因为近来发现很多朋友都在论坛上发表一些类似的问题,所以特别整理里一点这方面的方法供大家参考! 在此首先要感谢以下朋友的提点――魔法学徒 电脑+足球 endurer 风之咏者 刺客刺客
最近和QQ的好友聊天中,收到奇怪的消息:
[你好啊 {自己的QQ名},这两天我忙着别的事情没怎么上网,今天一上网朋友传给我一段QQ视频,一看那人的QQ昵称跟你的一样,也叫 {自己的QQ名},不会是你吧?表演得也太露骨了一点吧?希望不是你。你看看吧! 点下面地址可以下载http://***chinav32.51.net/123.exe]
出于好奇点开一了网址,下载了一个小程序,并点击运行!结果打开IE总是自动连接到一个网址,十分可恶!虽然只是一个搜索引擎,但还是不舒服,所以决定修改。但这个问题在尝试了修改IE属性、优化大师、上网助手、注册表等依然不能解决~~~~~~~~~~~~
凭借多年和恶意程序和病毒攻击斗争后得到的经验,我判定肯定是恶意程序在启动中加载了自己,并很好的隐藏了源文件,导致系统不断加载,反复诱导IE连接目标网站并强迫QQ发给其他好友上面的消息。
在检查启动项后果然发现多出一个[系统盘符]:\WINDOWS\system\taskmgr.exe这样的一个自启动项(本人经常整理启动项,自己的启动项都很清楚,所以可以很快分析出这项有问题,请大家平时也要注意这方面)
马上删除该项,并打开任务管理器(XP系统)结束该进程,结果发现任务管理器被关闭,连试几次发现有两个同名进程,其中一个结束后IE不在自动连接恢复空白页!仔细考虑后,觉得恶意程序有可能伪装成系统进程,所以在系统盘中搜索了一下,找到后发现路径是系统盘符]:\WINDOWS\system32\taskmgr.exe。怎么不是启动的路径?还是谨慎一点,检查该程序的属性,发现该程序有版本、兼容性内容(注意!这是分辨病毒与真正系统文件的一个方法,虽然不是100%准确也可做到防止你误删除.EXE文件)。点击打开发现真的是任务管理器(本人也是菜鸟,所以对系统文件不是很熟),好这么说肯定是\WINDOWS\system这个文件夹下的那个冒牌货搞的鬼,删!
兴冲冲找到这个文件夹,结果发现根本没有这个文件!别急,打开隐藏文件,再看看。还是没有?这下我可慌了,难道判断失误?正在疑惑中忽然论坛的朋友说就是它删了就好了,我马上想到了98下可以看到一个文件夹可XP下看不到(这个文件夹是XP系统备份所用,出于安全考虑在XP系统下隐藏了,即使打开显示的隐藏功能也看不到),是不是利用了这一点?马上重新启动到98下,哈!果然是这样!!!(XP安全模式也可)删除,回到XP,解决了~~~~~~~~~~~~~~~~~~~~~
在此总结了一下,在当前各种广告拦截软件盛行的时代,为自己的网站做个宣传已经很难了,只好搞一些恶意的程序来修改IE。不过面对上网的菜鸟军团实力的增加和杀毒软件及辅助优化软件的的崛起,普通的方法已经不能达到目的,所以恶意程序的编程者开始利用以下几点:
1.网络诱惑 用QQ来传播一些有诱惑力的文字,利用大家的好奇心去钓大家上钩,从而中招
2.深层攻击 从最早的修改IE主页、修改标题栏到锁定IE选项、锁定右键菜单再到锁定注册表,恶意程序可谓用心良苦。但在我们这些菜鸟通过网络联合起来,并得到大虾的帮助后,它们只好使用更深层的攻击――隐藏自己并自启动
3.间谍伪装 简单的隐藏也不能保护自己的时候,就想到了伪装,如自然界中的保护色一样!利用大多数我这样有一定经验,却不熟悉系统文件的菜鸟不敢碰触系统文件的心理,把自己伪装成和正常系统同名的文件,即使你注意了也不会怀疑,即使你怀疑了也不敢动,即使你想动它也很难找到!真可谓是道高一尺魔高一丈啊!
4.也许恶意程序源文件不尽相同,但多是以上的手段,有类似问题可自己试着套用,要多动脑子啊
|