彻底清除“克邻大盗”病毒
事情起因
昨天着实体验了一番Linkinfo病毒(克邻大盗)的无赖与无奈
Linkinfo病毒(克邻大盗)会自动进行下载木马(主要是各种网络游戏的盗号木马)、感染EXE程序等操作,由于其完全以驱动模式存活,而且与杀毒软件井水不犯河水,所以只要免杀做得好就非常难发现。
如果你有如下的现象,那么恭喜你已经感染了linkinfo.dll病毒(克邻大盗):最新的任何一款杀毒或者防护软件(如微点主动防御软件、瑞星、卡巴、360等),每次开机或经常提醒:发现*木马,是否删除LINKINFO.DLL文件,但删除后不久又会出现相同或者类似的提示。(360安全卫士提示伪 linkinfo.dll无法清除)
知己知彼
经过与Linkinfo病毒(克邻大盗)进行了一系列的斗争总结出来一点东西……
该病毒核心文件包括但不限于下表
C:\WINDOWS\system32\DRIVERSRioDrvs.sys
C:\WINDOWS\linkinfo.dll
C:\WINDOWS\system32\drivers vmini.sys
C:\WINDOWS\system32\driverseth8023.dll
C:\WINDOWS\AppPatch\AcSpecf.dll
C:WINDOWS\AppPatch\AcLue.dll
绿色部分只有在特殊的情况才会出现,接下来的两个linkinfo.dll和nvmini.sys是运行在前台,注入主进程,执行下载木马和感染运行的exe工作的罪魁祸首。最可恶的是后面红色部分的三个文件,充当保护和操控僵尸复活的最可恶幕后主事。
红色部分的三个文件一般是做过免杀或者其他处理的,而且由于其本身并不运行(相当于一个病毒的复活点)所以杀毒软件很难查出来,黑色部分的两个注入进程和驱动威力很大,但是通过常规的手工杀毒方法或者结合360很容易干掉。但是很无奈的是每次干掉它两之后只要重启或者运行了被其感染过的exe文件就会重新由红色部分的三个文件复活。
其感染EXE文件的效果很让人讨厌,不少有自我保护的exe程序就会因为被其感染而直接挂掉,而且感染的文件是在U盘里面的话又会导致病毒的进一步传播。另外如果病毒再结合时下流行的windows漏洞在局域网传播那威力绝对无穷,危害将更加巨大。
手刃真凶
其实这个Linkinfo病毒很早就有了,最近不知道什么原因在附近又猖獗起来了。就像前面说的,由于其完全以驱动模式和注入进程存活以及BT的复活机制,加之它与杀毒软件井水不犯河水(Linkinfo病毒是不杀杀软的),所以大部分杀毒软件都表现得挺无能为力的(可以查出来,也可以根据提示杀掉,但是过一段时间或者重启病毒又会复活)。
记得最早的时候是趋势截获的首批样本并第一时间发布了一个命令行下的清除工具(貌似效果不是很好)笔者对这个病毒比较有效果的专杀工具是瑞星的MagistrKiller ,但是MagistrKiller主要是用来清除被感染的EXE程序和暂时地将病毒赶出内存和删除非红色部分的那几个文件的,要想单纯地靠一个专杀工具解决这个病毒是不行的。
接下来我们一步一步地手刃这个可恶的真凶吧
1、首先下载附件MagistrKiller.rar 、SREng2.7.rar(千万别解压和运行,因为运行的时候专杀工具就很有可能会被感染)
2、重启进入安全模式,这个时候再运行压缩包里的专杀工具,让其完全的扫描一遍硬盘(这样你就会知道你到底有多少文件被病毒感染了)
3、删除上面列表中提到的红色部分的那三个文件。(如果没有就跳过这一步)
4、运行SREng,在启动项目-服务-驱动程序以及启动项目-服务-Win32服务应用程序中删除有关eth8023.sys\LINKINFO.DLL的一个驱动和一个服务
5、重启之后打开任务管理器,结束explorer.exe进程。再通过专杀工具或者360扫描一遍病毒,不放心地话可以检查一下上面列表中的文件是否被删除了。
相信经过这些操作之后可恶的“克邻大盗”(linkinfo病毒)就已经被清除了。