在近来的一段时间，在我们的身边发生了很多事。奥运火炬被抢，CNN事件，汶川大地震。每一件事都让我们揪心的难过。我们很多的网友也在用行动默默的祝福着祖国。其中最普遍的就是把自己的QQ头像换成了爱国红心。以此来表达我们的心情和对祖国的祝福。可就是在这一非常时期，一款名为“红心大盗”的图片木马在互联网上泛滥开来。木马利用红心国旗图加载木马在网页上传播，危害范围非常广大。

木马分析：

当用户拷贝红心国旗图时，木马随之隐藏运行，并释放一个DLL程序植入到EXPLORER.EXE中,木马会破坏常见的安全软件的监控程序,大大降低被感染电脑的安全性。木马在后台秘密记录用户的键盘操作和鼠标操作，窃取用户输入的机密信息，并发送给黑客。与黑客指定的服务器建立网络连接，被感染的计算机被黑客远程安全控制。黑客可在被感染的计算机上进行任意文件操作、进程操作、注册表操作、服务操作、屏幕监控、摄像头抓图、命令操作等，给用户的安全、个人隐私，甚至商业机密造成严重威胁。

木马能迅速查找电脑中是否安装有安全软件，并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件，一旦被劫持，这些安全软就无法运行了。

木马主体：

木马运行后自身复制到被感染计算机系统时会将病毒文件-uninsep.bat.pro.exe和pro.dll释放到系统盘的根目录下,同时替换了kernel32.dll文件,并在系统盘的“%Documents and Settings%\All Users\开始菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe(未加密代码),木马利用8088端口自动连接黑客服务器.它还修改系统注册表,创建名为“scager”的系统服务，实现开机自动启动。该木马具有自我删除功能，当它运行结束后，将代码删除，只剩一个正常图片。

解决方案：

1、利用网络防火墙过滤8088端口访问外网。

2、在安全模式下删除probell.exe和pro.dll文件

3、利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件

用Windows XP安装光盘启动电脑，按“R”键进入启动故障恢复平台，使用以下命令修复（F盘为光驱目录，根据实际情况指定）：

Cd system32
Ren kernel32.dll kernel32dl
Expand f:\i386\kernel32.dl-
exit

4、清理“%Documents and Settings%\All Users\开始菜单\程序\启动\”所有内容。

5、Windows XP下，点击“开始-运行”，输入“msconfig”停止Scager服务。

关注天下网吧微信,了解网吧网咖经营管理，安装维护: