現在木馬病毒的傳播方式越來越來隱蔽,讓不少用戶防不勝防。特別是針對某款網游的盜號木馬,如果不加以控制,將給這款網游帶來毀滅性災難。最近針對《征途》游戲出了一款木馬,它的隱藏方式相當狡詐,非常難以發現。不過,對於這類劣跡斑斑的病毒,安全診所的裘文鋒醫生早已見怪不怪了。下面就幫史玉柱揪出這款針對《征途》游戲的木馬。www.sq120.com推薦文章
征途木馬檔案
Svhost32.exe征途木馬可以盜取《征途》的密碼、其他游戲密碼、IM工具密碼等等。感染病毒之後,會生成Svhost32.exe、Rundl132.exe進程、msccrt.exe進程等,這些迷惑性進程並不是木馬的核心,真正的主謀其實躲藏在陰暗處。該木馬的殺手锏應該是插入到Explorer.exe進程的DLL文件。
Svhost32進程“出賣”征途木馬
今天安全診所迎來了一個就診者。從他咬牙切齒地敘述中,裘醫生了解到小王對該病毒深惡痛絕。這也不奇怪,病毒盜取了他的征途游戲的密碼,讓他損失不小。
盜取密碼的一般是木馬病毒,那麼到底是哪種木馬呢?從小王描述的病毒發作特征中,裘醫生發現病毒修改了IE的默認主頁為http://u4.sky99.cn/。
該木馬占用了大量系統資源,使系統穩定性大大下降。在任務管理器的進程窗口出現了Svhost32.exe進程,疑似病毒進程,關閉之後重啟系統,仍然會出現。TW.winGWit.COm木馬占用了網絡帶寬向黑客發送密碼信息,而且把自己的線程插入了系統關鍵進程。
另外獲取用戶的密碼信息的方式也極其危險,極易導致系統崩潰。病毒還關閉了瑞星殺毒監控。通過小王的敘述,裘醫生發現這個系統的情況和中Svhost32.exe征途木馬後的情況對上了號,因此,當即就開始診治起來。
去除木馬病毒的偽裝
由於Svhost32.exe征途木馬有一些沒有破壞性的偽裝文件,裘醫生決定先去除這些垃圾文件。
打開了IceSword,裘醫生很快便在其進程選項中發現了Svhost32.exe進程的文件是“C:\Windows\Download\Svhost32.exe”。
右鍵單擊該進程選擇“結束進程”命令即可,接著進入該目錄刪除該文件。同樣的,Rundl132.exe進程的文件是C:\windows\rundl132.exe,結束進程後也刪除該文件。
同樣的,發現msccrt.exe進程的文件是C:\windows\msccrt.exe,結束進程後也刪除該文件。由於這些進程都能自啟動,打開System Repair Engineer來清除自啟動項目。打開程序後,選中“啟動項目”時彈出了兩次警告信息框,默認為空的注冊表值load被修改成了“C:\windows\rundl132.exe”用以啟動加載rundl132.exe這個病毒進程。
清空load值來防止病毒自啟動。接著刪除值為“C:\windows\Download\svhost32.exe”的啟動項目xy和值為“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的啟動項目upxdn。
由於病毒試圖竄改UserInit項目來達到運行自己的目的,不過這次並未進行實質性修改,只是破壞了原來的值,因此把UserInit項目重新修改為正常的“C:\windows\system32\Userinit.exe”(不包括引號)即可。
幕後主謀現身
裘醫生清除完這些病毒文件,下面就是讓插入Explorer.exe進程的病毒文件現身了。打開了《超級巡警》,選擇“進程管理”選項,根據病毒發作時間很快便發現了位於“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑文件xiaran.dat;位於“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑文件upxdn.dll和位於“C:\Windows\system32”的可疑文件msccrt.dll。這些文件不但以黃色警告色顯示,而且文件屬性顯示創建時間都是病毒發作期(圖4)。
主謀就地正法
狡猾的主謀已經被發現了,下面就開始清除這些文件吧。裘醫生選中這些文件,右鍵單擊選擇“強制卸載標記模塊”命令,這樣這些文件就不能得到Explorer.exe進程的庇護了。
接著就可以進入這些文件的目錄逐個刪除了。完成之後,重新啟動計算機,未發現病毒進程,系統運行也穩定了。這說明病毒已經被成功清除了。
Svhost32.exe征途木馬,一般通過浏覽惡意網站來傳播。因此,我們安裝殺毒軟件開啟網頁和文件實時防護功能,可以比較好地防范這類木馬。開啟下載軟件(如:迅雷、快車)的文件病毒監控也是必要的。
From:http://tw.wingwit.com/Article/Network/201309/471.html