抓住QQ的“小尾巴”—另类自启动病毒攻防战

社区服务
高级搜索
猴岛论坛辅助工具抓住QQ的“小尾巴”—另类自启动病毒攻防战
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
6个回复

[版块公告]抓住QQ的“小尾巴”—另类自启动病毒攻防战

楼层直达
否则无力回天

ZxID:18274913

等级: 列兵
举报 只看楼主 使用道具 楼主   发表于: 2012-12-06 0
笔者最近遇到一个采取另类方式启动的病毒——QQ乐(Worm/QQMsg.Lee),现把一波三折的查杀过程和一些经验写出来,供朋友们参考。 某日在QQ里连续收到一位朋友发来的消息,该消息中都带有一串网址,经证实并不是他主动发来的,于是怀疑他的电脑中了病毒。笔者首先打开金山网镖防火墙,检查发现一个正在访问网络的可疑程序“System.exe”,通过名字可以看出它是想与System文件夹相混淆,于是点击右上角的“结束进程”杀掉它。然后按图索骥到C盘根目录下找到并删除它,接着打开了注册表编辑器。因为一般木马和病毒都喜欢在这里添加自启动键值,但是检查了所有以RUN为开头的项都没有与这个文件相关联的启动项,看来这个病毒十分狡猾。 接着在资源管理器中检查Win.ini和System.ini,因为有些病毒会在Win.ini中的[Windows]小节下的load和run字段后面,以及System.ini中的[boot]小节的Shell=Explorer.exe后面添加启动项,以便每次开机时自动运行。谁知这些地方仍然一无所获,不过却意外发现系统中多出了一个管理员账户“Lee”,怀疑是病毒添加的,于是删除它。 正在笔者为找不到毒源而纳闷时,进程中又重新出现了病毒文件“System.exe”,而且被删除的账户也重新恢复。看来如果不找到病毒的启动机制,就难以彻底制服它。于是笔者打开“搜索”,在“文件中的一个字或词组”(这里可以搜索文件内部的内容)一栏中输入“System.exe”,经过一番等待,在搜索结果中发现了数个“AutoRun.inf”文件,用记事本打开它,内容为: [autorun] open=System.exe 原来病毒自启动的根源在这儿。感染病毒后它会在每个分区的根目录下创建Autorun.inf文件和病毒体System.exe、Systemdll.dll,使得每次双击盘符打开时病毒都会自动运行(原理与自启动光盘相同),这种方法确实比在注册表中添加启动项更不容易被发现。笔者接着又利用前面的搜索方法,查找“Lee”这个关键字,结果发现了一个自动创建管理员账户的批处理文件“Admin.bat”。用记事本打开它,内容如下: net user lee abcd@# /add net localgroup administrators lee /add 通过内容可以看出病毒是要增加一个名为lee,密码为abcd@#的新账户,然后将它加入管理员组中(即赋予管理员权限)。毒根找到了,下面就可以大开“杀戒”了,把找到的这些文件统统删除。 IM病毒防范技巧: . 用QQ等即时通讯工具聊天时,除了开启病毒和网络防火墙以外,还要打开嵌入式防火墙,例如金山毒霸6中的“腾讯QQ、M  Me enger、ICQ安全助手”。至少要把金山网镖等防火墙的安全级别设置到中以上,才能更有效拦截木马程序和网络攻击。 . 不要随意点击QQ中的链接,因为许多病毒都会伪装成网页链接,并通过消息中具有欺骗和诱惑的文字让你去点击,例如QQ小尾巴。
2014

ZxID:21900290

等级: 元老
     ๑热心会员๑      ๑值得拥有๑

举报 只看该作者 6楼  发表于: 2012-12-11 0
我勒个去啊
引用
六月岸歌

ZxID:17749258

等级: 新兵
举报 只看该作者 5楼  发表于: 2012-12-11 0
受益匪浅啊,很有用的
涂白白

ZxID:18198584

等级: 上等兵
举报 只看该作者 4楼  发表于: 2012-12-10 0
好好学习了,真的不错哦
那年那月那驴

ZxID:17698918

等级: 上等兵
举报 只看该作者 地板   发表于: 2012-12-07 0
恩,我觉得值得学习啊,顶你
戒烟容易,戒你太难!
ddgfs22s

ZxID:21836232

等级: 新兵
举报 只看该作者 板凳   发表于: 2012-12-06 0
cf体验服外挂
cf体验服二区辅助
cf体验服辅助
CF蘑菇辅助
CF星猫辅助
CF迷茫官网
flash游戏下载
flash小游戏下载
火影传奇修改器
火影传奇修改
暴走西游修改器
国王的勇士4修改器
国王的勇士修改器
国王的勇士4修改教程
国王的勇士4修改sp
国王的勇士4修改隐藏属性
txt小说下载
qq游戏外挂
QQ2D桌球瞄准器
QQ桌球辅助
机甲旋风外挂辅助
机甲旋风修改器
机甲旋风天剑秒杀
机甲旋风暴风辅助
小游戏修改
造梦西游3修改器
4399小游戏修改
3366小游戏修改
CE修改器
CE下载
CE6.2中文版
我爱辅助论坛
辅助论坛
外挂论坛
╭ァ靠谱.

ZxID:19694135

等级: 元帅
有时候你不得不笑,

举报 只看该作者 沙发   发表于: 2012-12-06 0
    好专业....
« 返回列表
发帖 回复