扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年病毒、木马、恶意程序异常活跃,大有横行互联网,我是病毒我怕谁之势。很多网友都曾丢失过个人信息,这包括游戏帐号、QQ号码,甚至银行帐户等,造成这些帐号丢失的元凶,大概归纳起来有三种病毒:一是QQ尾巴病毒,二是下载者病毒,三是网马病毒。一、QQ尾巴病毒中毒症状:自动的向QQ所有好友列表发送一句话,内容多以色情,诈骗为主。如:“这是我的照片”,“最近好久不见,十分想念,我自己做了一个网站”,还有的是“我最近遇到一些困难,有没有钱能接济下,这是我的银行卡号和开户信息等”。
二、下载者病毒:通过移动存储介质感染,如U盘、手机存储卡、DV/DC的存储卡。通常该病毒会伪装成一个.jpg.exe文件,由于多数用户只注意jpg,却没有注意后缀的.exe,当点击运行后,病毒会自动下载大量的盗号木马和做键盘记录,驻留在系统temp文件里面。这样机器就被远程控制了,当用户进行网银交易时,帐号、密码统统的都被远程控制者得到。
三、网马顾名思义就是网页木马,一些入侵者用入侵技术得到一些大流量访问站点的后台帐号,在主站上面挂上编写好的网页木马,在一些访问者访问网站的时候被悄无声息的安装到了本机上面,成为了一个带菌者。现在网马的种类也很多,利用的途径也曾出不穷,最近比较流行的有迅雷0day网马,ppstream网马,pplive网马,realplayer网马。上面简单介绍了流行病毒、木马,而最近,U盘病毒非常盛行,最典型的就是就是auto.exe病毒。
双击系统盘符时,出现让你选择用哪种关联文件打开的对话框,而右键单击时,弹出的菜单里增加了一个auto的选择,如果你的系统出现这个情况,那就代表系统已经被感染。
这种病毒出现已经有一段时间了,最近新变种为了躲避杀毒软件,利用了空字节写入,修改系统日期,以卡巴为例
上图中卡巴(avp)是灰色的,而系统日期时间为2005年12月10日,如图3:我们把系统时间修改为正确后,再看一下下avp的颜色
分析:
该病毒被种植后,会自动访问一个地址为xxxx.xxxxx.com 的站点,下载随机生成的7位编码.exe文件,这些exe文件都保存在c:/documents and settings 下的local setting目录下面的tempporary internet files文件目录里面如图5:
这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序,这个f2b4657b556.exe是随机生成的,经过测试,每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6:
从文件生成日期来看,都是最新生成的文件,而此前未中auto.exe的时候是没有这些DLL文件的,里面还有一个随机生成的.exe文件,生成日期为,12月9日。通过查看系统隐藏文件可以看到这些文件,在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面,还有很多生成文件,比如扩展名为exe和log的文件及文件夹,由于auto.exe带有进程注射,不能直接删除system32文件夹下新生成的dll和exe文件,可以使用icesword找出有问题的进程。先终止可疑相关进程,再删除文件。pFV中国教程在线
下面是可疑文件:
upxdnd.dll,
该病毒试图访问连接到222.73.26.9这个目标站点上,可以肯定,这个IP地址一定是远程控制终端。下面就要删除这些该死的东西。
先把icesword打开,然后点进程,如图8
强制解除就可以了。经过重复的操作,再删除那些文件就可以了,另外有些EXE文件是删除不掉的,遇到这样的文件只要放到桌面上,经过连续的两次重新启动即可删除。
编者注:上面是针对流行的AUTO病毒的手工清除办法,如果大家系统中没有icesword分析工具,也可以通过其他手段查找相应的进程,这里就不再一一介绍。其实针对AUTO病毒有已经有很多专杀工具,51CTO安全频道专门针对这种U盘病毒推出查杀专题,希望能给各位网友带来帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。