Win32.Troj.DownloaderT.pl.43008病毒
我是一家網吧的網管,為了維護網吧的電腦以及保護操作系統的安全,我給每臺電腦都安裝了還原系統。最近發現很多電腦的操作系統都得了“重感冒”,老是被木馬、病毒侵襲,即使安裝了還原系統也無法阻擋。
後來我用安全工具檢查,發現電腦中了一個名為Win32.Troj.DownloaderT.pl.43008的病毒。請教醫生,我的還原系統是被它破解的嗎?我要怎麼才能徹底消滅該病毒呢?
病毒自述:我的名字就叫“關門放狗”
看過周星馳《七品芝麻官》的朋友們都知道一句經典臺詞“關門放狗”,如今這句臺詞就成為了我的大名!我不但會運用天賦將電腦的還原系統徹底破解掉,讓自己深深紮根於電腦操作系統中,還會持續散播一些木馬病毒,讓你們的電腦徹底曝光在駭客的眼皮之下。下麵就來看看我是如何一步步實現目的的。
當我進入用戶的電腦系統後,首先會在系統盤中釋放出五個病毒檔,其中的四個檔分別為1.exe、2.exe、3.exe、4.exe,這四個檔是在系統盤根目錄下(圖1),還有一個是在系統盤WINDOWSTemp目錄下隨機命名的TMP檔,這個檔其實就是前輩“機器狗”病毒的驅動程式。
接著,我就想辦法讓自己紮根於電腦操作系統中,迅速修改系統註冊表,把自己的相關資訊加入其中,實現隨系統啟動而自動運行之目的。我會創建一個名為“sys_flt”的服務,然後該服務程式指向在Temp目錄中生成的TMP檔。當這個TMP檔被順利加載後,就能將我自身複製到系統盤的“DocumentsandSettingsAllUsers「開始」菜單程式啟動”目錄下,並設置屬性為只讀。
當我在電腦系統裏站穩腳跟後,就通過一系列快速地攻擊,解除還原系統對電腦的保護,讓我自己深深紮根於用戶的電腦中!我會悄悄地連接http://www.2**01*8.cn/api/other這個由木馬種植者指定的地址,下載許多木馬程式到用戶電腦上運行,給用戶的系統安全帶來無法估量的威脅。
本期醫生:使用“打狗棒法”清除惡狗
如果是網吧的話,最簡便快捷的清除方法是利用GHOST在短時間內恢復系統,畢竟大批量的電腦一臺臺來進行手工查殺不太現實。而使用了還原系統的普通用戶,用我的“打狗棒法”即可剷除這條惡狗。
Step1:由於“關門放狗”病毒從網上下載了大量的木馬,這些木馬的危害結果各不相同,有些會破壞電腦的安全模式,並隱藏受保護檔,還有些會劫持殺毒軟體,所以我們首先打開“我的電腦”,選擇“工具”菜單→“檔夾選項”,選擇“查看”,取消“隱藏受保護的操作系統檔”前的對鉤,並在“隱藏檔和文件夾”項中選擇“顯示所有檔和文件夾”,然後單擊“確定”。
小提示:如果安全模式也無法進入,則打開安全工具SREng,點擊介面中的“修復安全模式”即可(圖2)。
Step2:刪除系統盤根目錄下的1.exe、2.exe、3.exe、4.exe四個病毒檔,以及系統統盤WINDOWSTemp目錄下隨機命名的TMP檔,某些檔在手工刪除時會提示“此檔正在使用無法刪除,使用Unlocker就可以避免這種問題。
Step3:然後升級當前電腦中所用的殺毒軟體到最新病毒庫進行全面查殺,再用《360安全衛士》配合AVG Anti-Virus清除系統中剩餘的病毒即可。 |
