天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

2006年经典网吧病毒与木马回顾

2008-2-18天下·网吧联盟佚名

  2006年已经成为了历史,我们平平静静地进入了2007年,新的一年,新的希望,但我们也应该记住过去。在过去的一年中,互联网中虽然没有出现让人觉得“惊涛骇浪”的病毒,但还是有着让笔者认为对于网吧来说,最经典的病毒、木马就是“维金”病毒,传奇终结者变种JKE,猎手变种fa。

  对于网吧来说,这三个中最麻烦的就数“维金”病毒了,此病毒会枚举Ravmon.exe、Eghost.exe、Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe这些杀毒软件进程,并中止这些进程,同时,它还从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27Kb-10Mb的可执行文件,感染完毕在被感染的文件夹中生成文件“_desktop.ini” (文件属性:系统、隐藏),但它并不感染系统文件夹,如果不幸中了的话,只能把exe文件删除,否则重装或恢复系统后运行,还是会感染。更可怕的是它还会下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。此病毒最易发现的特征就是在任务管理器中可以看到logo_1.exe这个进程了。对付“维金”,可以去各大杀毒软件下载专杀工具,也可以直接克盘恢复,但重要的是要把感染了的可执行文件删掉。当然,也可以手动清除它,方法如下:找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
  auto" = "1",删除DownloadWWW主键,然后再找到
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
  winlogo 项把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉,接下来把[HKEY_LOCAL_MACHINE\SOFTWARE/Microsoft\Windows\CurrentVersion\Run]键中 RunOnce两个中其中有个是C:\WINNT\SWS32.dll,把类似以上的全部删掉注意不要删除默认的键值(删了的话后果自负)如果没有以上键值,则不要理它,接下来按“Ctrl+Alt+Del”键弹出任务管理器,找到logo1_.exe 等进程,结束进程。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。最后就是运行gpedit.msc 打开组策略依次单击“用户配置”—“管理模块”---“系统”—“不要运行指定的windows应用程序”点“启用” 然后点“显示”(如图1),添加 logo1_exe 也就是病毒的源文件。

如图1

  其次就是传奇终结者变种JKE了,它可以窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息,并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以及其他一些软件出现故障,无法使用。最麻烦的就是它是一个ARP欺骗木马,它可导致网吧网络时断时续,网络速度变慢,严重时导致网络瘫痪,所有用户都不能正常上网。在检测发现的就有2种外挂带这种木马:一是传奇2冰橙子1.14,另一个是及时雨PK破解版。此木马病毒没有通过注册表或服务的形式加载自身,而是利用了操作系统的一个特性,当程序调用DLL时会先查找当前目录,如果找不到才会去搜索系统目录。因此,该病毒将自身复制到IE目录下,与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒,然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。它的清除方法如下:在任务管理器中找到“Mir0.dat”,单击鼠标右键,选择结束进程。然后点击“开始”菜单,选择“运行”,输入“regedit”并确定,打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项,双击窗口右面的CheckedValue,将其值改为2(如图2),

图2

  之后打开“我的电脑”,选择菜单栏中的“工具”“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 然后删除掉Windows目录下的mir0.dat和Hooks.dll文件,再删除Windows目录中System32目录下的wintemp.dll文件,接着结束所有名为“iexplorer.exe”的进程,删除掉IE安装目录(默认为C:\Program Files\Internet Explorer)下的Wsock32.dll及Wsock32.dll.tmp)文件。另外对付ARP欺骗使用AntiARPSniffer 这款软件,下载地址是:http://pickup.mofile.com/1181143152140948,具体用法就不再赘述了。

  接下来介绍猎手变种fa,此病毒可通过查询注册表获得QQ安装目录,然后将正常的QQ文件 TIMPlatform.exe复制为 TIMPlatfrom.exe,并将自身复制为TIMPlatform.exe,使病毒可随QQ启动而自启动,用户一旦感染了该病毒不但面临着QQ帐号和密码被盗的危险,而且,当病毒成功掌握了用户的帐号和密码信息后,可通过留言的方式,对用户进行敲诈,可能会对网吧客户产生严重的影响,在国内大部分网民都在使用QQ聊天软件。解决方法,最快就是克盘恢复,对于家庭上网的用户来说,往往把QQ安装在非系统盘,重装或恢复后并没有把之前装的QQ删除,而是直接使用它,导致再次感染。

  以上介绍了笔者认为2006年最经典的病毒、木马,只是个人认为,希望2007年,互联网能够风平浪静,病毒不再肆虐。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:天下·网吧联盟 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行