一波三折搞定QQ木馬病毒

前幾天，同學在QQ上收到一個人傳來的文件(見圖1)，十分欣喜地打開，結果什麼都沒有，然後就發現自己也在不停地給人傳文件，於是找我幫忙清除。其查殺過程一波三折，現成此文，以供大家參閱。

　　

　　1.輕鬆搞定僞裝品

　　先刪除了他接收到的文件，然後用進程查看軟件TroyanFindInfo(下載地址:http:// )查看一下系統中所有進程。很快發現了一個很奇怪的進程(見圖2)，雖然名稱是，但其他的諸如版本、產品名、說明都和微軟的不同。

　　

　　另外，該文件保存在System目錄下，而同學的系統是Windows 2000，系統自帶的應該保存在System32的文件夾中。基於以上的判斷，初步斷定該進程爲木馬進程，於是就用TroyanFindInfo中的“Edit→Kill process”(編輯→結束進程)關閉掉該進程。同時把C:WINNTSystem目錄下的木馬原文件也刪除。最後在註冊表中查找所有的開機自啓動項目，找到和剛纔刪除的有關的鍵值即可。

　　小提示

　　★進程查看軟件很多，比如以前介紹過的IceSword，本文介紹的TroyanFindInfo等。我個人喜歡用TroyanFindInfo，因爲它比較小巧，信息也比較全面，實用。當你自己不能判斷出進程文件時，還可以點擊“Save”(保存)按鈕，保存好LOG文件，然後傳給高手，讓他幫忙分析。

　　★以前大多數QQ病毒都是通過發送病毒網站地址來傳播的，現在也有不少通過QQ直接發送病毒文件，比如，使用圖片圖標的EXE文件，大家在接收來自好友或陌生人的消息及文件時一定要提高警惕，最好先詢問一下對方是否發過該信息或文件，以免無畏中招。

　　★開機自啓動在註冊表裏的具體位置可以參見本刊2005年第1期的《中毒後遺症，妙手來清除》。

　　2.清除病毒的“幕後黑手”

　　本來以爲是一個Easy Case，可剛回到家，同學就打來電話說好像木馬沒清除乾淨。過去一看，果然又出現了原來的狀況。按照剛纔介紹的方法先行處理過後，再回想一下整個操作，推斷出可能木馬把自己的分身隱藏到了系統的某個角落。

於是打開“我的電腦”，在菜單欄上點擊“工具→文件夾選項”，在彈出的“查看”選項卡里將“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”兩項的勾選去除，再選中“隱藏文件和文件夾”裏的“顯示所有文件和文件夾”(見圖3)。

　　

　　進入系統目錄裏，仔細看了一下WINNT、System、System32的目錄，果然不出所料，發現了“”和“notepad”兩個特殊的文件，根據剛纔查殺System目錄下的經驗，這些文件既不是系統自帶的程序，文件的屬性又和剛纔刪除的屬性類似，可以推斷出這些文件就是木馬文件，自然將其刪除。最後，再去註冊表，檢查一下所有的啓動項目。

　　小提示

　　★系統自帶程序都有各自特定位置和圖標，比如開始要刪除的“”，如果是系統自帶程序，那在Windows 2000/XP中保存在系統目錄裏的System32文件夾裏。

　　★類似於“ ”和“notepad”這類的木馬文件的命名抓住了人們心理上的弱點，對相似東西會忽略掉。如果隱藏了擴展名，本例中的這兩個文件粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數字來代替，達到混淆的目的，比如“I”(大寫I)、“l”(小寫L)、“1”(數字1)或者是“O”(字母O)“0”(數字0)就很容易拿來混淆。

　　3.最終善後

　　好事多磨，當我正暗自得意時，突然發現所有應用程序都無法使用，還彈出如圖4所示提示，於是繼續解決問題:到Window的系統目錄裏把“”的擴展名改爲COM，不理會警告再運行，即可打開“註冊表編輯器”，然後再到[HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand]將“默認”鍵值改回“%1 %*”。再以“”和“notepad”爲關鍵詞進行搜索，結果又發現註冊表的一處鍵值，即[HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand]也被修改成了“notepad %1”，修改回默認的“ %1”即可。