相关病毒文件:
~!KqVo4c.exe
comime.exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe
病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以<文件名>.jpg.exe的形式发送,图标见附件。
病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框(见附件)。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在注册表中添加标志信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
病毒自身复制到系统目录下,文件名为wmimgr.exe。
病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
注:当系统文件被修改时,系统会出现这样的对话框(见附件)。
病毒释放DHelp.dll到以下目录:
%Windows%\
%System%\
%System%\wbem\
QQ目录,如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。
添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg
复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。
建立自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
清除步骤:
这次的清除不像以前清除一般木马病毒那么简单,因为它还修改了系统文件,所以有几个步骤可能会繁琐一些。
首先,我们还是先把病毒的进程结束掉:
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件:
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
病毒文件删除以后,我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置,方法很多,这里就不一一介绍了,如果不会操作,这里提供了一个REG注册表文件(见附件),直接双击运行后导入注册表即可恢复禁用。
接下来就可以到注册表编辑器删除病毒建立的启动项了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。
好了,病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件,所以我们先要恢复%System%\dllcache\下的系统文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。
如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:
Code: [Copy to clipboard]
expand explorer.ex_ explorer.exe
得到正常的源文件后,我们依次进行覆盖操作。
先覆盖:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。
通过以上操作应该可以解决问题,以后要注意的是多多提高自己的安全防护意识。
另外略带提一下另一个看似“QQ尾巴”的情况,就是“mop朋友圈”。
近日有用户反应在QQ上经常收到来自好友这样的信息:
Quote:
我邀请你进我的朋友圈了,从这里进入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ
我在猫扑上建了一个群,从这里加入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ
这并不是什么QQ病毒,而是“猫扑mop”一个叫“朋友圈”发送来的信息。如果你登陆“mop朋友圈”并注册用户,且输入过QQ号和密码邀请朋友的话,那么你QQ上的好友就会收到这样的信息。
推测可能是mop使用你输入的号码和密码登陆到QQ服务器,然后搜索好友并发送该信息。邀请过朋友的QQ用户会发现自己的QQ在其它地方登陆过。
接下来再说两个最近几天问得比较多的问题,一个是“Trivial File Transfer Protocol App”的问题,另一个是如何删除rdriv.sys病毒文件。这两个问题都和bot类病毒有关。
“Trivial File Transfer Protocol App”,是TFTP.EXE,系统的一个FTP程序,我们一般不会用到它,但病毒会利用它从被感染机器上下载病毒文件到本地系统,所以如果发现防火墙出现TFTP.EXE要求访问网络的提示,建议永久禁止它访问网络。
说一下rdriv.sys,这是一个RootKit,会被一些病毒、后门程序或木马附带,比较常见的是附带在一些bot类病毒中,用于隐藏病毒文件和相关信息。
如果发现%System%\rdriv.sys删除不了,可以尝试以下操作:
到注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv位置,删除rdriv项,重新启动系统后再尝试删除%System%\rdriv.sys文件,应该可以解决。
安全建议
1. 给系统安装好补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
2. 给系统帐户设置强壮复杂的密码,建议密码为12位以上,字母+数字+符号的组合,并能定期进行修改;另外也可以禁用/删除一些不使用的帐户
3. 经常升级更新杀毒软件(病毒库),条件允许的请设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙可以有效地阻挡自来网络的攻击以及病毒的入侵。部分盗版Windows用户不能正常安装补丁的,不妨通过使用网络防火墙等其它方法来做好一定的防护
4. 关闭一些不需要不必要的服务,条件允许的可关闭一些没有必要的共享,包括C$、D$等系统默认的管理共享。完全单机的用户也可直接关闭Server服务
5. 不断提高安全意识!不要随便点击来自QQ、MSN等即时通讯聊天软件上好友或陌生人发来的链接信息,也不要随便接收或打开/运行来自QQ、MSN上好友或陌生人发来的文件/程序,那些很可能是病毒网站的地址或者就是病毒文件;不要随便打开或运行陌生、可疑的文件和程序,比如陌生邮件中的附件等等
6. 发现可疑文件或病毒文件请及时上报.
