Linkinfo 病毒（克邻大盗）分析与清除方法

一、事情起因

昨天我着实体验了一把 Linkinfo 病毒（克邻大盗）的无赖和令人无奈之处。

Linkinfo 病毒（克邻大盗）会自动进行一系列恶意操作，包括下载各种网络游戏的盗号木马、感染 EXE 程序等。该病毒以驱动模式运行，并且它与杀毒软件之间似乎互不干扰，只要它的免杀处理做得好，就极难被发现。

如果你出现以下现象，那么很不幸，你可能已经感染了 linkinfo.dll 病毒（克邻大盗）：当使用最新的任何一款杀毒或防护软件（如微点主动防御软件、瑞星、卡巴斯基、360 等）时，每次开机或经常会收到这样的提示：发现 * 木马，是否删除 LINKINFO.DLL 文件，然而删除后不久，又会出现相同或类似的提示。（例如 360 安全卫士会提示伪 linkinfo.dll 无法清除）

二、知己知彼

在与 Linkinfo 病毒（克邻大盗）进行了一系列斗争之后，我总结出了一些信息。

该病毒的核心文件包括但不限于以下这些：

• C:\\WINDOWS\\system32\\DRIVERS\\RioDrvs.sys
• C:\\WINDOWS\\linkinfo.dll
• C:\\WINDOWS\\system32\\drivers\\vmini.sys
• C:\\WINDOWS\\system32\\drivers\\eth8023.dll
• C:\\WINDOWS\\AppPatch\\AcSpecf.dll
• C:\\WINDOWS\\AppPatch\\AcLue.dll

其中，绿色部分的文件仅在特殊情况下才会出现。而 linkinfo.dll 和 nvmini.sys 是运行在前台的文件，它们会注入主进程，执行下载木马和感染运行中的 exe 文件的恶意操作，是导致病毒传播的主要因素。最可恶的是后面红色部分的三个文件，它们充当着保护和操控病毒复活的幕后黑手。

红色部分的三个文件通常经过免杀或其他处理，而且由于它们本身并不直接运行（相当于病毒的复活点），所以杀毒软件很难检测出来。黑色部分的两个注入进程和驱动虽然威力较大，但通过常规的手工杀毒方法或者结合 360 安全软件可以将其清除。然而无奈的是，每次清除它们之后，只要重启计算机或者运行了被其感染过的 exe 文件，它们就会由红色部分的三个文件重新复活。

该病毒感染 EXE 文件的后果十分严重，许多具有自我保护功能的 exe 程序会因被其感染而无法正常运行，而且如果感染的文件在 U 盘内，还会导致病毒进一步传播。另外，如果该病毒再结合当前流行的 Windows 漏洞在局域网中传播，其威力将极大，危害也会更加严重。

三、手刃真凶

其实这个 Linkinfo 病毒很早就出现了，最近不知为何在附近又开始猖獗起来。正如前面所说，由于它以驱动模式和注入进程的方式生存，再加上其变态的复活机制，以及与杀毒软件互不干扰（Linkinfo 病毒不会对杀毒软件进行攻击），导致大部分杀毒软件对此都显得无能为力（虽然可以检测并根据提示将其清除，但过一段时间或重启后病毒又会复活）。

记得最初是趋势科技截获了首批病毒样本，并第一时间发布了一个命令行下的清除工具（不过效果似乎不太理想）。我发现对这个病毒比较有效的专杀工具是瑞星的 MagistrKiller，但 MagistrKiller 主要是用来清除被感染的 EXE 程序，暂时将病毒赶出内存并删除非红色部分的几个文件。要想彻底清除这个病毒，仅依靠一个专杀工具是不够的。

下面让我们逐步来清除这个可恶的病毒：

1. 首先，下载附件 MagistrKiller.rar、SREng2.7.rar（千万别解压和运行，因为运行时专杀工具很可能会被感染）。
2. 重启计算机进入安全模式，此时再运行压缩包里的专杀工具，让其对硬盘进行完整扫描（这样你就能清楚知道有多少文件被病毒感染了）。
3. 尝试删除上述列表中提到的红色部分的那三个文件（如果没有则跳过此步骤）。
4. 运行 SREng，在启动项目 - 服务 - 驱动程序以及启动项目 - 服务 - Win32 服务应用程序中，删除有关 eth8023.sys\\LINKINFO.DLL 的一个驱动和一个服务。
5. 重启之后，打开任务管理器，结束 explorer.exe 进程。然后通过专杀工具或者 360 再扫描一遍病毒，不放心的话可以检查一下上述列表中的文件是否已被删除。

---

相关文章

• Seafile docker部署相关问题记录
• 再谈Go语言的交叉编译
• Thinkpad X250拆装换SSD
• 开机卡顿问题排查与解决
• U盘不能识别问题