病毒名称:Win32.Troj.Dowmloader.vb.81920
中文名称:肉鸡猎人
病毒类型:木马下载器
病毒目的:下载其他病毒
输入法莫名失效
我最近点击了网友发来的一个链接,没过多久系统桌面突然莫名其妙地消失了。好在QQ还可以调用,我想让QQ上的朋友远程协助帮我一下,结果发现输入法不能使用了。后来我用了最后一招——手工加载桌面进程,结果失败了,不得不重启电脑,系统桌面还是无法显示。请问,我的系统是不是中了什么病毒?
让用户电脑成为“肉鸡”
我的名字叫“肉鸡猎人”,我可以感染系统,将用户的电脑变成一台由我控制的“肉鸡”。我主要通过系统或软件漏洞,悄悄地潜入用户系统中作案。当我成功进入后,会在系统盘中释放出大量的文件,其中主文件SoundMan.exe隐藏在Windows目录中,由它来控制其他目录中的病毒文件。而隐藏在System32目录中的病毒文件,包括Interne.exe、Mann.exe、Notrpde.exe、Note2.Ini,都是为病毒主文件服务的。
由于系统很多设置都保存在注册表里,因此我接着就修改注册表的信息,让系统按照我的设置来运行;创建恶意服务,使我可以随系统启动。然后再以最快的速度完成对冰刃、木马克星、360安全卫士等安全工具的映像劫持,使得这些安全工具无法正常运行。
另外,我还会劫持系统的输入法模块和资源管理器,在劫持输入法模块后就不能调用输入法,这样用户就无法将系统的情况告知网友来获得帮助。除了映像劫持外,我还使用了其他的破坏方法。比如修改系统时间,让卡巴斯基大的防御功能失效;删除注册表中的杀毒软件启动项;搜索进程中是否含有金山、360安全卫士等的进程,如果发现这些进程就立即终止它们。
我还会建立一个新的系统帐户,设法获得全部用户组的管理权限,从而接管系统让用户很难操作电脑。然后我就会连接到指定的远程地址,下载大量盗号木马到用户电脑中运行,把用户系统中的各种账号和密码偷个一干二净。
偷完东西后我并不会就此罢手,我还要将电脑变成一台“肉鸡”。我会访问一个特殊网址来获取系统当前的外网IP地址。接着下载扫描器Qoq.exe到System32目录下,通过刚才获得的外网IP地址来扫描整个C网段开放135端口的主机,如果发现就将它们记录到Por.aed文件中。
在下载扫描器的时候,我还同时下载一个破解工具Popo.exe。通过Popo.exe读取Por.aed文件,从而对开放有135端口的远程系统进行账号和密码的破解。如果破解成功的话,那么这些远程系统将变成任由黑客控制的“肉鸡”。如果中毒电脑位于局域网中,我还会将自己传染到其他正常的电脑上,进一步扩大自己的传染范围。
粉碎病毒主文件
“肉鸡猎人”病毒危害性很高,破坏力很大,我们要及时清除。
第一步:运行金山清理专家文件粉碎器,点击窗口中的“添加文件”按钮,选择系统中的Interne.exe、Mann.exe、Notrpde.exe等病毒主文件,点击“彻底删除”按钮就可以将它们从系统中彻底清除。需要特别说明的是,文件选择一定要慎重,如果被错误删除的话,就无法再恢复了。
第二步:重启电脑,然后运行进程管理工具Wsyscheck,点击窗口中的“服务管理”标签,选择列表中的Pangu888和Helpsvc服务,选择右键菜单中的“删除选中的服务”即可。接着点击“安全检查”标签中大的“活动文件”,选中其中的SoundMan项删除即可。
第三步:由于该病毒下载了很多其他病毒,因此最好马上升级系统中的杀毒软件的病毒库。然后利用杀毒软件对整个磁盘节能型扫描,从而快速清除系统中的其他病毒。
PS:文中所涉及到的软件本站暂不提供,请自行下载安装。
相关文章
同类最新