2011-04-02 手工清除QQ连发病毒

一、感染病毒的原因
1.用户对安全不重视(只要能上网就可以了)
2.不知道如何去防范(计算机水平不高)
3.利用用户的心理弱点(好友发过来的网址,当然要看)
4.通过计算机漏洞感染病毒(例如IE漏洞)

 

二、使用工具
1.文件监视
2.查杀进程
3.反编译
4.注册表快照
5.病毒原体（慎重）(nicex)

 

三、分析病毒
1.原理
QQ连发消息病毒: 一般都是用HOOK技术实现
例如:
 char buff[256];
 SendMessage(hwnd, WM_GETTEXT, 256 buff);
 SendMessage(hwnd, WM_SETTEXT, 256 buff);

2.QQ病毒感染的方法
 A.写入或者更改注册表
 B.建立新文件或者更改系统文件
 C.注入或者感染进程

 

四、清除病毒
1.脱壳
先用ULtraEdit用打开,查看里面的字符串，看看用什么工具加的壳,会发现里面有个“aspack”，原来是Aspack加的壳!
找脱壳工具AspackDie脱壳!生成文件为love.exe

2.反编译
打开反编译软件
Disassembler -> Open file Disassembler
打开love.exe文件
打开 Search -> Find text -> Find out输入 .exe -> Find next
发现有 winhelp.exe system.exe WINhelp32.exe Explorer.exe DirectX.exe

3.注册表快照
打开注册表快照 -> 新建快照 -> 仅注册表 -> 用户模式 -> 在快照的说明里面输入:111 -> 确定
打开文件监视软件 -> 按”CTRL+L” -> 在INCLUDE的里面输入love.exe -> 在下面选择:Log Opens 和Log Writes选项 -> Log Reads 不选择 -> 选择OK
这两个软件,不要关闭

4.运行病毒
双击love.exe运行病毒
稍等10秒,打开刚才的文件监视工具.CTRL+E 停止它的运行 -> 打开刚才的注册表快照软件
文件 -> 新建和刚才的一样 -> 在快照说明里面输入222 -> 点击OK
打开注册表快照的 -> 文件 -> 比较 -> 确定

5.查看注册表
被删除0项，被修改 21项，新增2项

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run"="WINhelp32.exe“

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="Explorer.exe C:\\WINNT\\system32\\DirectX.exe"

6.查看文件
打开刚才的文件监视:查看CREATE(新建)的项,其中发现生成:
C:\winnt\system32\system.exe
C:\winnt\system32\WINhelp32.exe
C:\winnt\system32\WINHELP.exe
C:\winnt\system32\DIRectX.exe
C:\WINNT\INTRENAT.EXE

7.开始删除病毒
打开我的电脑àwinnt\system32
找到system.exe 删除
找到WINHELP.exe 删除
找到WINhelp32.exe删除
找到DirectX.exe删除
然后把C:\WINNT\INTRENAT.EXE删除

8.查杀工具
其中WINHELP.exe不能杀死，打开进程查杀工具,找到WINHELP.exe进程，在上面右键->kill
现在再删除这个文件，用同样的方法,把注册表打开.regedit
找到“run”=“WINhelp32.exe“ 修改成 "run"=“”
找到 "shell"="Explorer.exe C:\\WINNT\\system32\\DirectX.exe"，修改成 "shell"="Explorer.exe"

 

五、保护自己
1.装上 杀毒软件
2.装上 防火墙
3.经常更新病毒库,经常打补丁!
4.还有一些别的,可以参看上次课程<<配置安全的个人计算机>>

 

------------------------------------------------------------华丽的分界线--------------------------------------------------------
待熟悉工具：脱壳工具AspackDie、反编译软件、注册表快照工具、文件监视工具、进程查杀工具