|
(Vegeta)
早上来到了宿舍,打开QQ,看看留言,不想被ht,tp://www.88music.com这个网站骚扰,朋友在睡眼朦胧中呓语——中毒了,你先杀毒吧!本想好好学习,天天向上的。哎……
症状——偶尔在QQ里给好友发送信息时出现类似下面的话:让你访问ht,tp://www.88music.com。朋友就是访问了这个网站而染上恶意程序的。而且主页被修改为:ht,tp://www.88music.com。
发这个帖子的目的是给大家一种对付此类恶意网站的办法(当然,最好的方法就是不去访问,但访问前谁也不会知道要中招,呵……),给大家一种解决问题的思路。抛砖引玉吧。
一定要注意我下面操作的顺序。
既然ht,tp://www.88music.com是关键,那就要从它入手。
一:解决IE启始页问题。首先在IE的属性里把开始页面设置成为空。还好,这个恶意程序并没有锁注册表和把IE中的修改启始页的按钮属性修改掉。很简单。
然后要用最简单的方法在注册表里找到ht,tp://www.88music.com。只要在注册表里以此作为查找目标即可。你会发现有两处。不要客气,删之!他们分别藏在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page
分别对应的是——本地用户和所有用户。
然后你就会发现启始页的问题已经解决,但重新启动计算机后又变了回来,这是什么原因呢?见下文。
二:QQ中自动发送信息是驻留程序捣的鬼。想必也和自动修改IE启始页有关。既然有驻留程序,那么它就会修改OS使OS一启动就开始运行。这是类似破坏程序的共同点!
我先讲一下WIN32下的自启动。(!高手略过!)[开始]中的[启动]想必大家都知道,这里就不提了。而注册表中的"Software\Microsoft\Windows\CurrentVersion\Run"下是可以实现OS启动时自动加载目的的。当然,不仅仅是这一个项。本例和大都此类软件一样也不例外。隐藏在了上面的地方。它的自启动是靠:"QQ"="C:\\WINDOWS\\sendmess.exe "这句起的作用。将其删除后,重新启动计算机,发现恶意程序又把它添上了。(实际是启动前就又改了回去。)和修改启始页后的症状一样。原来是忘了删除C:\\WINDOWS\\sendmess.exe这个文件,找到这个程序后,却发现删不了它,说是正在运行,没关系。我们可以在DOS下删除它。然后进入WINDOWS,分别修改IE启始页和注册表的自启动项(后者不改也无妨)。这样就OK了。
总结——
C:\\WINDOWS\\sendmess.exe这个程序不删,它会自动修改OS自启动项和IE的启始页。使OS每次启动都要运行它,并且每次上网都要访问它的主页。这时,即使你把sendmess.exe删了,它也会因为访问了那个网站而把恶意程序自动下载到你的计算机中,这样就又被其所控制住了。所以——修改启始页和删除sendmess.exe同等重要!
希望大家能看懂小弟的拙文,只是把今天所遭遇的问题及其解决方法写了出来。考试在即,时间匆忙,恐有错误,还请见谅。谢谢!!!
详细分析sendmess.exe稍后,吃饭去。
————————————————————
【跟贴】续——征服:ht,tp://nicex.4y.cn
(Vegeta)
花了我近1个小时。这次比较麻烦。简单写吧,我还要去上自习——
打开注册表发现——
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="abchelp.exe"
很可疑。
用Pview95查看OS进程:发现——Abchelp.exe进程。
用FI查看是UPX1.20压缩,绝对可疑!脱壳,反汇编,分析如下:
进入DOS,删除——c:\windows\system\abchelp.exe、c:\windows\system\DirectX.exe、c:\windows\system\WINhelp32.exe.
在WIN.INI和SYSTEM.INI里删除上面红色画线区域共两处。
删除——
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="abchelp.exe"中的"abchelp.exe"
另:c:\windows\system\IEXPLORE .EXE很可疑,可能也是破坏程序,但反汇编分析中没有发现别SERVER程序调用。大家可以继续分析。
匆忙,闪喽!
|
