在近来的一段时间,在我们的身边发生了很多事。奥运火炬被抢,CNN事件,汶川大地震。每一件事都让我们揪心的难过。我们很多的网友也在用行动默默的祝福着祖国。其中最普遍的就是把自己的QQ头像换成了爱国红心。以此来表达我们的心情和对祖国的祝福。可就是在这一非常时期,一款名为“红心大盗”的图片木马在互联网上泛滥开来。木马利用红心国旗图加载木马在网页上传播,危害范围非常广大。
木马分析:
当用户拷贝红心国旗图时,木马随之隐藏运行,并释放一个DLL程序植入到EXPLORER.EXE中,木马会破坏常见的安全软件的监控程序,大大降低被感染电脑的安全性。木马在后台秘密记录用户的键盘操作和鼠标操作,窃取用户输入的机密信息,并发送给黑客。与黑客指定的服务器建立网络连接,被感染的计算机被黑客远程安全控制。黑客可在被感染的计算机上进行任意文件操作、进程操作、注册表操作、服务操作、屏幕监控、摄像头抓图、命令操作等,给用户的安全、个人隐私,甚至商业机密造成严重威胁。
木马能迅速查找电脑中是否安装有安全软件,并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件,一旦被劫持,这些安全软就无法运行了。
木马主体:
木马运行后自身复制到被感染计算机系统时会将病毒文件-uninsep.bat.pro.exe和pro.dll释放到系统盘的根目录下,同时替换了kernel32.dll文件,并在系统盘的“%Documents and Settings%\All Users\开始菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe(未加密代码),木马利用8088端口自动连接黑客服务器.它还修改系统注册表,创建名为“scager”的系统服务,实现开机自动启动。该木马具有自我删除功能,当它运行结束后,将代码删除,只剩一个正常图片。
解决方案:
1、利用网络防火墙过滤8088端口访问外网。
2、在安全模式下删除probell.exe和pro.dll文件
3、利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件
用Windows XP安装光盘启动电脑,按“R”键进入启动故障恢复平台,使用以下命令修复(F盘为光驱目录,根据实际情况指定):
| Cd system32 Ren kernel32.dll kernel32dl Expand f:\i386\kernel32.dl- exit |
5、Windows XP下,点击“开始-运行”,输入“msconfig”停止Scager服务。
