QQ木马病毒解决方法教程
电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。前几天,同学在QQ上收到一个人传来的文件(见图1),十分欣喜地打开,结果什么都没有,然后就发现自己也在不停地给人传文件,于是找我帮忙清除。其查杀过程一波三折,现成此文,以供大家参阅。
案例分析
1.轻松搞定伪装品
先删除了他接收到的文件,然后用进程查看软件TroyanFindInfo(下载地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系统中所有进程。很快发现了一个很奇怪的进程(见图2),虽然名称是RUNDLL32.EXE,但其他的诸如版本、产品名、说明都和微软的RUNDLL32.EXE不同。
另外,该文件保存在System目录下,而同学的系统是Windows 2000,系统自带的RUNDLL32.EXE应该保存在System32的文件夹中。基于以上的判断,初步断定该进程为木马进程,于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目,找到和刚才删除的RUNDLL32.EXE有关的键值即可。
小提示
★进程查看软件很多,比如以前介绍过的IceSword,本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo,因为它比较小巧,信息也比较全面,实用。当你自己不能判断出进程文件时,还可以点击“Save”(保存)按钮,保存好LOG文件,然后传给高手,让他帮忙分析。
★以前大多数QQ病毒都是通过发送病毒网站地址来传播的,现在也有不少通过QQ直接发送病毒文件,比如,使用图片图标的EXE文件,大家在接收来自好友或陌生人的消息及文件时一定要提高警惕,最好先询问一下对方是否发过该信息或文件,以免无畏中招。
★开机自启动在注册表里的具体位置可以参见本刊2005年第1期的《中毒后遗症,妙手来清除》。
2.清除病毒的“幕后黑手”
本来以为是一个Easy Case,可刚回到家,同学就打来电话说好像木马没清除干净。过去一看,果然又出现了原来的状况。按照刚才介绍的方法先行处理过后,再回想一下整个操作,推断出可能木马把自己的分身隐藏到了系统的某个角落。
于是打开“我的电脑”,在菜单栏上点击“工具→文件夹选项”,在弹出的“查看”选项卡里将“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”两项的勾选去除,再选中“隐藏文件和文件夹”里的“显示所有文件和文件夹”(见图3)。
进入系统目录里,仔细看了一下WINNT、System、System32的目录,果然不出所料,发现了“?.exe”和“notepad?.exe”两个特殊的文件,根据刚才查杀System目录下RUNDLL32.EXE的经验,这些文件既不是系统自带的程序,文件的属性又和刚才删除的RUNDLL32.EXE属性类似,可以推断出这些文件就是木马文件,自然将其删除。最后,再去注册表,检查一下所有的启动项目。
小提示
★系统自带程序都有各自特定位置和图标,比如开始要删除的“RUNDLL32.EXE”,如果是系统自带程序,那在Windows 2000/XP中保存在系统目录里的System32文件夹里。
★类似于“ .exe”和“notepad?.exe”这类的木马文件的命名抓住了人们心理上的弱点,对相似东西会忽略掉。如果隐藏了扩展名,本例中的这两个文件粗粗看一眼就很容易忽略掉。还有一种就是用比较类似的字母或者数字来代替,达到混淆的目的,比如“I”(大写I)、“l”(小写L)、“1”(数字1)或者是“O”(字母O)“0”(数字0)就很容易拿来混淆。
3.最终善后
好事多磨,当我正暗自得意时,突然发现所有应用程序都无法使用,还弹出如图4所示提示,于是继续解决问题:到Window的系统目录里把“Regedit.exe”的扩展名改为COM,不理会警告再运行,即可打开“注册表编辑器”,然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]将“默认”键值改回“%1 %*”。再以“?”和“notepad?”为关键词进行搜索,结果又发现注册表的一处键值,即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad? %1”,修改回默认的“NOTEPAD.EXE %1”即可。
最后,为了保险起见,再用安装的杀毒软件对系统进行了全面的查毒,发现QQ目录中的“TIMPlatform.exe”也是木马,去QQ的目录里一看,发现还有一个文件“TIMP1atform.exe”,经过查看属性,查毒,确认它是被木马改名的原“TIMPlatform.exe”文件,改回后,一切正常。
相关阅读:2018网络安全事件:
一、英特尔处理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
二、GitHub 遭遇大规模 Memcached DDoS 攻击
2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
三、苹果 iOS iBoot源码泄露
2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。
四、韩国平昌冬季奥运会遭遇黑客攻击
2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。
五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪
2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。
Radiflow 公司称,此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备,之所以导致废水处理系统瘫痪,是因为这种恶意软件会严重降低 HMI 的运行速度。
QQ木马病毒解决方法教程相关文章:
