症狀描述:今天上網後不久,就接到多位QQ好友的狂罵自己的信息,弄得我莫名其妙。一打聽才知道,他們紛紛收到我QQ發送的各種亂七八糟的信息,並且隨消息還附帶有病毒文件。並且病毒文件的名稱也五花八門,搞得我莫名其妙,難道QQ被盜?www.sq120.com推薦文章
於是重新申請一個QQ號,加上好友,結果不出3分鐘,就收到接收文件的請求。而且是帶有病毒的文件。難道是我的QQ被病毒襲擊了?聯想到前幾天在安裝一個從網上下載的程序時,彈出一個錯誤窗口。當時就覺得不對勁,於是馬上進行殺毒,可是並沒有發現任何病毒,現在看來一定是這個程序在“搗亂”。
查找線索:打開任務管理器查看,發現一個名為“Rundll32.exe”的進程。普通的應用程序很少調用Rundll32.exe,最常使用Rundll32.exe的就是一些流氓軟件,或木馬後門,看來這個Rundll32.exe最為可疑。
點擊“開始”菜單中的“搜索文件或文件夾”命令,接著搜索“Rundll32.exe”這個關鍵詞。結果在系統目錄的SYSTEM和SYSTEM32文件夾中同時發現了Rundll32.exe的蹤影。tW.WIngwIT.CoM通過對文件圖標的分辨很快我就找到了可疑的文件,因為假的Rundll32.exe居然采用了WINRAR的圖標。
查找到可疑的文件後,我開始准備查找病毒的啟動項。運行注冊表編輯器,同樣搜索“Rundll32.exe”這個關鍵詞,結果沒有發現可疑的啟動項。既然沒有發現可疑的啟動項,我決定開始清除病毒,重新啟動系統再檢查系統進程,並沒有發現Rundll32.exe這個進程,當我啟動QQ正准備向朋友報喜的時候,那個“可惡”的進程又出現了。
清除病毒
看來這個QQ病毒並沒有想象的那麼簡單,一定是采用了文件保護的技術,這樣當其中一個文件被刪除以後,其他的文件馬上就會生成一個Rundll32.exe文件的副本。通過剛才的觀察和先前的檢查,我覺得這個QQ病毒並不是隨系統啟動的,而是跟著QQ的啟動而啟動的。於是馬上來到QQ的安裝目錄,檢查後又發現一個采用WINRAR為圖標的文件,名稱為“TIMPlatform.exe”,除此以外還發現一個名為“TIMP1atform.exe”(注意是1不是L)的文件。
TIMPlatform.exe(注意不是1)是QQ和TM共同使用的外部應用開發接口管理程序,屬於QQ 2004版,開始就成為不可或缺的底層核心模塊。通過對文件屬性的查看,發現“TIMP1atform.exe”這個文件是由騰訊開發的。看來這個QQ病毒通過將正規的“TIMPlatform.exe”改名為“TIMP1atform.exe”,而將病毒本身替代了QQ中的該程序。
為了徹底地清除病毒,我通過系統搜索功能利用“TIMPlatform.exe”的時間屬性對系統進行搜索,結果又發現了兩個文件。首先結束Rundll32.exe這個進程,接著將剛剛發現的兩個文件及Rundll32.exe、TIMPlatform.exe刪除掉。然後將病毒修改的“TIMP1atform.exe”還原為“TIMPlatform.exe”。
最後再次對系統進行檢測,發現注冊表中文本文件和可執行文件的關聯被更改了,馬上通過超級兔子對它進行修復,最終成功的將該病毒從系統中完全清除。
隨著QQ用戶的逐漸增多,QQ也成為越來越多病毒的溫床。其實,稍微有些編程能力的用戶就能編寫類似的病毒,即使是不能編寫也可以通過改造別人編寫的病毒來進行傳播。這也使得這類病毒體積越來越小,功能越來越多,各種新病毒或變種層出不窮,所以使得現在很多的殺毒軟件疲於應付,也很難在第一時間進行查殺。
王強在檢查可疑文件時,首先從系統目錄著手,在沒有徹底清除病毒時,對其他相關目錄進行了檢查,最終成功清除病毒本身。大家面對這種病毒危害的時候還可以使用殺毒軟件廠商開發的專殺工具進行查殺。比如QQ大盜查殺工具、QQKAV、QQ尾巴專殺工具等,都可以很容易的對付這些常見的QQ病毒。
From:http://tw.wingwit.com/Article/Network/201309/926.html