论文部分内容阅读
system.exe病毒本身没有多少破坏性,也不难对付。
可是,这个病毒会从网上下载大量的木马程序,并激活那些木马。
以下网址就是system.exe病毒下载木马的地方:
http:\\222.hfdy1515.net (为了避免误操作,我改成反斜杠了)
http:\\xiazai.cpushpop.com
一个被system.exe病毒感染的系统里面通常都有30多个不同类型的木马。
木马和病毒主要分布在system32目录或drivers目录下,比如:
beep.sys(位于drivers目录,3kb大小,system病毒通过网页传播时,beep首先进入这个目录,重启系统后,伪装成系统驱动启动,然后下载system.exe和其他病毒,估计是病毒的网络先锋官。不是通过网页形式传播时,不一定有这个文件)
HBKernel32.sys(system.exe病毒的病根,每次都位于drivers目录,15kb大小;还要当心HBService32.sys,这两个总有一个进驻drivers目录)
以下是木马成员名单(阵容庞大,这里的名单不完整):
HBmhly.dll、 hcpbimfs.dll、 ringtte.dll、ringttek.exe、HBWOW.dll、HBXY2.dll、HBCH
IBI.dll、HBTL.dll、rlrzyxdb.dll、vvtmqywm.dll、yfnrbzow.dll、HBDNF.dll、eskcmars.dll、HBQ
QSG.dll、HBSOUL.dll、opaaicuy.dll、racfsdnj.dll、wllame.dll、ynzydwym.dll、ynzydwym.nls、 bxtdwxqx.dll、 bxtdwxqx.tmp、 ezvjhyji.dll、ikpwzzts.dll、johandy.dll、oxmhcaeo.dll、wrm32.dll、 HBFY.dll、 kildh3l.dll、 yucfyuhu.dll、 fpyxjwsx.dll、 gdipro.dll、 kandofn.dll、4c70249.sys、 D91BC61E.dll、 HBSO2.dll、HBQQFFO.dll、 3474A8C2.dll、wtsapi32yt2.dll、sslsocket.dll
在程序组Program Files\Common Files目录下还隐藏有木马,比如:
cpush.dll
Documents and Settings \ All Users \ Application Data\Microsoft\OFFICE\USERDATA目录下也有木马,比如:
webbrowser_2198.dll(就是一个被捆绑了木马的浏览器,也可能位于temp目录里面,就是不打开浏览器,这个简易浏览器也会通过80端口自动下载木马,也可能取名为urlm0n.dll)
Office程序目录里面也有木马,比如:
sysbar.exe(不要小瞧它,如果忽略了它,它会让其他病毒重返你的系统!)
temp目录有很多木马,system.exe从网上下载的病毒先放在temp目录里面,激活进入系统后,一般会自动删除源病毒文件。
有些变种病毒还会结合autorun.inf,复制病毒到每个磁盘分区根目录下。还有的病毒会藏在System Volume Information目录里面。
中毒后,几乎所有的杀毒工具都不能启动,安全模式被破坏。要手动清除这么多的顽固病毒,是一件很麻烦的事情。只要有一两个病毒没有被清除,其他病毒都会卷土重来,这时我们要对付的,几乎就是一个木马军团!
这两天,经过很多次试验,我终于找到一些容易操作的比较简便的方法来对付这种病毒。
需要用到一些工具,比如PE光盘(或安装TonPE系统工具箱到硬盘里面)、AutoGuarder.exe、360安全卫士(应该还有其他工具可用,没有一一试验,除了PE工具,我自己很少用其他工具)。
步骤:
先用AutoGuarder.exe工具修复系统的安全模式(如果不能启动,就改名字);
开机后按F8键,以安全模式启动系统;(最好用带网络连接的安全模式,以便升级病毒库)
启动到安全模式后,用360安全卫士扫描并清除木马(可能要改名才能启动,我把360Safe.exe改名为3360Safe.exe,就可以启动了,就是前面加一个3);
打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
CurrentVersion\Image File Execution Options,删除这个键项。搜索注册表,删除system.exe的所有键项,一般有两处。对注册表不熟悉时,也可以用AutoGuarder.exe所带的IFEO映像修复功能修复。
如果以上步骤无法实施,那么,只能用PE光盘或TonPE工具启动系统到PE界面,手动清除以上病毒,注意清除病毒前先用压缩软件备份,或者复制到其他目录里面,以防误删除系统文件。
做完这些事,系统基本上恢复正常了。但是病毒仍然有可能卷土重来,最好启用NTFS权限,把Program Files\Common Files目录的权限设置为禁止写入;drivers目录也可以启用NTFS权限,设置为所有账户禁止写入。
我自己试验了一下,把Program Files程序目录下的Common Files子目录设置为禁止写入、禁止运行后,再激活system.exe病毒,尽管system.exe自动把其他木马病毒程序下载到了C:\Documents and Settings\Administrator\ Local Settings \ Temporary Internet Files目录里面,并开始进入C:\ Documents and Settings \ Administrator \ Local Settings\Temp目录下准备安装(激活),可是,到了temp目录里面以后,就再也没有任何进展,重启几次,等老半天也没有动静。
我怀疑,程序组目录里面的Common Files目录是病毒从temp目录入侵系统system32目录和drivers目录的跳板之一。一旦进入系统目录,重启后,就会自动提升为系统进程,对付起来就没那么简单了,因为超级管理员账户的权限也没有system账户权限大。
由于system病毒从网上下载的木马病毒不是固定的,而且其中很多木马都很顽固,因此别指望用一个工具就把他们全部搞定。需要有点耐心,杀毒工具清除不了就在PE界面手工删除病毒,可以多用几个工具试试。以上所提的方法已经很大程度上降低难度了,也许有更加简单的方法,比如一键还原,能使系统暂时恢复正常。
后记:
据说,这个病毒就是最近两三个月开始流行的“蝗虫军团”木马群病毒。
可是,这个病毒会从网上下载大量的木马程序,并激活那些木马。
以下网址就是system.exe病毒下载木马的地方:
http:\\222.hfdy1515.net (为了避免误操作,我改成反斜杠了)
http:\\xiazai.cpushpop.com
一个被system.exe病毒感染的系统里面通常都有30多个不同类型的木马。
木马和病毒主要分布在system32目录或drivers目录下,比如:
beep.sys(位于drivers目录,3kb大小,system病毒通过网页传播时,beep首先进入这个目录,重启系统后,伪装成系统驱动启动,然后下载system.exe和其他病毒,估计是病毒的网络先锋官。不是通过网页形式传播时,不一定有这个文件)
HBKernel32.sys(system.exe病毒的病根,每次都位于drivers目录,15kb大小;还要当心HBService32.sys,这两个总有一个进驻drivers目录)
以下是木马成员名单(阵容庞大,这里的名单不完整):
HBmhly.dll、 hcpbimfs.dll、 ringtte.dll、ringttek.exe、HBWOW.dll、HBXY2.dll、HBCH
IBI.dll、HBTL.dll、rlrzyxdb.dll、vvtmqywm.dll、yfnrbzow.dll、HBDNF.dll、eskcmars.dll、HBQ
QSG.dll、HBSOUL.dll、opaaicuy.dll、racfsdnj.dll、wllame.dll、ynzydwym.dll、ynzydwym.nls、 bxtdwxqx.dll、 bxtdwxqx.tmp、 ezvjhyji.dll、ikpwzzts.dll、johandy.dll、oxmhcaeo.dll、wrm32.dll、 HBFY.dll、 kildh3l.dll、 yucfyuhu.dll、 fpyxjwsx.dll、 gdipro.dll、 kandofn.dll、4c70249.sys、 D91BC61E.dll、 HBSO2.dll、HBQQFFO.dll、 3474A8C2.dll、wtsapi32yt2.dll、sslsocket.dll
在程序组Program Files\Common Files目录下还隐藏有木马,比如:
cpush.dll
Documents and Settings \ All Users \ Application Data\Microsoft\OFFICE\USERDATA目录下也有木马,比如:
webbrowser_2198.dll(就是一个被捆绑了木马的浏览器,也可能位于temp目录里面,就是不打开浏览器,这个简易浏览器也会通过80端口自动下载木马,也可能取名为urlm0n.dll)
Office程序目录里面也有木马,比如:
sysbar.exe(不要小瞧它,如果忽略了它,它会让其他病毒重返你的系统!)
temp目录有很多木马,system.exe从网上下载的病毒先放在temp目录里面,激活进入系统后,一般会自动删除源病毒文件。
有些变种病毒还会结合autorun.inf,复制病毒到每个磁盘分区根目录下。还有的病毒会藏在System Volume Information目录里面。
中毒后,几乎所有的杀毒工具都不能启动,安全模式被破坏。要手动清除这么多的顽固病毒,是一件很麻烦的事情。只要有一两个病毒没有被清除,其他病毒都会卷土重来,这时我们要对付的,几乎就是一个木马军团!
这两天,经过很多次试验,我终于找到一些容易操作的比较简便的方法来对付这种病毒。
需要用到一些工具,比如PE光盘(或安装TonPE系统工具箱到硬盘里面)、AutoGuarder.exe、360安全卫士(应该还有其他工具可用,没有一一试验,除了PE工具,我自己很少用其他工具)。
步骤:
先用AutoGuarder.exe工具修复系统的安全模式(如果不能启动,就改名字);
开机后按F8键,以安全模式启动系统;(最好用带网络连接的安全模式,以便升级病毒库)
启动到安全模式后,用360安全卫士扫描并清除木马(可能要改名才能启动,我把360Safe.exe改名为3360Safe.exe,就可以启动了,就是前面加一个3);
打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
CurrentVersion\Image File Execution Options,删除这个键项。搜索注册表,删除system.exe的所有键项,一般有两处。对注册表不熟悉时,也可以用AutoGuarder.exe所带的IFEO映像修复功能修复。
如果以上步骤无法实施,那么,只能用PE光盘或TonPE工具启动系统到PE界面,手动清除以上病毒,注意清除病毒前先用压缩软件备份,或者复制到其他目录里面,以防误删除系统文件。
做完这些事,系统基本上恢复正常了。但是病毒仍然有可能卷土重来,最好启用NTFS权限,把Program Files\Common Files目录的权限设置为禁止写入;drivers目录也可以启用NTFS权限,设置为所有账户禁止写入。
我自己试验了一下,把Program Files程序目录下的Common Files子目录设置为禁止写入、禁止运行后,再激活system.exe病毒,尽管system.exe自动把其他木马病毒程序下载到了C:\Documents and Settings\Administrator\ Local Settings \ Temporary Internet Files目录里面,并开始进入C:\ Documents and Settings \ Administrator \ Local Settings\Temp目录下准备安装(激活),可是,到了temp目录里面以后,就再也没有任何进展,重启几次,等老半天也没有动静。
我怀疑,程序组目录里面的Common Files目录是病毒从temp目录入侵系统system32目录和drivers目录的跳板之一。一旦进入系统目录,重启后,就会自动提升为系统进程,对付起来就没那么简单了,因为超级管理员账户的权限也没有system账户权限大。
由于system病毒从网上下载的木马病毒不是固定的,而且其中很多木马都很顽固,因此别指望用一个工具就把他们全部搞定。需要有点耐心,杀毒工具清除不了就在PE界面手工删除病毒,可以多用几个工具试试。以上所提的方法已经很大程度上降低难度了,也许有更加简单的方法,比如一键还原,能使系统暂时恢复正常。
后记:
据说,这个病毒就是最近两三个月开始流行的“蝗虫军团”木马群病毒。