我是一個超級電影迷,最喜歡在網上看電影,可是最近家中的電腦莫名其妙開始鬧脾氣,玩起了藍屏、死機。開始以為是正常的系統藍屏,可是重啟後沒過多久情況依舊,不僅如此,過了幾天後,我的電腦就幾乎半癱了,殺毒軟件和安全軟件都不能使用了。我懷疑是病毒造成的,可我不清楚這是什麼病毒,這種病毒是怎麼進入到我電腦的?
醫生:根據你的描述,這應該是近段時間比較流行的“Win32.Troj.DelfT.zy.92215”病毒,又名“藍屏使者92215”,這種病毒和“AV終結者”、“下載者”等病毒類似,通過惡意網站網頁傳播感染,只要你浏覽了帶病毒的網頁,它會在用戶不知曉的情況下連接http://j**st.y******7.com,在指定的網址下載大量各類其他病毒及木馬,你的電腦經常突然藍屏、死機,應該就是它的“傑作”了。
小提示:在“藍屏使者”下載的木馬中,大部分具備盜號和系統破壞等功能,因此,如果此病毒進入電腦系統,它將帶來對系統的嚴重破壞以及造成用戶虛擬財產的損失。
其實這個病毒主要利用你們這些網蟲喜歡看大片的心理,在最熱鬧的電影下載頁面利用頁面漏洞、跨站攻擊、後台管理員破解、數據庫路徑截獲等手段來攻陷網絡,並最終達到在其目標中寫入木馬的效果。在你們平時浏覽或下載時無形中在後台直接下載編寫好的木馬病毒,當病毒被挾帶在影視影片中運行時,則自動激活本身原體,導致你們的電腦出現藍屏、死機。tW.wIngWiT.CoM
藍屏是怎麼造成的
病人:謝謝醫生的解答,我現在知道引起我電腦藍屏的罪魁禍首是“藍屏使者”這款病毒了,但是我還想知道它是怎麼造成我的電腦藍屏的?
醫生:“藍屏使者”運行過程較熊貓燒香、AV終結者來說要簡單。病毒在運行後首先會在用戶電腦中的系統目錄“program files\Common Files\Microsoft Shared\MSINFO\”目錄下釋放臨時備份文件System6.tmp及副本System36.jup(圖1)。
當以上兩個文件生成後,就會再重新釋放一個System6.ins文件添加到系統目錄ProgramFiles\Internet Explorer\shellexecute hooks\下,而注冊表的啟動項ShellExecuteHooks中就會顯示相對應的鍵值,藍屏病毒就是利用此項讓病毒自啟動的(圖2)。
當完成上述釋放後,病毒會修改注冊表將自身添加到自動啟動項目中,然後將它的DLL注入到explorer.exe進程中,實現跟隨系統啟動的目的。這樣當我們這些中毒的網蟲每次啟動計算機時,該病毒程序就會自動啟動。
該病毒本身對用戶的操作系統破壞力不大,但中招的計算機卻會在用戶不知情的情況下下載各種病毒及木馬感染用戶操作系統,這時系統就會經常藍屏、死機,除此之外很多木馬還趁機盜取用戶的游戲賬號、網銀密碼、股市信息及個人隱私,其危害不容小視,也不可不防。
徹底清除“藍屏使者”
病人:“藍屏使者”實在太讓人頭痛了,尤其像我這樣喜歡在網上看電影的網蟲來說,一個接一個的病毒讓我怕到一般的網頁都不敢打開了,現在又來了個能把電腦玩死的“藍屏使者”,那我以後不是連看電影的愛好都要被抹殺了呀!要怎樣才能清除“藍屏使者”病毒呢?
醫生:“藍屏使者”清除的方法比較簡單,升級當前計算機中所用的殺毒軟件到最新病毒庫進行全面查殺即可,也可以利用手工的方式進行查殺。操作步驟如下:
第一步:進入系統目錄C:\program files\Common Files\Microsoft Shared\MSINFO\文件夾下,刪除System6.tmp及System36.jup兩個文件。
第二步:進入系統目錄C:\ProgramFiles\Internet Explorer\shellexecutehooks\下,找到System6.ins文件並將它刪除。
第三步:利用Procexp軟件將系統中陌生(以及除系統本身外)的進程結束掉(還可以利用其他安全軟件)(圖3)。
小提示:Explorer.exe進程默認是和系統一起啟動的,其對應可執行文件的路徑為“C:\Windows”目錄,除此之外則為病毒。
第三步:最後用《360安全衛士》配合Ewido來清除系統中剩余下來的病毒以及木馬就可以了。
小提示:用戶還需要警惕“恐怖雞感染號”(Win32.LwyMum.h.147456)。這是一個感染型病毒,該病毒運行後會自動刪除病毒源文件,下載海量病毒文件,在各盤生成AUTO病毒。
總結
現在的攻擊手段都由單一化轉為多元化,攻擊者利用網站掛”病毒+電影激活病毒+病毒後續下載的方式”進行攻擊,單靠殺毒軟件已經不能滿足安全的需要,所以平時要常備一些安全小工具,並了解及掌握最新病毒的清除方法。
From:http://tw.wingwit.com/Article/Network/201309/384.html