首页 > 单独文章 > 正文

清除“小狗上学”病毒:带毒的“斑点狗

时间:2008-05-12 13:20:44 作者:officeba 【认证】

病毒名称:Win32.TROJ.Autorun.at.458752

中文名称:小狗上学

病毒类型:感染性病毒

病毒目的:破坏系统安全,添加个性留言

满屏皆是斑点狗

我最近为了拷贝一些资料,向朋友借了一个移动硬盘。当移动硬盘接到电脑上,就可以复制文件。开始没过多久,我发现磁盘中的程序图标,就变成了斑点狗的图标(图1)。请问,这些斑点狗的图标是从何而来?该如何处理?



图1

改图标留个人感言

看到那些可爱的小狗图标了吧,这就是我“小狗上学”病毒的重要标志。我是用VB编写的病毒,可以通过网页木马、移动设备进行传播。当我在系统中成功运行后,会在系统的System32目录中释放病毒文件Soleboy.exe和副本Soleboy.txt,并在每个磁盘分区目录下生成Soleboy.exe和Autorun.inf,以达到随着移动设备进行传播的目的。

接着我会添加病毒启动项到注册表的Run项目中,以达到开机自启动的目的。然后搜索磁盘中的可执行文件,将这些文件图标改为“斑点狗”的图标。

与此同时,为了逃避安全工具的追踪,我还会对注册表进行修改完成对安全工具的映像劫持(映像劫持是将程序名称添加到注册表中的Image File Execution Options项,当这些程序运行的时候,系统将它们引导到一个“莫须有”的位置,从而造成程序运行的失败),将它们都劫持到病毒文件System32\Soleboy.exe中。

这样当用户运行安全软件时,不但无法运行安全工具,还会激活系统中由我释放的病毒文件。我同时还会查找系统中带有指定关键字符的窗口,关键字包括金山毒霸、瑞星、江民、360安全卫士等,找到后利用Sendmessage函数发送WM_CLOSE命令关闭这些窗口。

然后修改系统之中关于COM和EXE文件的文件关联,将默认关联的程序修改为系统中的病毒文件Soleboy.exe。这样无论是运行COM还是EXE格式的文件,都会立即运行病毒文件。同时我还会删除System32目录中大的Taskkill.exe文件,因为它可以用于结束我的进程信息。最后我还在Soleboy.exe中写了一段个人的感言。

巧改名称来杀毒

从作者的留言可以看到,该病毒并没有对系统数据进行破坏,这样就减少了我们修复系统的时间。

第一步:首先下载系统修复工具SREng和安全工具IceSword并分别进行解压,接着将IceSword和SREng改名为1.bat和2.bat。运行工具IceSword,点击工具栏中的“进程”按钮,在进程列表中找到病毒进程Soleboy.exe,现在点击鼠标右键中的“结束进程”命令将它结束(图2)。



图2

第二步:接着运行SREng,点击“启动项目”按钮中的“注册表”。选中病毒的启动项Soleboy后,点击“删除”按钮将它清除。接着拖动左侧的滚动条,在下面可以看到很多红色的项目,这些都是被病毒进行映像劫持的内容,同样通过“删除”按钮将这些信息清除掉(图3)。再点击“系统修复”中的“文件关联”标签,直接点击“修复”按钮即可修复被篡改的文件管理。



图3

第三步:点击开始菜单中的“运行”命令,输入regedit打开系统自带的注册表编辑器。现在展开HKEY_CLASSES_ROOT\exefile\DefaultIcon,双击该项目后再修改该项数据为“%1”即可。最后选择IceSword中的“文件”管理功能,选中每个磁盘目录中的Autorun.Inf和Soleboy.exe,以及System32目录中的Soleboy.exe和Soleboy.txt,利用鼠标右键中的“删除”将病毒彻底清除。

小知识:什么是病毒副本?

通常说的病毒副本就是病毒在运行的时候,对自身进行的备份。其目的是当病毒的主文件被清除后,病毒副本就可以重新释放出来,继续感染和破坏系统。不过病毒运行时产生的衍生物,也可以成为病毒副本,它们只能算是病毒的一部分。


相关文章

同类最新