現在木馬病毒的傳播方式越來越來隱蔽,讓不少使用者防不勝防。特別是針對某款網遊的盜號木馬,如果不加以控制,將給這款網遊帶來毀滅性災難。最近針對《征途》遊戲出了一款木馬,它的隱藏方式相當狡詐,非常難以發現。不過,對於這類劣跡斑斑的病毒,安全診所的裘文鋒醫生早已見怪不怪了。下面就幫史玉柱揪出這款針對《征途》遊戲的木馬。
步驟/方法
征途木馬檔案
Svhost32.exe征途木馬可以盜取《征途》的密碼、其他遊戲密碼、IM工具密碼等等。感染病毒之後,會生成Svhost32.exe、Rundl132.exe程序、msccrt.exe程序等,這些迷惑性程序並不是木馬的核心,真正的主謀其實躲藏在陰暗處。該木馬的殺手鐗應該是插入到Explorer.exe程序的DLL檔案。
Svhost32程序“出賣”征途木馬
今天安全診所迎來了一個就診者。從他咬牙切齒地敘述中,裘醫生了解到小王對該病毒深惡痛絕。這也不奇怪,病毒盜取了他的征途遊戲的密碼,讓他損失不小。盜取密碼的一般是木馬病毒,那麼到底是哪種木馬呢?從小王描述的病毒發作特徵中,裘醫生髮現病毒修改了IE的預設主頁。該木馬佔用了大量系統資源,使系統穩定性大大下降。在工作管理員的程序窗口出現了Svhost32.exe程序,疑似病毒程序,關閉之後重啟系統,仍然會出現。木馬佔用了網路頻寬向黑客傳送密碼資訊,而且把自己的執行緒插入了系統關鍵程序。另外獲取使用者的密碼資訊的方式也極其危險,極易導致系統崩潰。病毒還關閉了瑞星防毒監控。通過小王的敘述,裘醫生髮現這個系統的情況和中Svhost32.exe征途木馬後的情況對上了號,因此,當即就開始診治起來。
去除木馬病毒的偽裝
由於Svhost32.exe征途木馬有一些沒有破壞性的偽裝檔案,裘醫生決定先去除這些垃圾檔案。打開了IceSword,裘醫生很快便在其程序選項中發現了Svhost32.exe程序的檔案是“C:\Windows\Download\Svhost32.exe”。右鍵單擊該程序選擇“結束程序”命令即可,接著進入該目錄刪除該檔案。同樣的,Rundl132.exe程序的檔案是C:\windows\rundl132.exe,結束程序後也刪除該檔案。同樣的,發現msccrt.exe程序的檔案是C:\windows\msccrt.exe,結束程序後也刪除該檔案。由於這些程序都能自啟動,開啟System Repair Engineer來清除自啟動專案。開啟程式後,選中“啟動專案”時彈出了兩次警告資訊框,預設為空的登錄檔值load被修改成了“C:\windows\rundl132.exe”用以啟動載入rundl132.exe這個病毒程序。清空load值來防止病毒自啟動。接著刪除值為“C:\windows\Download\svhost32.exe”的啟動專案xy和值為“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的啟動專案upxdn。由於病毒試圖竄改UserInit專案來達到執行自己的目的,不過這次並未進行實質性修改,只是破壞了原來的值,因此把UserInit專案重新修改為正常的“C:\windows\system32\Userinit.exe”(不包括引號)即可。
幕後主謀現身
裘醫生清除完這些病毒檔案,下面就是讓插入Explorer.exe程序的病毒檔案現身了。打開了《超級巡警》,選擇“程序管理”選項,根據病毒發作時間很快便發現了位於“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑檔案xiaran.dat;位於“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑檔案upxdn.dll和位於“C:\Windows\system32”的可疑檔案msccrt.dll。這些檔案不但以黃色警告色顯示,而且檔案屬性顯示建立時間都是病毒發作期(圖4)。
主謀就地正法
狡猾的主謀已經被發現了,下面就開始清除這些檔案吧。裘醫生選中這些檔案,右鍵單擊選擇“強制解除安裝標記模組”命令,這樣這些檔案就不能得到Explorer.exe程序的庇護了。接著就可以進入這些檔案的目錄逐個刪除了。完成之後,重新啟動計算機,未發現病毒程序,系統執行也穩定了。這說明病毒已經被成功清除了。Svhost32.exe征途木馬,一般通過瀏覽惡意網站來傳播。因此,我們安裝防毒軟體開啟網頁和檔案實時防護功能,可以比較好地防範這類木馬。開啟下載軟體(如:迅雷、快車)的檔案病毒監控也是必要的。