2006年已经成为了历史，我们平平静静地进入了2007年，新的一年，新的希望，但我们也应该记住过去。在过去的一年中，互联网中虽然没有出现让人觉得“惊涛骇浪”的病毒，但还是有着让笔者认为对于网吧来说，最经典的病毒、木马就是“维金”病毒，传奇终结者变种JKE，猎手变种fa。

　　对于网吧来说，这三个中最麻烦的就数“维金”病毒了，此病毒会枚举Ravmon.exe、Eghost.exe、Mailmon.exe、KAVPFW.EXE、IPARMOR.EXE、Ravmond.exe这些杀毒软件进程，并中止这些进程，同时，它还从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27Kb-10Mb的可执行文件，感染完毕在被感染的文件夹中生成文件“_desktop.ini” (文件属性:系统、隐藏)，但它并不感染系统文件夹，如果不幸中了的话，只能把exe文件删除，否则重装或恢复系统后运行，还是会感染。更可怕的是它还会下载网络木马或其它病毒的复合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者指定的网站下载特定的木马或其它病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机。此病毒最易发现的特征就是在任务管理器中可以看到logo_1.exe这个进程了。对付“维金”，可以去各大杀毒软件下载专杀工具，也可以直接克盘恢复，但重要的是要把感染了的可执行文件删掉。当然，也可以手动清除它，方法如下：找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
　　auto" = "1"，删除DownloadWWW主键，然后再找到
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
　　winlogo 项把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉，接下来把[HKEY_LOCAL_MACHINE\SOFTWARE/Microsoft\Windows\CurrentVersion\Run]键中 RunOnce两个中其中有个是C:\WINNT\SWS32.dll，把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）如果没有以上键值，则不要理它，接下来按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。最后就是运行gpedit.msc 打开组策略依次单击“用户配置”—“管理模块”---“系统”—“不要运行指定的windows应用程序”点“启用” 然后点“显示”(如图1)，添加 logo1_exe 也就是病毒的源文件。

如图1

　　其次就是传奇终结者变种JKE了，它可以窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息，并把这些资料发送给病毒散布者。该病毒还可能造成IE浏览器以及其他一些软件出现故障，无法使用。最麻烦的就是它是一个ARP欺骗木马，它可导致网吧网络时断时续,网络速度变慢,严重时导致网络瘫痪，所有用户都不能正常上网。在检测发现的就有2种外挂带这种木马：一是传奇2冰橙子1.14，另一个是及时雨PK破解版。此木马病毒没有通过注册表或服务的形式加载自身，而是利用了操作系统的一个特性，当程序调用DLL时会先查找当前目录，如果找不到才会去搜索系统目录。因此，该病毒将自身复制到IE目录下，与系统DLL文件同名。当IE调用这个DLL文件时就运行了病毒，然后病毒再去系统目录下调用正常的文件。病毒就在不知不觉中被加载了。它的清除方法如下：在任务管理器中找到“Mir0.dat”，单击鼠标右键，选择结束进程。然后点击“开始”菜单，选择“运行”，输入“regedit”并确定，打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN一项，双击窗口右面的CheckedValue，将其值改为2(如图2)，

图2

　　之后打开“我的电脑”，选择菜单栏中的“工具”“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 然后删除掉Windows目录下的mir0.dat和Hooks.dll文件，再删除Windows目录中System32目录下的wintemp.dll文件，接着结束所有名为“iexplorer.exe”的进程，删除掉IE安装目录（默认为C:\Program Files\Internet Explorer）下的Wsock32.dll及Wsock32.dll.tmp)文件。另外对付ARP欺骗使用AntiARPSniffer 这款软件，下载地址是：http://pickup.mofile.com/1181143152140948，具体用法就不再赘述了。

　　接下来介绍猎手变种fa，此病毒可通过查询注册表获得QQ安装目录，然后将正常的QQ文件 TIMPlatform.exe复制为 TIMPlatfrom.exe，并将自身复制为TIMPlatform.exe，使病毒可随QQ启动而自启动，用户一旦感染了该病毒不但面临着QQ帐号和密码被盗的危险，而且，当病毒成功掌握了用户的帐号和密码信息后，可通过留言的方式，对用户进行敲诈，可能会对网吧客户产生严重的影响，在国内大部分网民都在使用QQ聊天软件。解决方法，最快就是克盘恢复，对于家庭上网的用户来说，往往把QQ安装在非系统盘，重装或恢复后并没有把之前装的QQ删除，而是直接使用它，导致再次感染。

　　以上介绍了笔者认为2006年最经典的病毒、木马，只是个人认为，希望2007年，互联网能够风平浪静，病毒不再肆虐。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: