首页 > 单独文章 > 正文

清除“桌面幽灵”蠕虫病毒

时间:2008-09-20 07:57:45 作者:officeba 【认证】

病毒名称:Worm/Downloader.kd

中文名称:桌面幽灵

病毒类型:蠕虫病毒

病毒目的:下载大量病毒

怪!系统时间倒退又恢复

我运行了下载的一个文件后,卡巴斯基就显示授权许可文件激活日期错误,系统时间倒退到2001年,过了一会杀毒软件就自动退出了。此外,一些辅助工具,如SREng等双击也没有反应。过了一会,时间自己又恢复到2008年了,卡巴斯基却再也打不开了,请问,我是不是遇到病毒了?

引来大量病毒霸占用户电脑

我们知道互联网上被称为“第五代机器狗”的病毒是谁吗?嗯,就是我!我的正式名称是桌面幽灵,行走在广大用户桌面的高级病毒。我进入系统后,先把系统时间改到2001年,这样卡巴斯基就会因为日期错误导致保护模块失效(顺便我也会结束avp.exe进程)。

接着,我找到系统目录下的svchost.exe并注入恶意代码,再用病毒文件替换系统文件mfc40u.dll,然后释放~wxp2ins.250.tmp到临时文件下(数字是随机的),这个文件其实是一个驱动程序,我就靠它进入系统内核,穿透系统还原并修改SSDT(突破杀毒软件的主动防御)。

做到这里还不算完,我还要在注册表中劫持常用的安全软件,让它们全都跑不起来,使用户的安全软件形同虚设。修改system32目录下的lsass.exe,添加输入表项LdrSetSessionName,这个输入表项由替换后的mfc40u.dll提供(嵌入了病毒下载者代码)。lsass.exe提供NT LM Security Support Provider和IPSEC Services服务项,控制了它我就能实现开机自启动。

然后,我就从http://www.dfhtn.cn/baibai.txt下载包括系统杀手、ARP杀手、代理木马、机器狗等大量病毒到用户计算机中,伺机盗窃用户的各种账号和密码、完全控制用户的电脑。

任务执行完毕后,我马上关闭退出。在退出时,我注入了恶意代码的“svchost.exe”进程就会发挥作用,它删除我在磁盘中的文件和临时文件夹下的驱动程序,使计算机用户无法找到我,然后恢复此前的系统时间,一切都是那么的了无痕迹。

解除映像劫持清除病毒

由于该病毒总共应用了不少病毒技术,要有正确的清除顺序才能彻底清除它,具体解决方法如下所示:

第一步:运行系统修复工具SREng,启动项目中被映像劫持的选项会被红色显示,选中后点击“删除”按钮删除所有被劫持的选项。

第二步:使用安全辅助工具IceSword结束lsass.exe进程,然后删除系统目录下的mfc40u.dll。由于Windows具有系统文件保护机制,正常的mdc40.dll和lsass.exe文件在C:\Windows\System32\dllcache目录下都有备份,直接复制它们到C:\Windows\System32\目录下即可(假设系统盘在C盘)。

第三步:最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。


相关文章

同类最新