☆ 病毒特徵及感染:
病毒通過QQ發送文件的方式傳播,發送的文件名極具誘惑,以<文件名>.jpg.exe的形式發送。
病毒需要接收並運行後纔會感染系統,運行後會顯示一個錯誤對話框。
病毒在註冊表中添加一下信息,禁止用戶打開“任務管理器”和“註冊表編輯器”:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在註冊表中添加標誌信息:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox
還會查找瑞星和QQ的信息,據說發現瑞星會刪除瑞星的文件:
HKEY_LOCAL_MACHINE/SOFTWARE/rising/Rav
病毒自身複製到系統目錄下,文件名爲wmimgr.exe。
病毒還會修改一些系統程序文件和QQ程序文件,在文件中加上“TopFox”標誌和好像是調用病毒文件DHelp.dll的信息,會被修改的系統文件有:
%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe
%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe
還有一些QQ程序也會被修改,比如QQGame.exe等。
注:當系統文件被修改時,系統會出現這樣的對話框。
病毒釋放DHelp.dll到以下目錄:
%Windows%/
%System%/
%System%/wbem/
QQ目錄,如%ProgramFiles%/Tencent/QQGame/
釋放QQDHelp.dll到%ProgramFiles%/Tencent/目錄。
添加自啓動項:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒還會從網站上下載另一個盜密碼的病毒程序到系統中:
%USERPROFILE%/Local Settings/Temp/
~!KqVo4c.exe
~H32Jvk.jpg
複製自身到系統目錄,文件名爲comime.exe,釋放msinthk.dll。
建立自啓動項:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"
=============================================================================>>>
☆ 病毒的清理方法:
首先,把病毒的進程結束掉:
%System%/wmimgr.exe
%System%/comime.exe
然後搜索並刪除病毒文件:
%System%/wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%/Local Settings/Temp/~!KqVo4c.exe
%System%/comime.exe
%System%/msinthk.dll
接下來到註冊表編輯器刪除病毒建立的啓動項:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox,這個位置應該是病毒建立的“標誌”,該位置如果存在,貌似病毒運行後不會進行過多的“動作”,且會自動退出進程。
故可以不刪除。
病毒處理掉以後我們再恢復被病毒修改過的三個系統文件explorer.exe、notepad.exe和iexplore.exe。由於病毒同時也修改了%System%/dllcache/下的文件,所以我們先要恢復%System%/dllcache/下的系統文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我們可以從系統安裝源裏找到,比如安裝光盤或ServicePack保存的目錄,也可以從其它相同操作系統(相同SP)中複製過來。
如果是從安裝盤I386目錄下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通過expand命令可以解壓縮它們,命令類似:
expand explorer.ex_ explorer.exe
得到正常的源文件後,依次進行覆蓋操作。
先覆蓋:
%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe
然後再覆蓋或刪除:
%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe
對於被修改的QQ文件,方便的話重裝覆蓋一下QQ即可。