我用了一个偷懒的办法查找灰鸽子的原始可执行文件,结果遇到了
意外。
点击开始菜单,选择运行,输入cmd,回车。
输入dir/od 空格 *.exe 回车。
找到一堆可执行文件。
接着我删除了最后显示的那个,创建日期最近的一个可执行文件,
del 空格 sp00lv.exe 回车。
又删掉了一些与论坛上提到过的那些dll文件形似的东西,结果热启
后被删除的dll文件又恢复了,瑞星在检查时仍然报告有病毒。
于是不得不使用HijackThis
(http://forum.ikaka.com/download.asp?id=6979243)进行扫描
,从报告中发现了一项调用一个名为dssa的文件的NT服务。
对这个文件进行拷贝实验时我发现它具有隐含,系统的属性,而且
没有任何扩展名。
我强行给它改出一个.exe的扩展名来,试运行后它会自动把自己移
动到Windows的安装目录下,并生成.dll(没有主文件名,这也行?
), key.dll, _hook.dll三个文件。
最后又自动把它自己的扩展名exe删除(自己删除自己的扩展名也可
以?)。
这些症状均和木马程序灰鸽子有点像,系统被它感染后若用瑞星最
新版检查,无法发现它本身,只会报告若干文件被灰鸽子感染,一
个文件被Wrom.Mail.botfan什么的感染……
怎么杀也杀不掉,即使在安全模式下删除.dll, key.dll,
_hook.dll,热启后这些文件又会自动恢复。似乎这是一种新型的会
自我伪装的变种黑鸽子?
最古怪的是它在注册表中的自我描述:“用闲置网络带宽在后台传
输文件。如果此服务被禁用,那么任何依赖于 BITS 的功能,例如
Windows Update 或 M”……
一个来历不明的程序,居然还说得一套一套的,一本正经得好像比
正经软件还正经的样子。
---
我的解决办法是先在安全模式下把c:\windows\dssa移动到别的目录
中,比如C:\RAVBIN,再进入WindowsXP的安全模式,把c:\windows\
下的.dll, key.dll, _hook.dll一起移动到哪个目录中。
之后用注册表编辑器修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Backgr
ound Intel1igent Transfe\ImagePath下的C:\WINDOWS\dssa
把它改为C:\WINDOWS\dssa~或者随便在后面添个什么字符,使这个
数据无效,再用瑞星查杀一遍硬盘,最后热启就行了。
---
补充:上述做法的好处是如果判断错误,所做的所有操作都可以恢
复。并且这些可疑文件都可以上报给瑞星公司,由专家来判断它们
是否为木马程序(麻烦/责任转移)^.^
当然,如果你确认你找到的文件确实是木马程序,也已经上报了,
那就把它的注册表键值和原始文件删除了吧。
另外在XP下按F5可以进入安全模式,为保险起见最好在WindowsXP正
常启动后再用瑞星查杀一遍。
希望瑞星公司能开发出傻瓜版的全自动杀灰鸽子及其变种的软件。
