最近網上出現了一種病毒,電腦在感染這種病毒之後,系統時間會鎖定在1980年。同時,1980病毒還下載灰鴿子木馬來遠程控制電腦。由於1980病毒集成了很多惡性病毒的特徵,用戶紛紛中招,而且要想完全清除非常困難。www.sq120.com推薦文章
遭遇懷舊型病毒
最近,張衛正碰到了令人心煩意亂的電腦問題。一開機,系統日期就被修改成了1980年,可是當他重新設置到當前時間後,再重啟後系統時間還是被還原到1980年。他懷疑主板的電池用光了,可更換了主板的電池也無濟於事。
最後,他只得求助安全診所。坐堂的裘醫生還發現就診者的電腦系統被強行安裝了悠視網路電視和“手機鈴聲下載”的網頁快捷方式,系統不停地彈出廣告網頁,IE主頁被修改成了www.7255.com。根據以上症狀,裘醫生已經可以確診:張衛正的電腦感染了1980病毒。
1980病毒檔案
該病毒可以竄改系統時間,每次都修改到1980年,因此得名1980病毒。它不但破壞系統,而且還具有盜竊機密資訊的能力。同時,它還具有通過移動存儲設備傳播的能力,可以在每個盤上生成autorun.inf檔。只要雙擊盤符,就將啟動病毒。
掀起病毒的蓋頭
病毒會修改隱藏檔的註冊表設置。導致用戶無法查看隱藏檔。所以,我們要先修復註冊表。打開註冊表編輯器,進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL子項,將右側的ChekedValue鍵值改為0,並刷新註冊表。可以顯示隱藏檔後,進入系統盤和其他盤,把隱藏的bMkzU.exe和Autorun.inf檔全部刪除。
痛擊病毒主力
接著,運行進程分析軟體Process Explorer,我們發現“C:windowssystem3 27083854C.exe”進程和5個iexplore.exe進程,全部運行“kill process”命令予以終止(圖1)。
裘醫生發現關閉了IE進程後,仍然有IE窗口彈出。因此,還需要進一步清理更深層次的病毒。
力斬病毒餘孽
為了剿滅隱藏在系統暗處的病毒,裘醫生打開超級巡警。進入到“進程管理”專案,在“iexplore”進程發現4fb0ntos.dll和40a6cfsb.dll應該是病毒下載木馬病毒的檔,因此選中這兩個檔,然後選擇“刪除標記模組檔”予以清除(圖2)。
這樣該進程就無法下載病毒了,接著標記“iexplore”進程為“禁止進程創建”。不過,自行彈出窗口的元兇還是有待追查。裘醫生繼續切換到“服務管理”選項,這時有兩個陌生的服務C:Windowssystem321882DE 9E.EXE和C:Windowssystem32 24E38E8D.EXE引起了裘醫生的關注。
雖然服務處於停止狀態,但是它們的啟動方式還是出賣了它們。裘醫生認定這是病毒啟動“iexplore”進程的病毒檔,於是便刪除服務和映像檔。最後到“IE設置”選項清空了主頁。
1980病毒不是等閒之輩,除了以上的隱匿啟動方式,它還加載了自啟動項。啟動HiJackFree查看系統啟動專案。進入“自動運行”專案,很快發現了名為“sdafdsafds”的C:windows emp162.exe註冊表啟動專案,馬上予以刪除。
再檢查HKEY_LOCAL_Machinesoftwaremicrosoftwin dowsntcurrentversionwinlogon子項的userinit鍵值。我們發現該鍵值被修改成了C:WINDOWSsystem32userinit.exe,c:WINDOWS1015.exe,rundll32.exeC:windowssystem32winsys16_070212.dll start,很明顯病毒希望通過該鍵值實現更加難以被察覺的啟動方式(圖3)。
修改為默認的C:WINDOWSsystem32us erinit.exe,然後刪除了後面的病毒檔。重新啟動電腦,這時不再有IE窗口彈出了。可是還是無法使用任務管理器,進入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionPoliciesSystem子項,修改DisableTaskmgr鍵值為0,刷新後就可以使用任務管理器了。這時,系統時間沒有被改回1980年了。因此,這次1980病毒的診治宣告成功。
防患於未然
1980病毒可以通過移動存儲設備傳播,因此需要右鍵單擊電腦的盤符來判斷是否有病毒(有auto命令則說明有病毒)。使用移動存儲設備時,不要直接插入使用,可以先按住Shift鍵來阻止自動啟動以防感染病毒。最後,我們提醒大家,及時更新殺毒軟體,並開啟即時防護功能,可以在很大程度上防範病毒。 |
