☆ 病毒特征及感染:
病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以<文件名>.jpg.exe的形式发送。
病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在注册表中添加标志信息:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE/SOFTWARE/rising/Rav
病毒自身复制到系统目录下,文件名为wmimgr.exe。
病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe
%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
注:当系统文件被修改时,系统会出现这样的对话框。
病毒释放DHelp.dll到以下目录:
%Windows%/
%System%/
%System%/wbem/
QQ目录,如%ProgramFiles%/Tencent/QQGame/
释放QQDHelp.dll到%ProgramFiles%/Tencent/目录。
添加自启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%/Local Settings/Temp/
~!KqVo4c.exe
~H32Jvk.jpg
复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。
建立自启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"
=============================================================================>>>
☆ 病毒的清理方法:
首先,把病毒的进程结束掉:
%System%/wmimgr.exe
%System%/comime.exe
然后搜索并删除病毒文件:
%System%/wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%/Local Settings/Temp/~!KqVo4c.exe
%System%/comime.exe
%System%/msinthk.dll
接下来到注册表编辑器删除病毒建立的启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。
病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%/dllcache/下的文件,所以我们先要恢复%System%/dllcache/下的系统文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。
如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:
expand explorer.ex_ explorer.exe
得到正常的源文件后,依次进行覆盖操作。
先覆盖:
%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe
然后再覆盖或删除:
%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe
对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。