黑客攻防技术内幕-安全防入侵与防病毒基础(6)

3.3.4  手动清除圣诞节病毒

1. 病毒介绍

圣诞节病毒(W32.Navidad，在西班牙语中是圣诞节的意思)是目前新出现的蠕虫程序，它存在于Windows 9x和Windows NT中。Navidad病毒是通过电子邮件附件的方式，以navidad.exe文件传播的。用户是从一个已被感染的用户那里收到这样的附件邮件的。一旦该病毒感染一台计算机，它就阻止该计算机运行所有的.exe文件，包括像微软公司的Word程序这样的基本办公工具。目前该病毒已经在国内大规模流行，请用户升级到最新的瑞星11.33版本加以防范，已经感染了该病毒的机器请使用下面的方法加以清除。该病毒能通过Outlook以附件的形式传播，在用户不小心单击附件时开始运行，运行后先将自己复制到Windows\system下并修改注册表，企图使它在系统启动时和运行程序时启动。感染该病毒的机器将无法执行*.exe文件，结果使大多数应用程序无法正常启动。

2. 病毒清除

(1) 单击【开始】→【程序】→【MS-DOS方式】命令，进入DOS模式。

(2) 将regedit.exe重新命名为 regedit.com。

(3) 回到Windows下运行Regedit。

(4) 单击【开始】→【运行】命令，在【运行】对话框的【打开】下拉列表框中输入regedit，单击【确定】按钮。

(5) 找到如下键值：

HKEY_CLASSES_ROOT\exefile\shell\open\command

(6) 在右边窗口展开节点寻找含有下列登录的记录值并将其选中：

(Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%

(7) 将其值改为"%1"%*"。

(8) 同步骤(3)~(5)，输入regedit。单击【确定】按钮，展开以下注册表键值。

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

(9) 选择Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ，并单击【删除】按钮。

(10) 单击【开始】→【程序】→【MS-DOS模式命令】，单击进入MS-DOS方式。

(11) 将regedit.com重新命名为 regedit.exe。

3.3.5  求职信病毒清除方法

1. 病毒介绍

求职信(Worm.wantjob.57345)病毒是一种新型恶意蠕虫病毒，它具有罕见的双程序结构，分为蠕虫部分(网络传播)和病毒部分(感染文件、破坏文件)。两者在代码上是独立的两部分，可能也是分开编写的。两者的结合方式非常有趣，作者先写好蠕虫部分，然后将病毒部分的二进制码在特定位置加进蠕虫部分，得到最终的病毒/蠕虫程序。感染该病毒后，计算机速度会明显变慢，系统资源明显减少，硬盘可用空间急剧减少。应该尽快用查找功能查看一下有没有WQK.exe和Krn132.exe文件，如果有的话，就说明该计算机已感染求职信病毒了。

2. 传播方式

求职信病毒利用了微软的MIME漏洞，具有自我复制、E-mail传播、通过网络共享传播、感染可执行文件(包括屏保)、破坏本地文件等手段。该病毒首先将自己要用到的字符串解码，接着启动一个线程不停的查询内存中的进程，检查是否有杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止，并且每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。

求职信具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能。在第一次运行时只执行蠕虫部分代码，具体如下：

(1) 求职信病毒把自身复制至\WINNT\System32\krn132.exe，并将其自身设置为系统、隐藏和只读属性。

注意：

在Windows 2000下同时设置了系统和隐藏属性的文件在文件夹中是不可见的，即使在文件类型选项中选择了【显示所有文件和文件夹】选项，也是不可见的。因此只有在文件夹选项中取消选择【隐藏受保护的操作系统文件(推荐)】后才可以看见的。

(2) 把\WINNT\System32\krn132.exe注册为Krn132服务，并设置为开机时自动运行。

(3) 在Internet临时文件夹中读取所有htm、html文件并从中提取E-mail地址，此蠕虫和Nimda一样利用了MIME漏洞把自身复制并添加到邮件中，发送到所有获得的地址。并将邮件主题设为下列之一：

Hi  Hello  How are you?

Can you help me?  We want peace

Where will you go?  Congratulations!!!

Don’t Cry

Look at the pretty  Some advice on your shortcoming

Free XXX Pictures  A free hot porn site

Why don’t you reply to me?

How about have dinner with me together?

Never kiss a stranger

3. 清除方法

(1) 删除网络中完全可写的共享，断开网络连接。

(2) 在DOS下删除系统目录下的WQK.exe和Krn132.exe文件，也可以通过管理系统进程的软件，首先将其正在运行的进程结束后再删除。

(3) 运行注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

将键值名称为WQK.exe和Krnl32.exe的键删除。

(4) 到金山网站下载查杀求职信病毒工具，如图3-12所示。

http://www.iduba.net/download/other/tool_011027_wantjob.htm

注意：

一般情况不要将自己的目录设为完全共享，以防再次从局域网中感染该病毒。为了预防求职信病毒自动执行的特点，必须下载微软的补丁程序程序Sp2或安装IE6.0。

图3-12  查杀求职信病毒工具

3.3.6  将死者病毒的清除方法

1. 病毒介绍

将死者(Worm.Gone.38912)病毒属于一种蠕虫病毒，该病毒大小为39KB，它本身是一个压缩文件 ，如果打开压缩文件就会变成136KB的文件。此病毒是用Visual Basic编写，且经过压缩软件UPX压缩，反解压工具处理，再使用原始的UPX就不能解压了。由于是Visual Basic编写的病毒，它运行时就需要一个Visual Basic的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活。

2. 传播方式

●      通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。

●      通过IRC聊天工具传送病毒文件。

●      通过ICQ聊天程序将病毒复制给其他ICQ用户。

●      通过MIRC方式，在系统中安装后门程序，病毒制造者可远程控制。

该病毒会伪装成一个屏幕保护程序开始传播，如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时，它会以如下方式显示：

邮件主题：Hi

邮件内容：How are you ?

When I saw this screensaver, I immediately thought about you

I am in a harry, I promise you will love it!

附件名称：GONE.SCR

此病毒还会搜索计算机里的反病毒软件，它首先检查内存中是否有如下程序：

APLICA32.EXE、AVCONSOL.EXE 、AVP.EXE、AVP32.EXE、AVPCC.EXE、AVPM.EXE、CFIADMIN.EXE、CFIAUDIT.EXE、CFINET32.EXE、ESAFE.EXE、FRW.EXE、FEWEB.EXE、ICLOAD95.EXE、ICLOADNT.EXE、ICMON.EXE、ICSUPP95.EXE、ICSUPPNT.EXE、LOCKDOWN2000.EXE、PCFWallIcon.EXE、PW32.EXE、TDS2-98.EXE、TDS2-NT.EXE、VP32.EXE、VPCC.EXE、VPM.EXE、VSECOMR.EXE、VSHWIN32.EXE、VSSTAT.EXE、VW32.EXE、WEBSCANX.EXE、ZONEALARM.EXE

若存在上述程序，病毒将会自动关闭它们，同时查找硬盘上对应文件所在目录，并删除该目录下的所有文件。若无法删除，病毒会修改wininit.ini文件以便在系统重启时删除文件。

3. 手工清除方法

(1) 在纯DOS模式下，进入system目录，键入如下命令：

　DEL GONE.SCR

说明：

删除gone.scr文件。

(2) 回到Windows，运行注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

删除其中名称中含有\gone.scr的键值。

(3) 删除mIRC目录中的REMOTE32.INI 文件。

(4) 删除MIRC.INI文件，用以前的备份文件中恢复该文件。

(5) 该病毒就被轻松清除。