专杀 - 查皮博客@blogbus

2007年07月30日

MSN病毒随机数字变种album*.zip疯狂传播专杀工具已经更新 - [安全资讯]

MSN病毒随机数字变种album*.zip疯狂传播专杀工具已经更新

新闻来源:北京盛世京天科技有限公司

MSN照片蠕虫新变种:photo_album*.zip,album*.zip,image*.zip,photo*.zip,*代表的数字是随机变化的,该蠕虫目前正通过MSN疯狂传播,由于该蠕虫是一个全新的变种,并且在计算机系统运行后无进程,大大加大了发现的难度,所以目前大多数杀毒软件都对此毫无反应,所以我们建议用户不要轻易在MSN上接收好友发过来的莫名其妙的文件.

技术分析:

MSN蠕虫目前又有新变种传播,传播图例如下:

中毒用户不会给MSN好友发送信息"KAN WO DE ZHAO PIAN","NI HE WO !!! .... QING KAN","YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN !!","JIESHOU WO DE ZHAO PIAN !!","ZHE SHI WO DE LUOZHAO QING BU YAO FA GEI BIEREN !!"等中文拼音,并发送 photo_album*.zip,album*.zip,image*.zip,*代表的数字是随机变化的压缩文件。如果用户接收并运行该文件，就会中毒。

该zip文件解压缩后如下图所示:

木马运行后会运行错误,如下图所示:

运行流程:

该蠕虫运行后,会向Windows目录下复制一个自己zip文件的副本,并且向system32目录下写入一个l开头的Dll文件和msn.exe,并且注册为com组件,这样每次启动计算机,该组件就会自动插入到系统进程并运行,所以用户很难找到并删除该文件,表现现象就是在MSN上疯狂向好友发送病毒文件,大量消耗系统资源和网络带宽.同时该蠕虫连接远程IRC服务器(89.188.16.60),开启并监听20480端口,接受远程控制命令,黑客可以轻易窃取用户计算机内的资料,如果是局域网感染,会造成一个僵尸网络,所以对个人和企业用户危害相当大.

木马清除大师-"MSN照片"蠕虫专杀工具清除截图:

详细介绍:http://www.lofocus.com/MsnWormKill.asp

专杀下载:http://www.lofocus.com/MsnWormKill.exe

MSN性感相册病毒变种频发江民发布技术分析

　　新浪科技讯 7月30日，江民科技反病毒中心陆续收到很多用户反映：MSN里的好友经常给自己发送消息，并且还会传来一个名为“photo_album37.zip”的压缩包，同时还会发送“KAN WO DE ZHAOPIAN :P” 等消息，引诱用户点击运行。

　　江民科技反病毒中心在第一时间截获了病毒样本，经过分析发现，这是最近非常流行的通过msn传播的蠕虫病毒MSN"性感相册"最新变种。值得注意的是，该病毒充分利用了社会工程学原理，向对方发送消息引诱对方接收病毒文件。与之前的“性感相册”病毒不同是其发送的消息已经从原来的英文、法文等演变成汉语拼音，这更容易使国内的用户产生迷惑，极易感染病毒。

　　MSN“性感相册”最新变种病毒技术分析如下：

　　病毒名称：Worm/MSN.SendPhoto.g

　　中文名：MSN"性感相册"变种g

　　病毒类型：蠕虫

　　危害等级：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　病毒运行特征：

　　病毒运行后，将创建下列文件：

　　%WinDir%\System32\libcintles3.dll, 26000字节

　　%WinDir%\System32\msn.exe, 116736字节

　　其中，msn.exe文件为病毒主体，加NTKrnl的壳，libcintles3.dll文件会注入到Explorer.exe系统进程中，以穿透防火墙，连接远程IRC服务器，接收黑客指令,使中毒电脑成为黑客手中的“肉鸡”。

　　在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

　　"printers" = {50f08f6b-d84a-431e-971b-d1e7cfaf0ee6}

　　这样，在Windows启动时，病毒就可以自动执行。

　　该病毒会自动搜索msn上的好友，向对方发送album71.zip、photo_album37.zip、photo12.zip 等带毒压缩包，同时还利用社会工程学原理向对方发送汉语拼音消息引诱对方接收病毒文件：

　　KAN WO DE ZHAOPIAN :P

　　NI HE WO !!! .... QING KAN :P

　　kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(

　　JIESHOU WO DE ZHAO PIAN :o !!

　　YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!

　　ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!

　　以上消息对应的汉语为：

　　看我的照片 :p

　　你和我 !!! .... 请看 :p

　　看巴丽茜尔顿进监狱后是多么憔悴 :(

　　接收我的照片 :o !!

　　一张我跟我朋友最好的照片 :$ !!

　　这是我的裸照 :o 请不要发给别人 !!

　　如果用户的安全意识较低，运行压缩包内的带毒文件，病毒就会通过msn的名单疯狂的传播病毒，用户的电脑也就会成为一个新的病毒传播源。

　　江民反病毒专家建议用户：

　　1.MSN用户不要轻易接受来历不明的文件，尤其是扩展名为*.exe,*.com,*.bat,*.scr,*.zip,*.rar 等格式的文件，遇到有人发来以上格式的文件请直接拒绝即可。

　　2.每天定时升级KV2007杀毒软件，并开启所有监控功能。

　　3.江民KV2007已经紧急升级了病毒库，kv用户及时升级杀毒软件即可有效地拦截此病毒。

　　4.没有安装KV2007杀毒软件的用户，可以免费下载江民MSN"性感相册"蠕虫专杀工具对该病毒进行查杀。

　　江民MSN“性感相册”蠕虫专杀工具下载地址：download.jiangmin.info/jmsoft/MSNPhotoKiller.exe

Tag：MSN 病毒变种专杀性感相册

chapi 发表于20时29分44秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年06月18日

揭密“AV终结者(随机8位数字病毒)”病毒的生态链[清除方法专杀] - [安全资讯]

揭密“AV终结者”病毒的生态链
新闻来源:铁军杀毒博客
“AV终结者”病毒，向安全界发起挑战，这个病毒把安全软件打残废只是手段，目的仍是疯狂盗号。
“AV终结者”的病毒操纵者会象“熊猫烧香”作者李俊一样被绳之以法吗？我们期待着这一天。
论坛中有关“AV终结者”病毒的咨询，仍然在继续增长，毒霸客服中心每天处理的AV终结者病毒相关咨询，至少是以前其它病毒咨询的3倍以上。并且，这种状况持续了数周，为解决针对这个病毒的清除难题，我们先后公开了两个版本的专杀工具。
原来我还以为这个病毒中了之后，用户会很快发现杀毒软件工作异常，然后就会想办法去处理掉这个病毒，病毒的隐蔽性就不会太强。但事实不是这样的，多数用户对杀毒软件不能正常工作并不觉得有异常。因为，此时系统的其它功能基本不受影响，病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助，以完成手工杀毒操作。
我在思考另一个问题——“AV终结者”病毒，是否和“熊猫烧香”一样，是盗号集团的杰作？？
首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒，如何能引起这样大规模的传播呢？仅仅靠病毒程序的自然衍生，显然不能做到这一点。那么，这个病毒极可能是人为操纵的结果。
那么“AV终结者”病毒，最开始是通过什么途径入侵的呢？这个病毒后面是不是还隐藏着更多的迷？
在AV终结者之前，有两类病毒值得我们去关注，一是“Risk.exploit.ani”病毒，是利用ANI漏洞广泛挂马。另一类，是利用ARP欺骗，劫持整个局域网会话，被劫持的局域网电脑用户访问任何网站都会同时从16.us站点（还有更多的下载站）下载木马。
和熊猫烧香病毒案比起来，“AV终结者”表现得更加隐蔽，该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度，远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。
第一阶段：传播“AV终结者”病毒
最快速有效的传播手法，是通过攻击企业公共服务器（通常是IDC机房托管的服务器），攻击成功后，直接在服务器上植入木马，再利用ANI漏洞迅速传播。不仅如此，攻击者还会在被攻陷的服务器上植入ARP攻击程序，成功将挂马成果扩大到整个机房。类似的手法，可以在攻入企业内部网后，发起ARP攻击行为，迅速让挂马现象在整个公司网络中漫延。
另一种作法更直接，直接把制作完成的“AV终结者”病毒通过U盘，在网吧等公共上网场所人为传播。方法很简单，到目标机器上插一下U盘就办到了。
第二阶段：“AV终结者”病毒活跃期
“AV终结者”病毒成功入侵后，几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持，关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒，病毒干脆修改系统配置，不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。
第三阶段：木马活跃期
经过前一阶段的准备，“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后，病毒内置的下载器功能大显身手，数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上，这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况，要取决于木马控制者的喜好。
为何判断这是盗号集团在企业化公司化运作？
理由是，在上面“AV终结者”病毒发展的三个阶段中，任一阶段均使用了多种不同的病毒和攻击手段，病毒不再是单打独斗，而是发展到协同作战的程度。其复杂度体现在：传播阶段的手法多样性；入侵后对抗杀毒软件技术的复杂性；木马收获阶段，几乎面面俱到，无所不拿。综合这些特点，很难想像，一个人或者仅仅几个人如何去完成这种复杂的任务。
谁在指挥这个复杂的利益链？
答案当然是受益者，“AV终结者”病毒会自动连接到一些服务器下载各种木马，这些服务器成为整个利益链条中的聚合器。那么，拥有或控制这些站点的人，应该是“AV终结者”病毒利益链中最直接的受益者。
我们分析了部分“AV终结得”病毒的下载站，发现变种不同，下载站也会有所区别。这里仅公布其中一个下载站的信息：
WHOIS Results for: 100000000000000000000000000000.cn
Domain Name: 100000000000000000000000000000.cn
ROID: 20070314s10001s35110810-cn
Domain Status: ok
Registrant Organization: 蓝色精灵
Registrant Name: 蓝色精灵
Administrative Email: shenzhenkeji@hotmail.com
Sponsoring Registrar: 北京新网互联科技有限公司
Name Server:ns1.dns.com.cn
Name Server:ns2.dns.com.cn
Registration Date: 2007-03-14 18:27
Expiration Date: 2008-03-14 18:27
一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名，有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载，拥有这个站点或控制这个站点的人，有重大作案嫌疑。
熊猫烧香的作者李俊落网了，李俊肯定不会是唯一的，下一个会是谁呢？
AV终结者全面解读金山毒霸提供整体解决方案
“AV终结者”中毒感染现象
　　1.　生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
　　2.　绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

　　3.　不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
　　4.　禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
　　5.　破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复
　　6.　当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
　　7.　在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
　　8.　病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
　　“AV终结者”中毒后4步解决方案
　　因为这个病毒同样会攻击毒霸，已经中毒的电脑会发同金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下：
　　1.　在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
　　下载地址：http://zhuansha.duba.net/259.shtml
　　2.　在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染
　　把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
双击无法打开驱动器/无法显示隐藏文件教你如何查杀病毒
　　3.　执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。
　　（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）
　　4.　不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。
　　如何防范“AV终结者”？
　　因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除，必要时拨打客服电话，请求支持。请采取以下措施防范AV终结者病毒
　　1.　使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。
　　2.　使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。
　　3.　升级杀毒软件，开启实时监控
　　4.　网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法请看后文。
　　5. 关闭windows的自动播放功能 小技巧: 关闭移动硬盘或U盘自动播放功能
【播报】“随机8位数字病毒”手动清除办法及安全建议
最近，江民反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，该病毒主要特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作及其困难。而且该病毒还会在每个硬盘分区根目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒，此外，该病毒还会通过U盘，MP3，移动硬盘等移动储存传播，这样就大大增加了病毒的传播速度。
江民反病毒专家建议，日常操作电脑时请注意以下几点防范措施：
1. 保管好自己的U盘，MP3，移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。
4. 安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。
对于未安装杀毒软件或者杀毒软件失效的情况下，建议使用以下办法手动清除：
1. 请先到网上下载IceSword工具，并将该工具该名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
2. 利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和 dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法察看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4、利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
删除里面的IFEO劫持项。
此时就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，全盘杀毒。
安全专家实战清除利用映象劫持技术病毒
听dodo说，发现一MM的电脑好象中了终结者，用毒霸的专杀修复后，毒霸仍不能启动。要来QQ，远程连接过去看个究竟。网速限制，整了一个小时，最终搞定，写总结文章比修复简单多了。
1.给MM传过去需要的工具软件：AV终结者专杀，autoruns，冰刃，process explorer。
2.分别运行这四个工具，只有专杀可以启动，其它工具未能启动。尝试进入kav2007目录，发现毒霸主程序，清理专家均无法启动。autoruns和Process Explorer改名后可以运行。冰刃改名后，打开即被关闭，毒霸和清理专家也一样。
3.在autoruns的explorer页发现2个DLL，a1d29050.dll和msacn.dll（使用autoruns时，一定要选中隐藏MS签名认证的项目，不然要累死）。
将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行，在进程explorer中查找相关线程。找到4个正在运行的线程，立即将病毒线程暂停。
4.这时已经发现冰刃可以正常使用了，所以就选择用process Explorer杀掉了相关线程。
5.继续使用autoruns查看服务，找到3个未知服务。不过，事后证实这三个服务与毒霸不能运行无关，是毒霸可杀的木马程序。
6.接下来，进入毒霸目录，双击uplive.exe升级。
7.升级完成后，双击kav32.exe执行病毒扫描。结束发现了10多个已知木马。当然，这几个令毒霸，冰刃无法运行的DLL，是新病毒。
为确保清除成功，建议MM扫描完毕后再和AV终结者修复一下注册表，因为这个病毒让隐藏文件无法正常显示，这个AV终结者修复工具，刚好可以解决这个问题。
补充一点，在使用autoruns的过程中，发现病毒已经删除了毒霸注册的服务，因此，电脑如果重启的话，会发现实时监控不能被加载。
总结：
类似AV终结者的病毒，会把杀毒软件做为攻击的第一道关。攻击成功后，会使用下载器下载一堆的木马，本案例就在解决掉新病毒后，升级毒霸查到10多个盗号木马。
预计在一段时间内，采用这种手法的盗号集团将十分猖獗。请网友参考AV终结者的综合方案采取防御措施。
详尽分析：AV终结者采用重定向劫持技术
该病毒利用了IFEO重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的。
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "
生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
3.生成以下注册表项来进行文件映像劫持，从而试图阻止相关安全软件运行，并执行病毒体。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\360rpt.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\360Safe.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\360tray.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\adam.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\AgentSvr.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\AppSvc32.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\autoruns.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\avgrssvc.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\AvMonitor.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\avp.com Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\avp.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\CCenter.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\ccSvcHst.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\FileDsty.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\FTCleanerShell.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\HijackThis.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\IceSword.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\iparmo.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Iparmor.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\isPwdSvc.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kabaload.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KaScrScn.SCR Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KASMain.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KASTask.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAV32.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAVDX.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAVPFW.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAVSetup.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KAVStart.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KISLnchr.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KMailMon.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KMFilter.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KPFW32.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KPFW32X.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KPFWSvc.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KRegEx.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KRepair.COM Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KsLoader.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVCenter.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KvDetect.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KvfwMcl.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVMonXP.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVMonXP_1.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kvol.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kvolself.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KvReport.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVScan.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVSrvXP.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KVStub.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kvupload.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\kvwsc.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KvXP.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KvXP_1.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KWatch.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KWatch9x.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\KWatchX.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\loaddll.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\MagicSet.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\mcconsol.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\mmqczj.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\mmsk.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\NAVSetup.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\nod32krn.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\nod32kui.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\PFW.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\PFWLiveUpdate.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\QHSET.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Ras.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Rav.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RavMon.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RavMonD.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RavStub.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RavTask.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RegClean.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\rfwcfg.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RfwMain.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\rfwProxy.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\rfwsrv.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\RsAgent.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Rsaupd.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\runiep.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\safelive.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\scan32.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\shcfg32.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\SmartUp.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\SREng.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\symlcsvc.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\SysSafe.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\TrojanDetector.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\Trojanwall.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\TrojDie.kxp Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UIHost.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UmxAgent.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UmxAttachment.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UmxCfg.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UmxFwHlp.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UmxPol.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\UpLive.EXE.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\WoptiClean.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\zxsweep.exe Debugger "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
4.修改以下注册表，导致无法显示隐藏文件。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden
dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidd
en\SHOWALL CheckedValue dword:00000000
5.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项，使用户无法进入安全模式。
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-
BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-
08002BE10318}
7.连接网络下载病毒：
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀。
9.尝试关闭包含以下关键字窗口：
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。
11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件：autorun.inf 和随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

Tag：AV终结者病毒专杀杀毒映象劫持

chapi 发表于21时18分17秒 | 阅读全文 | 评论 1 | 编辑 | 分享
2007年06月01日

MSN相片“性感相册”PHOTOS.ZIP病毒专杀/手动清除方法 - [安全资讯]

MSN相片“性感相册”病毒手动清除方法

MSN病毒随机数字变种album*.zip疯狂传播专杀工具已经更新 7.30

MSN性感相册专杀下载地址 http://download.jiangmin.info/jmsoft/MSNPhotoKiller.exe
PHOTOS.ZIP病毒专杀下载:http://www.lofocus.com/MsnWormKill.exe
http://duba-011.duba.net/duba/kavtools/DubaTools_MSNBot.EXE

病毒名称：MSN相片（Worm.Mail.Photocheat.a）

病毒类型：蠕虫病毒

病毒危害级别：★★★☆

病毒分析：

这是一个通过MSN进行传播的蠕虫病毒，病毒行为如下：

1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下，放出一名为syshosts.dll的动态库到%SYSTEM%目录下，将动态库蛀入系统多个线程中实现其传播的功能。

2、病毒会自动创建如下注册表项，实现自启动。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

"syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}

3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下：

Here are my private pictures for you

Here are my pictures from my vacation

My friend took nice photos of me.you Should see em loL!

its only my photos!

Nice new photos of me and my friends and stuff and when i was young lol...

Nice new photos of me!! :p

Check out my sexy boobs :D

hey regarde mes tof!! :p

ma soeur a voulu que tu regarde ca!

hey regarde les tof, c'est moi et mes copains entrain de.... :D

j'ai fais pour toi ce photo album tu dois le voire :)

tu dois voire ces tof

mes photos chaudes :D

c'est seulement mes tof :p

zijn enige mijn foto's

wanna Hey ziet mijn nieuw fotoalbum?

indigde enkel nieuw fotoalbum! :)

hey keurt mijn nieuw fotoalbum goed.. :p

het voor yah, doend beeldverhaal van mijn leven lol..

en Fotos ! :p

le mie foto calde :p

mis fotos calientes

as :p

lbum de foto

4、病毒运行后将访问www.free8.bi的地址，以特定的昵称,登录到特定的IRC频道上，并在IRC聊天频道中散播消息。

手工清除方法

一、删除病毒在注册表中的启动项目

1、点击“开始”菜单，选择运行。输入“regedit.exe”启动注册表编辑器。

2、打开

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

项，找到名为“syshosts”一项，将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。（见图一）

图一

3、将syshosts项删除。

4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项，找到刚刚记录下的项目，本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}（见图二）。

图二

5、重新启动计算机。

二、删除病毒文件

1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

2、进入Windows文件夹（默认为C:\Windows），找到名为“photos.zip”的文件，将其删除。如图三所示。

图三

3、进入系统文件夹（默认为C:\Windows\system32），找到名为“syshosts.dll”的文件，将其删除。

图四

4、再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。

该病毒手工清除需要具有一定的计算机操作水平，一般用户可直接升级杀毒软件至最新病毒库清除该病毒。

紧急警报！“性感相册”病毒发带毒文件

作者：T木　来源：赛迪网

下午，同事收到有人在MSN上传来的一个压缩文件，MSN上先是说：“Here are my private pictures for you”，然后就会发来一个压缩包，文件名是“photos.zip”，文件大小约468KB。一旦点击接收后，就会显示：“Nice new photos of me and my friend and stuff and when i was young lol...”

同时，江民反病毒中心也监测到，一个名为“性感相册”的蠕虫病毒正在互联网上疯狂传播。该病毒会自动搜索电脑中MSN的联系用户名单，向所有的联系人随机发送带有诱惑性的英文消息如“My friend took nice photos of me. You Should see them loL!、check out my sexy books”等（我的朋友给我拍了些好看的照片，你应该看看……、看看我的色情书），并试图传送名为“photos.zip”的压缩包，用户接受并解压缩文件即会中毒。

该病毒十分隐蔽，中毒电脑无异常表现，而病毒会在后台秘密向所有MSN联系人发送包含病毒的压缩包，解压后即会中毒。

由于该病毒利用MSN的联系名单传播病毒，影响范围非常大，江民反病毒专家提醒广大用户，不要轻易接收和运行MSN上传来的不明文件，尤其是名称为“photos.zip”的压缩包。

同事接收到MSN画面

病毒发来的图片文件

接收后的现象

同时金山毒霸反病毒专家戴光剑表示，此次大面积发作的针对MSN用户的病毒并非之前的“MSN照片”病毒，而是一名为“MSN机器人”的病毒。

“MSN机器人”（Worm.MsnBot.h）病毒正在利用MSN聊天工具疯狂传播，仅6月1日下午短短几个小时就有数万用户中招。为此，金山毒霸已发布紧急预警，建议用户立即升级病毒库，拒绝接收名为photos.zip的压缩包。

“今天下午，突然有3、4个MSN好友同时发过来一个名为photos的压缩包，还附有Hereare my pictures from my vacation或“My friend took nice photos of me.YouShould seeem loL!、check out my sexy books”的英文，与此同时，身边的同事也纷纷收到类似的东东，影响非常大。”用户蒋女士表示。

该病毒运行后，会把自己拷贝到系统目录下%system%\\syshosts.dll，并把自己压缩后放到以下目录%windows%\\photos.zip。病毒会寻找MSN的窗口，并尝试发送自己，发送前先随机发送以下文字：

Here are my pictures from my vacation

My friend took nice photos of me.you Should see em loL!

its only my photos!

Nice new photos of me and my friends and stuff and when i was young lol...

Nice new photos of me!! :p

Check out my sexy boobs :D

hey regarde mes tof!! :p

ma soeur a voulu que tu regarde ca!

hey regarde les tof, c'est moi et mes copains entrain de.... :D

j'ai fais pour toi ce photo album tu dois le voire :)

据了解，类似“MSN机器人”这类病毒，一般是通过如下流程进行传播：病毒制作者制作完成后通过某种渠道如捆绑下载等渠道发布出去，MSN用户感染该病毒后，可立即在MSN好友之间相互传播。

专家在分析病毒时发现，与之前病毒MSN机器人病毒不同，该病毒拒绝在虚拟机中运行，为病毒分析带来了一定麻烦。根据该病毒的传播特点，金山毒霸全球反病毒中心已经启动紧急病毒处理流程，金山毒霸的用户升级到最新的病毒库即可查杀。同时，金山毒霸反病毒专家提醒广大用户三步应对该病毒：

1、拒绝接受病毒文件。用户如发现有MSN好友发送类似信息，立即关闭该窗口，并通知发送信息的好友，及时查毒；

2、如果已经接受，千万不要打开该文件；

3、升级杀毒软件到最新病毒库，开始实时监控以及防火墙等功能；

鉴于该病毒传播迅速，影响范围比较广，金山毒霸快速推出了手动解决办法：开启金山毒霸反间谍2007中的文件粉碎器，查找以下文件：%system%\\syshosts.dll、%windows%\\photos.zip 彻底删除。

MSN大面积中毒感染后自动传播

作者：徐新事 | 出处：DoNews |

　　DoNews（北京）6月1日快讯（记者徐新事）今天下午15:08分起，不断有MSN好友向记者发送一个Photos.zip文件，经证实是新的MSN病毒。

十分钟内，有来自全国各地的30多位MSN好友都向记者发送该文件。

　　据趋势专家介绍，这是2003年的photos.zip的病毒的变种。

　　病毒症状：被感染用户向MSN好友发送相同文件，或者发送my sexy photos的压缩包，用户应该拒绝接收。

　　扫描类型：手动扫描

　　事件：已发现病毒！

　　病毒名称: Infostealer.Gampass

　　文件： C:\Documents and Settings\user\Local Settings\Temp\mhso.exe

　　位置：隔离区

　　计算机：LENOVO-E5CA6843

　　用户：user

　　采用的操作：清除失败 : 隔离成功 :

　　发现的日期： Fri Jun 01 15:33:19 2007

　　修复：计算机用户可以即刻登录趋势科技网站或8844网站（http://8844.com），下载趋势杀毒软件90天免费版，立即清除。

Tag：病毒杀毒蠕虫专杀 MSN

chapi 发表于21时24分00秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年03月20日

灰鸽子官方专杀工具，尴尬了谁? - [安全资讯]

灰鸽子官方专杀工具，尴尬了谁?

cnBeta.com 【转载】

背景:

　　灰鸽子昨日高调发布了一个官方专杀工具，经检验可以非常轻松地杀除各个反病毒软件难以处理的鸽子服务器端，并增加了对所有破解和非法修改过的灰鸽子服务端的卸载功能，这着实是对自己的澄清。昨日媒体出现了一篇名为灰鸽子发布卸载程序某厂商陷尴尬"的文章，对于灰鸽子的最新动向，相关人士提出了自己的观点和质疑。

　　3月19日，围剿灰鸽子战役中，又见奇文，文章标题为“灰鸽子发布卸载程序某厂商陷尴尬”。只有金山公开围剿灰鸽子，直说金山不就完了，还用遮遮掩掩的嘛?

编者观点:

　　正常软件必须提供安装记录和卸载功能，以保障软件用户的知情权。而灰鸽子木马(无论其官方发布的版本还是被人修改过的版本)，其服务端安装时，没有对用户尽到告知义务，并且服务端没有提供卸载功能。(别逗了，让木马服务端自己提供卸载程序，哪儿找这么笨的黑客)

　　灰鸽子工作室文中提到的，灰鸽子服务端卸载程序本来是由灰鸽子客户端控制卸载，这是实际情况的，但不是尽人皆知，只有灰鸽子客户端的使用者了解这一点，被安装服务端的肉鸡电脑用户是毫本不知情的。试问，在用户不知情的状况下被安装灰鸽子木马程序，而这个木马的卸载权限还远在千里之外的攻击者手中。现在灰鸽子木马工作室终于发布了供受害者使用的卸载工具，难道受害者因此要对灰鸽子工作室大发慈悲而心存感激吗?

　　再问灰鸽子工作室，一个正常的远程管理软件，其服务端难道不应该提供本地卸载功能吗?

原文作者称:

　　邀请了几个行内人士对灰鸽子官方提供的卸载程序和国内某杀毒公司的杀毒软件进行测试，结果发现该杀毒软件对被重新加壳和修改过的灰鸽子服务端毫无反应，而灰鸽子官方的卸载程序则在两秒之内就检测完成并卸载了所有的灰鸽子服务端!

编者观点:

　　灰鸽子工作室终于公开曝光了这7年来对抗安全软件检测的真实做法，不停的重新加壳和修改代码，目的就是为了逃避安全软件检查，你说自己是正常软件，你完全可以向法院起诉杀毒软件厂商对灰鸽子木马的封杀。日前，金山毒霸发布的灰鸽子通杀方案可以有效检测并清除特殊加壳处理过的灰鸽子木马，不管灰鸽子工作室将来采取什么措施逃避，都将是金山毒霸的追杀目标。

　　灰鸽子服务端会接受远程黑客控制的客户端发送的卸载指令，以达到作案后销毁证据的目的。在金山及众多网民、媒体一致讨伐下，为减轻自己的罪行，仓惶推出服务端卸载程序，只不过把这个远程指令交给本地执行。这对于灰鸽子工作室来说，是轻而易举的事情，而这举手之劳的事，灰鸽子工作室把它拖了7年。

原文作者问:

　　为什么会突然发布此服务端卸载程序?”

　　灰鸽子工作室:“首先，考虑到灰鸽子程序被一些不法分子破解、修改和非法利用，导致一些网民被人非法安装了灰鸽子服务程序，我们有义务开发相应的软件帮助广大网民予以应对。事实上，我们以前也一直是这样做。其次，因为近来有一些安全厂商公关在做宣传时使用了灰鸽子的字样，鼓吹网民使用他们的杀毒软件，我们不希望因为灰鸽子而使网民成为此类商业误导的对象。我们建议大家使用杀毒软件时要慎重选择，国内还有很多杀毒软件是非常不错的!”

编者观点:

　　灰鸽子工作室为什么会突然发布此服务端卸载程序?答案很简单，如果不是金山对这个危害最严重的木马出手，我们的网友能见到这个服务端卸载程序吗?请注意这个程序的发布日期为2007-3-19 10:06:25，版本号为1。0。0。0。它为什么不在金山高调宣布剿灭灰鸽子之前就发布呢?

　　最后，我们再看灰鸽子工作室卸载工具的清除结果。这里引用网友hzqedison的测试结果。“拿2007的鸽子测试，自己很早前做的无服务，进程触发的鸽子，测试结果呢?说没有检测到!想起毒霸打鸽子，就用专杀看看，效果不错!”

主动发布卸载程序灰鸽子工作室澄清传闻

eNet硅谷动力

　　继炒的沸沸扬扬的“熊猫烧香”事件之后，国内突然又掀起一股“剿灭灰鸽子”的风潮。中国的网络界真是树欲静而风不止。为此，笔者联系了灰鸽子的作者问及此事，他表示,灰鸽子工作室不会参与到某些杀毒软件厂商的公关炒作中来,在声明上我们已经说过了。参见：《灰鸽子工作室针对近期剿杀的声明》随后，又为广大网民提供了卸载工具，顿时让某厂商陷入尴尬境地！

　　尽人皆知，灰鸽子服务端卸载程序本来是由灰鸽子客户端控制卸载的，但即日起灰鸽子工作室把灰鸽子服务端的卸载程序单独分离出来分布，并增加了对所有破解和非法修改过的灰鸽子服务端的卸载功能，这着实是对自己的澄清！

　　笔者也邀请了几个行内人士对灰鸽子官方提供的卸载程序和国内某杀毒公司的杀毒软件进行测试，结果发现该杀毒软件对被重新加壳和修改过的灰鸽子服务端毫无反应，而灰鸽子官方的卸载程序则在两秒之内就检测完成并卸载了所有的灰鸽子服务端！　　

　　记者问及灰鸽子工作室的成员说“为什么会突然发布此服务端卸载程序？”

　　他就此事作了回应：“首先，考虑到灰鸽子程序被一些不法分子破解、修改和非法利用，导致一些网民被人非法安装了灰鸽子服务程序，我们有义务开发相应的软件帮助广大网民予以应对。事实上，我们以前也一直是这样做。其次，因为近来有一些安全厂商公关在做宣传时使用了灰鸽子的字样，鼓吹网民使用他们的杀毒软件，我们不希望因为灰鸽子而使网民成为此类商业误导的对象。我们建议大家使用杀毒软件时要慎重选择，国内还有很多杀毒软件是非常不错的！”　　

点击下载灰鸽子服务端卸载程序 1.0

灰鸽子木马挑战网络安全更挑战法律规范

作者：王晓雁　来源：赛迪网技术社区　

短短一个星期的时间，来自互联网的一个消息又让许多网民都绷紧了神经：据说有一种叫做“灰鸽子”的木马正在大规模爆发，它能偷偷潜入网民电脑，监视网民的一举一动并偷窃个人信息，危害性甚至高出“熊猫烧香”的十倍……

在网络安全方面，可能再也没有比电脑病毒更吸引网民的关注了，“熊猫烧香”的余威犹在，如今又出了个有过之而无不及的“灰鸽子”，一时间风声鹤唳，草木皆兵。

远程管理工具为何沦为木马

“灰鸽子”为何会有如此的“威力”？

其实，“灰鸽子”原本是一种远程管理的工具，可以帮助用户在办公室用摄像头监测房间的安全，有的还用于远程电脑查毒，但后来逐渐被一些人当作了发财致富的捷径。由于属于后门程序，黑客可以通过被灰鸽子控制的电脑，随意地上传下载、删除修改用户电脑中的文件，盗取用户网络游戏账号及银行密码。基于此，“灰鸽子”曾连续三年被国内杀毒软件厂商列入“年度十大病毒”之一，成为了IT界赫赫有名的“毒王”。

江民反病毒专家告诉记者，目前80%以上木马后门病毒都具备远程监控、盗号等功能，“灰鸽子”只是其中的一种，而且其本身并不具备传播性。“其实如今的蔓延趋势，很大程度上是由于在网上能很容易地得到‘灰鸽子’工具，例如在百度‘贴吧’中，随处可见相关的技术交流群，甚至公开教授如何利用‘灰鸽子’来躲避杀毒软件的技巧等；再加上‘灰鸽子’属于一款入门级别的黑客程序，对于那些技术实力不强的黑客新手来说，使用起来会更容易。”

专家认为：百度等服务平台助长蔓延态势

“很明显，在‘灰鸽子’侵害网民知情权、窃取个人信息等行为中，百度等服务平台起到了推波助澜的作用。”北京邮电大学网络法律研究中心研究员刘德良在接受记者采访时指出，根据我国的《互联网信息服务管理办法》，互联网信息服务提供者如果发现其网站传输的信息，明显属于违法宪法所确定的基本原则或者教唆犯罪等内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。

“根据现在其‘贴吧’里，教人如何利用‘灰鸽子’窃取他人QQ号、账号等违法信息泛滥的势头看，百度以及其类似网站，显然都没能够很好地履行这个监管义务。”刘德良表示。

“应该修改刑法中计算机病毒的定义”

目前，对于“灰鸽子”这种远程监控木马，国内尚未有专门的法律规范。国家计算机病毒应急处理中心副主任张健表示，利用“灰鸽子”窃取他人信息，应该是一种违法行为，但是要从严格的法律角度进行判定的话，可能又很难按照现有的法律进行惩处，所以也是属于互联网高速发展产生的众多问题中，一个亟待破解的难题。

刘德良介绍，虽然在全国人大常委会2000年颁布的《关于维护互联网安全的决定》中，规定了非法截获他人数据资料、侵犯公民通信自由和通信秘密构成犯罪的，要依照刑法有关规定追究刑事责任，但无论刑法还是《计算机信息网络国际联网安全保护管理办法》等法律法规，只是对删除、修改、增加计算机信息系统中的数据和应用程序，破坏计算机系统正常运行的行为，即“病毒”进行了规定并制定了罚则。

“那么问题就来了：‘灰鸽子’等木马，并不破坏电脑设备和通信设施，只是当用户浏览某个网页的时候，悄悄潜入电脑里进而窃取个人信息，电脑系统还是正常进行，这种行为应该怎么界定？这就成了难题。”刘德良认为，虽然刑法第286条涉及了计算机病毒，然而计算机病毒不是法律概念，而是依据特定条件下形成的技术概念，未能揭示“病毒”的本质，就会出现没法适用刑法条文的局限。

“所以刑法关于计算机病毒的概念应该修改！”刘德良认为，准确的定义应该具备违反终端用户的意志、强行安装或者运行于终端用户的设备上、可能会对终端用户权益造成侵犯这三个特征。这样一来，不管是“灰鸽子”，还是日后出现的其他黑客程序或者流氓软件，在法律适用上就都迎刃而解了。

网友福音:恶意软件惩治办法　酝酿制订

《新京报》【转载】

全国政协委员、北京华昌利讯科技有限公司总经理何春潮向本报记者透露，两会期间，民建在IT领域的惟一提案是建议制订“恶意软件惩治办法”。他表示，目前提案已被受理，预计最晚半年之内会有结果出来。

　　目前，我国恶意软件的种类超过130种，国内90%以上的网民受到过恶意软件的困扰。针对这种现象，政协委员何春潮在上周举行的全国两会上提案，呼吁效仿2006年3月颁布的《互联网电子邮件服务管理办法》，尽快由信息产业部与公安部联合出台“恶意软件惩治办法”。

　　何春潮建议，这份《惩治办法》应该采纳中国互联网协会制定的恶意软件定义，由中国互联网协会与中国软件协会等其他相关行业组织联合组建“中国恶意软件应急处理中心”，协助监管部门打击恶意软件。

　　不过，对于立法抵制恶意软件，奇虎公司董事长周鸿祎表示并不看好。昨天，在接受本报记者采访时，周鸿祎表示，今后奇虎不再给某某厂商冠以恶意软件称号，只提供卸载恶意软件的工具，让网民自己去决定是否卸载。

详解ArmyMovement.A和Spamtaload.DO

作者：杜莉　来源：赛迪网

Spamtaload.DO木马通过以“错误”，“日安”，“你好”等主题为开头的电子邮件来传播。这些邮件的正文各有不同，通常包含来自发送者的一条错误报告。而木马本身则隐藏在以各种名称命名的可执行附件中。

一旦用户运行了那被感染的文件，该木马会显示一条错误提示。另一种可能的情况是，它会在文本文档中显示一段文本信息。这种恶意代码会往被感染的计算机上下载Spamta.TQ蠕虫病毒，并且向被感染系统中的所有电子邮件地址发送这种Spamtaload.DO木马。

ArmyMovement.A是本周出现的第二个木马了。它通过电子邮件或者下载文件来进入计算机，并将自己复制到该计算机中。这种木马能够窃取用户存储在Outlook中的电子邮件地址，它会向这些邮件地址发送假消息，消息称土耳其政府将扩充军队并将军饷提高50%。邮件的主题和正文都是用土耳其语写的。

ArmyMovement.A会给被感染的计算机造成一系列的影响。例如，它会修改boot文件，发出消息催促用户格式化硬盘。它还会修改ntldr文件，从而阻止系统重启。此外，该恶意代码还能够改写一些特定扩展名的文件（.jpg,.xls,.doc,.zip等等），从而造成数据丢失。

Lozyt.A木马通过电子邮件或者文件下载来潜入计算机。一旦用户运行了该木马，它就会连接远程服务器并下载一个可执行文件，该文件能将Errorsafe广告软件安装到计算机上。

Lozyt.A也能关闭一些进程，包括某些安全措施，以便使用户更难察觉该木马的存在。

Muhi.A蠕虫是报导中的第三个恶意代码。它将自己复制到所有的系统存储器中，包括外设（USB记忆棒，等等）。该蠕虫会删除它所在的存储器中的内容。

Muhi.A还能通过共享文件夹来传播，使用例如“I_LOVE_YOU.exe”, “download.exe”或者“window shopper.exe”等名字。该蠕虫以文本文档的图标形式示人以期掩人耳目。

该蠕虫能中止一些安全进程，它还能够修改注册表，以便阻止系统发出错误提示。Muhi.A还能修改IE的默认启动页面。

小心带有恶意代码的博客评论和网络邮件

作者：杜莉　来源：赛迪网　

Secure Computing警告人们说，博客，留言板以及网络邮件现在正在受到一种邀请人们观看“有趣的”视频的垃圾信息的侵扰。

Secure Computing发现了某个网站含有Storm蠕虫的变种。该蠕虫会向用户计算机中安装组件，通过分层服务提供者（LSP）联盟来分析所有的网络传输，并且动态地修改博客的评论，留言板以及网络邮件，在其中加入带有恶意代码的链接，以达到继续散布的目的。

“这表明了那些通过博客，留言板以及网络邮件传播的恶意软件的新趋势，”Secure Computing的首席研究家Dmitri Alperovitch说，“由于杀毒软件不一定能检测到这种威胁，因此它显得格外隐蔽。该威胁运用服务器多态性，也就是说它会不断地重新配置，以便蒙骗那些基于认证的杀毒方案。”由于它会不断地更改可执行文件，它可以很容易地避开大部分的基于认证技术的那些最先进的杀毒程序。

Tag：灰鸽子专杀口水战金山毒霸木马网络安全

chapi 发表于21时55分07秒 | 阅读全文 | 评论 0 | 引用1 | 编辑 | 分享
2007年03月17日

威金Viking(logo1_ rundl132)变种清除史上最完美攻略-专杀整合! - [安全资讯]

Viking变种清除史上最完美攻略(转)

熊猫疯狂的时候..威金就已经被淡化..现在又出来了..

又一大祸害..据说台湾也很盛行..

以前一直在更新农夫的威金专杀..现在再次更新起来..

以下提供的专杀..使用如果出现问题我不负责(排除官方专杀) 农夫的威金专杀..如果有问题完全可以找我..

注:

农夫专杀的病毒库需要更新..如果不是收录在病毒库内的威金无法查杀..如果有农夫专杀无法查杀的威金. 请压缩样本(C:\WINDOWS\logo1_.exe 或者 C:\WINDOWS\uninstall\rundl132.exe) 发送 bin59420@yahoo.com.cn (压缩时候最好带上个密码防止邮箱查杀) 中午到晚上接到几个加几个..保证速度ing..

⒈ 萧心论坛威金专杀作者:农夫

下载地址:http://www.mopery.ch/mopery/viking.rar

⒉ CHENOE Anit-Virus Tools 作者:魏滔序

下载地址:http://www.mopery.ch/mopery/weitaoxu.rar

⒊ 威金熊猫病毒终结器作者:wangsea

下载地址:http://www.mopery.ch/mopery/wangsea.rar

瑞星威金专杀

http://it.rising.com.cn/Channels ... 3119832d22607.shtml

毒霸威金专杀

http://tool.duba.net/zhuansha/246.shtml

如果不是威金病毒..请不要使用这些专杀..出问题再次不负责..

经过了两天的日夜奋战，今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助，但没有正确答案。所以在这里我把总结出的经验分享一下。

以下是我前两天的遭遇：

一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径，有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件，我心里又想，这些小毛毒又来了，（我的系统装于04年，一直使用至今，中过无数次病毒，都被我统统搞定了，心想这次又来一个杀一个，来两个杀一双吧）。我用的双系统，重启进win98的dos手动删除以上路径的文件，再进winxp，删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目，还伪装得很好的。描述还和正常服务一个模样，什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系，就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删！

重启，观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了，有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊）急忙用刚才的方法反复查杀多次，但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied（拒绝访问）时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统，我想，PE内核都不一样，我看你还咱办。于是在PE里边删除病毒文件，果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件，结果，又中标了。。。我开始总结：应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录，发现被感染的exe文件下有exe.exe扩展名的文件，比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失（不是网上说的那种在同目录下生成_desktop.ini文件，那是老版维金。我这个也有_desktop.ini，不过在c:\下，而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件，再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了，病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序，一启动包又中标，于是我安卡巴。安了6。0307，升级最新，安全模式下扫，正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了，中英文都安过了，，扫不出。。。。。。。。。怒火！！！！（网上明明说卡巴扫得到的，我想都是针对旧版维金吧）于是再来卖咖啡(mcafee)，在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒！！！！再于是找到金山、瑞星的专杀工具来，也是一个扫不到。。。狂怒！！！！。。我看了一下win98se\setup.exe的文件大小，和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ，证明感染的是都是vking！！。。。江民的专杀工具能杀，不过还好我点停止点得快。。。因为我看了一下，它的所谓杀大多数都是删除！！！删除了我好几个exe文件呢。就算保留，保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快！！

这下完了。绝望。这么多exe文件，打死我也不愿意格盘删'除。

在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定：

我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了

就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存，再结束相应进程

说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll （有些维金版本不是这个dll名字，变种有不同。路径也不同。但原理相同）再在C:\windows\unistall下建立 RUNDL132.exe ，设只读

找出所有exe文件，网上说过只感染27Kb到10mb的exe文件，可我的10多20mb的文件也中标了，再次证明不是网上说的那种viking。。。开始一一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪，就这样。它们为爱歌唱。。。狼爱上。。。。啪！！完了跑题挨臭鸡蛋了。

*.*

不是。。我只是形容一下上千个文件一一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。

。。。。。。。。大功告成。。。至此。全部viking一个不留

已经很久没有这样fighting过了

经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案：

viking"维金"病毒变种

应该算一个木马。互联网高度发展的产物

首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件，我的是richdll.dll，还有网上说的dll.dll vtd.dll什么五花八门的，反正就是dll文件,并加载入系统进程。删除不掉.

这些文件相互关联，结束进程并删除后马上又会出现。

自动禁用杀毒防火墙，并且感染防火墙文件

然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.

释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com

msconfig.com mhs.exe等文件,并修改注册表exe文件，网站链接，scr文件，未知（打开方式）文件，等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型，从而让每个exe文件运行时同时调用病毒，这招太狠了；更改文件查找检索方式关联为finder.com ；把原本用rundll32.exe文件调用的程序，如网上邻居属性，通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值，这些只是较明显的。

检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。

最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据，文件图标丢失，目的在于被清除病毒后通过exe文件复活，当调用该句柄时自我释放为logon_1.exe rundl132.exe

并且恢复exe文件以便让它正常运行。。。

同时会自动从网上下载多达几十种其它类型的病毒，QQ盗号木马，热门网络游戏木马。至此，taskmgr任务管理器一团糟。。

因为木马众多会影响清除效率及难度，内存占用超大，危险系数也大。这点不得不佩服。。

如果你的系统有以上状况，那么请follow they step:

首先你断开internet网,删除杀毒软件。因为它已被病毒感染，它在内存里只是添麻烦而已

重新安装杀毒软件，比较可以的有卡巴斯基、mcafee、江民，推荐用卡巴，安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了

冷启动或关机，拨电源也可，待光电鼠标灯不亮了再开机（呵呵太夸张了)

进入带网络连接的安全模式，（如果不能上网就还是进正常模式），用文件夹选项里面打开显示所有文件；取消隐藏系统文件复选框，选中显示已知文件扩展名；下载viking专杀工具，这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表，如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式，只运行系统盘扫描。扫到的病毒名及路径用笔记下来。

冷启动。。光盘或U盘启动dos，查找刚才记下来那些文件，有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦，最主要要找到并删除上文说到的那些文件，这里很关键，一定要仔细找。

进入安全模式，运行regedit.exe （记住一定要输入.exe，因为如果没删干净，exe文件会被再度被作为winfile文件类型中的病毒命令行打开。）

按ctrl+f查找以上述文件的文件名的键值删除。

进入正常模式，这时可能因为杀毒引起不能上网了，用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留（切记不要启动宽带拨号程序，因为Enternet500这类拨号程序己被感染，如果是xp下的默认拨号，也最好不要去动）

接下来进程应该干净了，就要处理被感染的exe文件了，如果你不想要这些文件可以选择直接用专查工具把它们杀烂，或查找直接删除，还省了下边的步骤。因为以下步骤最安全但容易累死人

仿制logon_1.exe rundl132.exe richdll.dll

新建文本文档.txt，建三个，分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫，防止染毒exe文件释放出同名病毒文件。

也可使用gpedit.msc，组策略中用户配置\管理模板\系统\不要运行windows程序中，启用并添加logon_1.exe

rundl132.exe

也可使用mcafee杀毒软件中的文件规则，禁止在硬盘中新建*.exe *.com 文件

后两种限制方法我没试过，但理论上说是成立的

接下来按顺序分别查找每个盘上的exe文件。按大小排列结果，降序排列。旁边打开个任务管理器窗口，记下任务条目及数量。如进程数：22

双击空白图标exe文件，注意任务管理器变化。例：如果双击game.exe则，已染毒现象：任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe，如果是基于16位兼容模式的程序，会出现一个ntvdm的进程，不影响，可结束。稍后你可能会发现net 和 net1 进程一闪而过，持续不到1秒，而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标，或能正常运行，证明该文件不再带毒。第二种情况：game.exe一会自动消失

或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染

一个一个分区，一个一个文件的测试。修复。当然，你要是烦了，可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓

辛苦工作完成后，也不必要重启，打开江民专杀来清理漏网之鱼吧。

查毒软推荐使用Mcafee（卖咖啡），查毒功能较强，且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立，写入，修改，甚至读取！！，这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件！强吧？？

缺点就是占用内存资源太高，优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。

写了这么多，我尽量想到的都想到了。我曾如此辛苦，故不希望大家都绕弯路。但愿对大家有所帮助。

最后发表我的一点看法，杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒，清一色杀毒扫描的做法。其实，很多时候甚至是心理安慰，障眼法。。我是从dos时代一路走来的，中过多种病毒。看到老师们用pctools及debug手动杀过不少毒，总结出：手动才是王道！！手动万岁。。

在E时代，我们要发扬取长补短的做法，把杀软的效率化，全面化，结合人工的仔细，灵活。这样才能尽心尽力像对待生活那样对待电脑

Tag：威金 Viking logo1_ 变种攻略专杀杀毒

chapi 发表于13时52分18秒 | 阅读全文 | 评论 0 | 编辑 | 分享