽子木马的方法在《电脑报》今年第12期F6版中有介绍)。本来问题解决了就应该没有什么事情了,可是表妹是个打破沙锅问到底的性格,什么事情都想知道个彻底,于是又央求我给她讲这个捆绑了木马的文件是怎样产生的。没法子了,我只好再来研究这这个捆绑了木马的文件的产生过程。
“强悍的”注入捆绑
如何清除蜜蜂大盗 使用电脑过程中硬盘一阵狂转后,刚刚还正常运行的软件程序,如QQ、杀毒软件、网络防火墙等纷纷关闭,系统资源也突然升到100%,很明显系统中病毒了。重新启动系统后在还没有进入系统桌面时,杀毒软件的BOOTSCAN即开始对系统文件进行杀毒。
果然,杀毒软件提示用户系统中存在病毒,并且已经清除,从病毒名称“PSW.MiFeng”已经看出该病毒就是蜜蜂大盗木马。既然病毒已经清除,也进入了系统,程序也正常运行,但系统的速度依然非常缓慢,而且会越来越慢。怀疑是木马没有被完全清除,尝试自己手工清除。
查找可疑文件
一般情况下,感觉自己的系统中了病毒或木马程序后,我都会查看系统的端口和进程。在任务栏上点击鼠标右键,选择“任务管理器”命令打开任务管理器。经过仔细地查看,发现一个名为“csrss.exe”的可疑进程。本来该进程应该是系统进程的,但问题是在任务管理器的“用户名”项目中显示的是登录用户的名称,而非正常情况下由SYSTEM加载的。
另外,任务管理器中还有一个“csrss.exe”进程,它的加载用户就是SYSTEM,由此可见第一个csrss.exe肯定有问题。怀疑该文件可能是其他的恶意程序,而并非蜜蜂大盗的服务端程序,我再通过它打开的端口来进一步验证。
运行IceSword(下载地址:http://soft.hackbase.com/50/20051001/7821.html),在弹出的主界面中点击“端口”按钮,在列表中的“进程程序名称”中找到“csrss.exe”这个进程。由于有两个同样名称的进程,所以只能从进程的路径来判断哪个是可疑的csrss.exe进程。真正的系统进程csrss.exe是在系统的system32目录中,而可疑的csrss.exe在system目录中。
接着查看system目录这个csrss.exe进程打开的端口,TCP 2222,从此再一次确认了该可疑进程就是蜜蜂大盗的服务端进程。
彻底清除蜜蜂大盗
俗话说,擒贼先擒王,首先来查找服务端程序的启动项。在开始菜单的“运行”选项中输入“regedit”命令,打开注册表编辑器。点击“编辑”菜单下的“查找”命令,搜索“csrss.exe”这个关键词。在众多的结果中经过排查比较,发现在注册表的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中多出一项名为internet的键,启动的就是蜜蜂大盗的服务端程序,除此以外没有其他的启动项。
删除该启动项,发现它没有再自动生成,说明该木马没有对启动项进行监控。接着通过IceSword的“进程”选项,来结束木马的进程,结果该木马同样没有重生,总的进程数减少了一个,并且TCP 2222端口也已经关闭。
From:http://www.itcomputer.com.cn/Article/Network/201309/957.html