病毒名称:Win32.Troj.GuiseIE.mk.637713
中文名称:计划任务病毒
病毒类型:闪存病毒
病毒目的:破坏系统
本期医生:天涯衰草
LOGO病人:任务管理器不能用了
同事将他的闪存插入我的系统,结果没有多久系统就变得缓慢。后来我发现系统的“任务管理器”变成灰色(图1),“文件夹选项”也莫名其妙的消失了。想运行系统中的杀毒软件杀毒,程序一打开就莫名其妙地关闭了。请问医生,我中了什么病毒?
图一
LOGO病毒:利用计划任务来自启动
很多病毒都喜欢用注册表或者系统服务进行启动,我却偏偏要走不寻常的路——用计划任务来自启动,所以大家也叫我“计划任务病毒”。我就像一颗定时炸弹隐藏在系统,时间一到我就会自动激活而运行。
我主要通过移动硬盘、闪存等设备进行传播。当我进入到系统以后,先将自身复制到系统的System32目录下,并且重命名为WORD.exe和IEXPLOREi.exe。看看这两个名称,是不是和大名鼎鼎的Word编辑器和IE浏览器的名称很相似,这样用户不注意检测的话是发现不了我的。
接着,我将程序的图标伪装为文件夹图标,并且进行隐藏和只读的设置,这样用户就很难发现我的存在。另外我还将病毒文件复制到包括移动磁盘在内的所有磁盘的根目录中,并将文件名称改为Bi mat.exe。
然后,我会添加一个启动项,这样可以让我随系统一起启动。为了迷惑用户我将启动名称设置为Yahoo Messengger。另外我还修改系统资源管理器的Shell,这也是另外一种启动病毒文件的方法,可以起到双保险的作用(图2)。
图二
我最与众不同的是利用系统的计划任务功能来实现自启动。我之所以选用这种自启动方式,是因为这种方式罕有病毒利用,不容易引起用户的注意。此外,我会修改注册表信息,使得“文件夹选项”选项从菜单消失,并且让“任务管理器”等命令变灰无法使用。最后,我一旦发现系统窗口中有杀毒软件名称的关键字,就立即结束这些窗口,想利用杀毒软件删除我是不可能的。
LOGO医生:删除病毒添加的计划任务
我见过的各式各样的病毒,但利用计划任务来启动的还真是非常罕见(熊猫烧香是利用计划任务来传播的),看来以后计划任务也是检测的重点。
第一步:运行进程管理工具WSysCheck(下载地址:http://www.shudoo.com/bzsoft),选择“进程管理”标签后可以发现,多个伪装成文件夹的病毒进程IEXPLOREi.exe。选择这些进程后,点击鼠标右键并选择菜单中的“结束选择的进程”命令即可。
第二步:运行系统修复工具SREng(下载地址:http://www.shudoo.com/bzsoft),点击“启动项目”中的“注册表”标签,选择其中的Yahoo Messengger这项内容,然后点击“删除”按钮将其清除。另外系统的Shell项也被病毒修改,这时SREng会弹出一个提示窗口,直接点击“修复”按钮即可。然后点击窗口中的“系统修复”按钮,点击“自动修复”按钮,就可以修复被病毒破坏的系统信息内容。
第三步:选择WSysCheck中的“文件管理”标签,在模拟的资源管理器中展开到系统的System32下,分别找到病毒文件WORD.exe、IEXPLOREi.exe等,然后点击鼠标右键中的“直接删除”命令即可。再通过“文件管理”按钮分别访问每个磁盘的根目录,将其中的病毒文件Bi mat.exe也删除掉。
第四步:点击开始菜单中的“附件”菜单,然后选择“系统工具”中的“计划任务”命令。然后在弹出的计划任务窗口,选中由病毒创建的计划任务信息,然后点击右键,选择菜单中的“删除”命令即可(图3)。最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全面扫描和查杀,将病毒残留物彻底清除干净。
图三
