有一天宅男的电脑莫名奇妙弹出一个叫作博告网(http://www.bl**g**.com)的网站,更加恐怖的是每隔10分钟这个网页就会像幽灵一样再次弹出来,即使重启电脑还是如此,使用NOD32,360安全卫士等安全软件查杀也没有任何效果。侦探脑残接到报案,连夜奔赴现场侦查敌情,一场没有硝烟的战斗开始了。
　　
　　战前考察 找出凶手
　　
　　第一步: 找出幕后黑手(找到哪个进程启动了IE浏览器)
　　首先脑残打开进程管理利器Process Explorer(下载地址:http://work.newhua.com/cfan/200914/jcck.rar)观察进程之间的父子关系,很快就发现一个名为Wscript的进程跟IE进程有关系,是它启动了IE(见图1),双击Wscript.exe进程,弹出进程属性对话框,观察Command line(命令行),很快发现一个可疑的文件C:windowssystem32upgrade.sqm,脑残和受害者沟通以后发现这个文件并不是宅男自己安装的,根据经验操作系统很少会出现Wscript.exe進程,脑残认为这就是博客网广告事件的源头。 br>　　


　　第二步: 寻根问源
　　下面开始查找可以文件的踪迹,先看看注册表:打开注册表编辑器,按Ctrl+F调出查找窗口,输入upgrade.sqm开始查找。经过一段时间等待以后发现[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun](该键值可以设置程序开机启动)下名为Win32system的启动项包含有upgrade.sqm(见图2)。这个文件是做什么的呢?
　　


　　第三步: 原形毕露
　　为了查出upgrade.sqm,脑残决定用WinRAR来查看文件(大部分病毒会设置隐藏属性让我们在资源管理器中不能发现它们的踪迹),打开WinRAR以后按Ctrl+T显示文件列表,找到我们需要的文件upgrade.sqm,用“记事本”打开它,分析发现该病毒60.3690秒会弹一次广告,并不停地将自己安装到用户电脑,同时会检测是否存在闪盘等移动设备,并在闪盘建立一个名为FOUND.000文件夹并在里面释放一个file000000.chk,根目录建立autorun.inf使得可以通过双击U盘启动病毒体。
　　
　　指定计划一网打尽
　　
　　通过以上的分析以后,我们对这个病毒有了较为深刻的了解,基本清除思想就是结束wscript.exe进程,然后删除run键值下的Win32system的启动项,删除upgrade.sqm,检查U盘删除FOUND.000文件夹和autorun.inf文件。笔者在搜索工具的时候意外发现金山急救箱可以完美清除这个病毒,感染的用户不妨到labs.duba.net下载安装。
　　
　　专家点评:
　　虽然截至笔者完稿的时候已经有部分杀毒软件可以查杀这个病毒样本,但是笔者仍然认为绝大多数杀毒软件对脚本类型的病毒重视度不高。笔者臆断原因可能有两点:1.由于绝大多数病毒是可执行程序,导致杀毒软件厂商在设计查杀引擎的时候对可执行文件的识别算法考虑的比较多,并没有针对性地设计脚本查杀引擎,导致先天性处理脚本病毒就存在不足;2.脚本病毒的灵活性很强,加密变形技术比较成熟,病毒特征码在很短的时候内可能就失去了相应的作用。对于脚本类病毒笔者认为普通用户可以通过回溯的方法手工清除。基本思路是找到wscript.进程(VBS/VBE类脚本病毒的宿体),然后通过查找命令行的方式找到对应的文件,并通过文件找到启动项目。