科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道驱逐令人抓狂的“蓝屏使者”

驱逐令人抓狂的“蓝屏使者”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病人:我是一个超级电影迷,最喜欢在网上看电影,可是最近家中的电脑莫名其妙开始闹脾气,玩起了蓝屏、死机。开始以为是正常的系统蓝屏,可是重启后没过多久情况依旧出现,不仅如此,过了几天后,我的电脑就几乎半瘫了,杀毒软件和安全软件都不能使用了。我怀疑是病毒造成的,可我不清楚这是什么病毒,这种病毒是怎么进入到我电脑的?  

来源:论坛整理 2009年1月12日

关键字: Windows 安全技术 系统安全

  • 评论
  • 分享微博
  • 分享邮件
  蓝屏是怎么造成的  

  病人:我是一个超级电影迷,最喜欢在网上看电影,可是最近家中的电脑莫名其妙开始闹脾气,玩起了蓝屏、死机。开始以为是正常的系统蓝屏,可是重启后没过多久情况依旧出现,不仅如此,过了几天后,我的电脑就几乎半瘫了,杀毒软件和安全软件都不能使用了。我怀疑是病毒造成的,可我不清楚这是什么病毒,这种病毒是怎么进入到我电脑的?  

  医生:根据你的描述,这应该是近段时间比较流行的“Win32.Troj.DelfT.zy.92215”病毒,又名“蓝屏使者92215”,这种病毒和“AV 终结者”、“下载者”等病毒类似,其本身是一个木马程序,通过恶意网站网页传播感染,只要你浏览了带病毒的网页,它会在用户不知晓的情况下连接http://j**st.y******7.com,在指定的网址下载大量各类其它病毒及木马,你的电脑经常突然蓝屏、死机,除了系统问题外,就是它的“杰作”了。 

  蓝屏状况  

  小提示:在“蓝屏使者”下载的木马中,大部分具备盗号和系统破坏等功能,因此,如果此病毒进入电脑系统,它将带来对系统的严重破坏以及造成用户虚拟财产的损失。  

  其实这个病毒主要利用你们这些网虫喜欢看大片的心理,在最热闹的电影下载页面利用页面漏洞、跨站攻击、后台管理员破解、数据库路径截获等手段来攻陷网络,并最终达到在其目标中写入木马的效果。在你们平时浏览或下载时无形中在后台直接下载编写好的木马病毒,当病毒被挟带在影视影片中运行时,则自动激活本身原体,导致你们的电脑出现蓝屏、死机。  

  一、蓝屏是怎么造成的  

  病人:谢谢医生的解答,我现在知道引起我电脑蓝屏的罪魁祸首是“蓝屏使者”这款病毒了,但是我还想知道它是怎么造成我的电脑蓝屏的?

  医生:“蓝屏使者”运行过程较熊猫烧香、AV终结者来说要简单。病毒在运行后首先会在用户电脑中的系统目录“program files\Common Files\Microsoft Shared\MSINFO\”目录下释放临时备份文件System6.tmp及副本System36.jup(图1)。  

  
驱逐令人抓狂的“蓝屏使者”

  两个病毒文件  

  当以上两个文件生存后,就会再重新释放一个System6.ins文件添加到系统目录ProgramFiles\Internet Explorer\shellexecutehooks\下,而注册表的启动项ShellExecuteHooks中就会显示相对应的键值,蓝屏病毒就是利用此项让病毒自启动的(图2)。 
驱逐令人抓狂的“蓝屏使者”

  

  蓝屏病毒自启动的关键  

  当完成上述释放后,病毒会修改注册表将自身添加到自启动项目中,然后将它的DLL注入到explorer.exe进程中,实现跟随系统启动的目的。这样当我们这些中毒的网虫每次启动计算机时,该病毒程序就会自动启动。  

  该病毒本身对用户的操作系统破坏力不大,但中招的计算机却会在用户的计算机后台自动运行并连接网络中指定地址,如http://j**st.y******7.com,在用户不知情的情况下下载各种病毒及木马感染用户操作系统,这时系统就会经常蓝屏、死机,除此之外很多木马还趁机盗取用户的游戏账号、网银密码、股市信息及个人隐私,其危害不容小视,也不可不防。

 二、彻底清除“蓝屏使者”  

  病人:“蓝屏使者”实在太让人头痛了,尤其像我这样喜欢在网上看电影的网虫来说,一个接一个的病毒让我怕到一般的网页都不敢打开了,现在又来了个能把电脑玩死的“蓝屏使者”,那我以后不是连看电影的爱好都要被抹杀了呀!要怎么才能清除“蓝屏使者”病毒呢?  

  医生:“蓝屏使者”清除的方法比较简单,升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀即可,也可以利用手工的方式进行查杀。操作步骤如下:  

  第一步:进入系统目录C:\program files\Common Files\Microsoft Shared\MSINFO\文件夹下,删除System6.tmp及System36.jup两个文件。  

  第二步:进入系统目录C:\ProgramFiles\Internet Explorer\shellexecutehooks\下,找到System6.ins文件并将其删除。  

  第三步:利用Procexp软件将系统中陌生(以及除系统本身外)的进程结束掉(还可以利用其他安全软件)(图3)。  

  

驱逐令人抓狂的“蓝屏使者”


  结束可疑的进程  

  小提示:Explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。  

  第四步:最后用《360安全卫士》配合Ewido来清除系统中剩余下来的病毒以及木马就可以了。

  小提示:用户还需要警惕“恐怖鸡感染号”(Win32.LwyMum.h.147456)。这是一个感染型病毒,该病毒运行后会自动删除病毒源文件,下载海量病毒文件,在各盘生成AUTO病毒。

  三、总结  

  现在的攻击手段都由单一化转为多元化,攻击者利用网站挂”病毒+电影激活病毒+病毒后续下载的方式”进行攻击,单靠杀毒软件已经不能满足安全的需要,所以平时要常备一些安全小工具,并了解及掌握最新病毒的清除方法。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章