我最近為了拷貝一些資料,向朋友借了一個移動硬盤。當移動硬盤接到電腦上後,就開始復制文件。可是沒過多久,我發現磁盤中的程序圖標,都變成了斑點狗的圖標(圖1)。請問醫生,這些斑點狗的圖標從何而來?我該如何處理?
改圖標留個人感言
看到那些可愛的小狗圖標了吧,這就是我“小狗上學”病毒的重要標志。我是用VB編寫的病毒,可以通過網頁木馬、移動設備進行傳播。當我在系統中成功運行後,會在系統的System32目錄中釋放病毒文件Soleboy.exe和副本Soleboy.txt,並在每個磁盤分區目錄下生成Soleboy.exe和Autorun.inf,以達到隨著移動設備進行傳播的目的。
接著我會添加病毒啟動項到注冊表的Run項目中,以達到開機自啟動的目的。然後搜索磁盤中的可執行文件,將這些文件圖標改為“斑點狗”的圖標。
與此同時,為了逃避安全工具的追蹤,我還會對注冊表進行修改完成對安全工具的映像劫持(映像劫持是將程序名稱添加到注冊表中的Image File Execution Options項,當這些程序運行的時候,系統將它們引導到一個“莫須有”的位置,從而造成程序運行的失敗),將它們都劫持到病毒文件System32\Soleboy.exe中。
這樣當用戶運行安全軟件時,不但無法運行安全工具,還會激活系統中由我釋放的病毒文件。tw.wINgwiT.coM我同時還會查找系統中帶有指定關鍵字符的窗口,關鍵字包括金山毒霸、瑞星、江民、360安全衛士等,找到後利用Sendmessage函數發送WM_CLOSE命令關閉這些窗口。
然後修改系統之中關於COM和EXE文件的文件關聯,將默認關聯的程序修改為系統中的病毒文件Soleboy.exe。這樣無論是運行COM還是EXE格式的文件,都會立即運行病毒文件。同時我還會刪除System32目錄中的Taskkill.exe文件,因為它可以用於結束我的進程信息。最後我還在Soleboy.txt中寫了一段個人的感言。
巧改名稱來殺毒
從作者的留言可以看到,該病毒並沒有對系統數據進行破壞,這樣就減少了我們修復系統的時間。
第一步:首先下載系統修復工具SREng和安全工具IceSword並分別進行解壓,接著將IceSword和SREng改名為1.bat和2.bat。運行工具IceSword,點擊工具欄中的“進程”按鈕,在進程列表中找到病毒進程Soleboy.exe,現在點擊鼠標右鍵中的“結束進程”命令將它結束。
第二步:接著運行SREng,點擊“啟動項目”按鈕中的“注冊表”。選中病毒的啟動項Soleboy後,點擊“刪除”按鈕將它清除。接著拖動左側的滾動條,在下面可以看到很多紅色的項目,這些都是被病毒進行映像劫持的內容,同樣通過“刪除”按鈕將這些信息清除掉(圖2)。再點擊“系統修復”中的“文件關聯”標簽,直接點擊“修復”按鈕即可修復被竄改的文件管理。
第三步:點擊開始菜單中的“運行”命令,輸入regedit打開系統自帶的注冊表編輯器。現在展開HKEY_CLASSES_ROOT\exefile\DefaultIcon,雙擊該項目後再修改該項數據為“%1”即可(圖3)。最後選擇IceSword中的“文件”管理功能,選中每個磁盤目錄中的Autorun.Inf和Soleboy.exe,以及System32目錄中的Soleboy.exe和Soleboy.txt,利用鼠標右鍵中的“刪除”將病毒徹底清除。
From:http://tw.wingwit.com/Article/Network/201309/135.html