現在木馬病毒的傳播方式越來越來隱蔽,讓不少用戶防不勝防。特別是針對某款網遊的盜號木馬,如果不加以控制,將給這款網遊帶來毀滅性災難。最近針對《征途》遊戲出了一款木馬,它的隱藏方式相當狡詐,非常難以發現。不過,對於這類劣跡斑斑的病毒,安全診所的裘文鋒醫生早已見怪不怪了。下麵就幫史玉柱揪出這款針對《征途》遊戲的木馬。www.sq120.com推薦文章
征途木馬檔案
Svhost32.exe征途木馬可以盜取《征途》的密碼、其他遊戲密碼、IM工具密碼等等。感染病毒之後,會生成Svhost32.exe、Rundl132.exe進程、msccrt.exe進程等,這些迷惑性進程並不是木馬的核心,真正的主謀其實躲藏在陰暗處。該木馬的殺手?應該是插入到Explorer.exe進程的DLL檔。
Svhost32進程“出賣”征途木馬
今天安全診所迎來了一個就診者。從他咬牙切齒地敘述中,裘醫生瞭解到小王對該病毒深惡痛絕。這也不奇怪,病毒盜取了他的征途遊戲的密碼,讓他損失不小。
盜取密碼的一般是木馬病毒,那麼到底是哪種木馬呢?從小王描述的病毒發作特徵中,裘醫生發現病毒修改了IE的默認主頁為http://u4.sky99.cn/。
該木馬佔用了大量系統資源,使系統穩定性大大下降。在任務管理器的進程窗口出現了Svhost32.exe進程,疑似病毒進程,關閉之後重啟系統,仍然會出現。木馬佔用了網路帶寬向駭客發送密碼資訊,而且把自己的線程插入了系統關鍵進程。
另外獲取用戶的密碼資訊的方式也極其危險,極易導致系統崩潰。病毒還關閉了瑞星殺毒監控。通過小王的敘述,裘醫生發現這個系統的情況和中Svhost32.exe征途木馬後的情況對上了號,因此,當即就開始診治起來。
去除木馬病毒的偽裝
由於Svhost32.exe征途木馬有一些沒有破壞性的偽裝檔,裘醫生決定先去除這些垃圾檔。
打開了IceSword,裘醫生很快便在其進程選項中發現了Svhost32.exe進程的檔是“C:WindowsDownloadSvhost32.exe”。
右鍵單擊該進程選擇“結束進程”命令即可,接著進入該目錄刪除該檔。同樣的,Rundl132.exe進程的檔是C:windows
undl132.exe,結束進程後也刪除該檔。
同樣的,發現msccrt.exe進程的檔是C:windowsmsccrt.exe,結束進程後也刪除該檔。由於這些進程都能自啟動,打開System Repair Engineer來清除自啟動專案。打開程式後,選中“啟動專案”時彈出了兩次警告資訊框,默認為空的註冊表值load被修改成了“C:windows
undl132.exe”用以啟動加載rundl132.exe這個病毒進程。
清空load值來防止病毒自啟動。接著刪除值為“C:windowsDownloadsvhost32.exe”的啟動專案xy和值為“COCUME~1ADMI NI~1LOCALS~1Te mpupxdn.exe”的啟動專案upxdn。
由於病毒試圖竄改UserInit專案來達到運行自己的目的,不過這次並未進行實質性修改,只是破壞了原來的值,因此把UserInit專案重新修改為正常的“C:windowssystem32Userinit.exe”(不包括引號)即可。
幕後主謀現身
裘醫生清除完這些病毒檔,下麵就是讓插入Explorer.exe進程的病毒檔現身了。打開了《超級巡警》,選擇“進程管理”選項,根據病毒發作時間很快便發現了位於“Crogram FilesCommon FilesMicrosoft Sha redMSINFO”的可疑檔xiaran.dat;位於“COCUME~1ADMINI~1LOCALS~1Temp”的可疑檔upxdn.dll和位於“C:Windowssystem32”的可疑檔msccrt.dll。這些檔不但以黃色警告色顯示,而且檔屬性顯示創建時間都是病毒發作期(圖4)。
主謀就地正法
狡猾的主謀已經被發現了,下麵就開始清除這些檔吧。裘醫生選中這些檔,右鍵單擊選擇“強制卸載標記模組”命令,這樣這些檔就不能得到Explorer.exe進程的庇護了。
接著就可以進入這些檔的目錄逐個刪除了。完成之後,重新啟動電腦,未發現病毒進程,系統運行也穩定了。這說明病毒已經被成功清除了。
Svhost32.exe征途木馬,一般通過流覽惡意網站來傳播。因此,我們安裝殺毒軟體開啟網頁和文件即時防護功能,可以比較好地防範這類木馬。開啟下載軟體(如:迅雷、快車)的檔病毒監控也是必要的。 |