记一次清除“帕虫”病毒

2007-07-14T19:10:00

下午到一朋友家去看计算机 系统是XP的,朋友说估计是中的病毒 用起来很不爽 而且杀毒软件都失效了 进与安全有关的网站都会自动关闭,CMD下dir/a/w一下 哇 好熟悉的东西啊——Autorun.inf+一个可执行文件。

以常规的办法尝试清除一下,不见效果……重启F8 进安全模式,结果加载完最后一个底层驱动的时候蓝屏,系统崩溃。很明显安全模式已经被病毒破坏掉。

重新回到正常模式下的XP,发现任何工具软件只要是调用了进程哪、企图修改设置啊、哪怕稍微能够改变注册表的,都无法启动。看来这个病毒是比较棘手的了(后来确认,就是传说中的“帕虫”,要知道我很郁闷的,一年多没有碰有关软件方面的东西了,很多新东西不知道是很正常的。知道的就不要笑我了……)。从网上(ADSL模式)复制了一段修复安全模式的注册表信息,存为REG文件导入。重启,安全模式终于可以进去了,心里喜喜地想可以运行工具了,结果发现只要一运行某些U盘病毒清除工具,那个可恶的病毒进程就奇迹般地运行了。还好有拜月同志提醒,把U盘清除工具程序的名字改名……运行……就可以启动了(我当时狂晕:这个帕虫对自己的保护工作做得非常出色,竟然在这里出现了败笔,不是通过特征码来识别防护软件的)。

经过一系列的操作,我满以为已经解决了。当我再次重启的时候,我发现之前的努力都付诸东流了——病毒死灰复燃了……后来同样的方法恢复安全模式,再借助工具,我终于弄明白这个“帕虫”在%Windows%/system32中会生成一些dll文件,都加载到了系统内核里卖弄,用于保护自己(这个过程好像叫什么IFEO劫持,也就是所谓的windows文件映像劫持)。这个时候又要借助Unlock来清除这些保护机制了……

最后经过一系列的工作,终于把这个可恶的家伙赶出了朋友的电脑。之后进行的一些防御性设置当然不在话下。

总的来说,这个帕虫还是比较成功的,每次只要程序一运行,先破机器上的杀毒软件和其他防护软件,然后破坏安全模式,接着采取一系列的保护措施:当用户使用的浏览器上出现某些关键字的时候,浏览器就会被病毒强制关闭;修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行;

不过其也有几个败笔,首先是只在启动的破坏安全模式,如果在每次系统启动和结束的时候都破坏安全模式的话,那会更加棘手。再者就是其确认防护软件竟然用的是关键字模式而不是特征码模式,这样使得修改一下程序名字就可以勉强运行。还有就是IFEO劫持不够绝,哈哈 如果加强一下这几个方面这个病毒绝对更难清除 呵呵

先吃饭了 吃完饭把几个工具补上

当前页面是本站的「Baidu MIP」版。发表评论请点击:完整版 »