我最近为了拷贝一些资料,向朋友借了一个移动硬盘。当移动硬盘接到电脑上后,就开始复制文件。可是没过多久,我发现磁盘中的程序图标,都变成了斑点狗的图标。请问医生,这些斑点狗的图标从何而来?我该如何处理?
改图标留个人感言
看到那些可爱的小狗图标了吧,这就是我“小狗上学”病毒的重要标志。我是用VB编写的病毒,可以通过网页木马、移动设备进行传播。当我在系统中成功运行后,会在系统的System32目录中释放病毒文件Soleboy.exe和副本Soleboy.txt,并在每个磁盘分区目录下生成Soleboy.exe和Autorun.inf,以达到随着移动设备进行传播的目的。
接着我会添加病毒启动项到注册表的Run项目中,以达到开机自启动的目的。然后搜索磁盘中的可执行文件,将这些文件图标改为“斑点狗”的图标。
与此同时,为了逃避安全工具的追踪,我还会对注册表进行修改完成对安全工具的映像劫持(映像劫持是将程序名称添加到注册表中的Image File Execution Options项,当这些程序运行的时候,系统将它们引导到一个“莫须有”的位置,从而造成程序运行的失败),将它们都劫持到病毒文件System32\Soleboy.exe中。
这样当用户运行安全软件时,不但无法运行安全工具,还会激活系统中由我释放的病毒文件。我同时还会查找系统中带有指定关键字符的窗口,关键字包括金山毒霸、瑞星、江民、360安全卫士等,找到后利用Sendmessage函数发送WM_CLOSE命令关闭这些窗口。
然后修改系统之中关于COM和EXE文件的文件关联,将默认关联的程序修改为系统中的病毒文件Soleboy.exe。这样无论是运行COM还是EXE格式的文件,都会立即运行病毒文件。同时我还会删除System32目录中的Taskkill.exe文件,因为它可以用于结束我的进程信息。最后我还在Soleboy.txt中写了一段个人的感言。
巧改名称来杀毒
从作者的留言可以看到,该病毒并没有对系统数据进行破坏,这样就减少了我们修复系统的时间。
第一步:首先下载系统修复工具SREng和安全工具IceSword并分别进行解压,接着将IceSword和SREng改名为1.bat和2.bat。运行工具IceSword,点击工具栏中的“进程”按钮,在进程列表中找到病毒进程Soleboy.exe,现在点击鼠标右键中的“结束进程”命令将它结束。
第二步:接着运行SREng,点击“启动项目”按钮中的“注册表”。选中病毒的启动项Soleboy后,点击“删除”按钮将它清除。接着拖动左侧的滚动条,在下面可以看到很多红色的项目,这些都是被病毒进行映像劫持的内容,同样通过“删除”按钮将这些信息清除掉。再点击“系统修复”中的“文件关联”标签,直接点击“修复”按钮即可修复被窜改的文件管理。
第三步:点击开始菜单中的“运行”命令,输入regedit打开系统自带的注册表编辑器。现在展开HKEY_CLASSES_ROOT\exefile\DefaultIcon,双击该项目后再修改该项数据为“%1”即可。最后选择IceSword中的“文件”管理功能,选中每个磁盘目录中的Autorun.Inf和Soleboy.exe,以及System32目录中的Soleboy.exe和Soleboy.txt,利用鼠标右键中的“删除”将病毒彻底清除。