高波(Backdoor.Win32.Agobot.bhj),此病毒会对用户造成无法正常使用复制、粘贴,注册表等,并占用CPU为百分百,计算机速度一降到底。此病毒将自身复制到%windir% 和%windir%\system32 目录下,并添加注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nvcpl rundl32.exe、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runservices nvcpl rundl32.exe以达到自启动的目的,对注册表编辑器形成强制性关闭,导至用户无法打开注册表,此时应立刻断网、并重新启动计算机进行安全模式,进行查找系统盘与注册表中的rundl32.exe文件删除后(图三),对系统进行全盘杀毒,并打入补丁程序。
rundl32.exe文件查找
CHM木马程序经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),采用隐藏进程手段,对标题包含QQ、ICQ、MSN、股票、在线支付、银行等关键字进行记录并通过电子邮件形式发送。用户一但感染可采取断开网络,升级杀毒软件对电脑进行全盘杀毒的自动清除,或者采用手工清除方式只要找到%SystemDir%\dllcache\pk.bin, 3680字节(病毒配置文件),%SystemDir%\dllcache\phantom.exe, 393216字节(病毒程序),%SystemDir%\dllcache\kw.dat, 803字节(病毒配置文件),%SystemDir%\dllcache\phantomhk.dll, 8704字节(病毒模块),%SystemDir%\dllcache\phantomi.dll, 215040字节(病毒模块),%SystemDir%\dllcache\phantomwb.dll, 40960字节(病毒模块)一一删除,随后进入注册表找到如下键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"Phantom" = %SystemDir%\dllcache\phantom.exe进行清除(图四),最后将系统打上微软MS03-014和MS04-023系统漏洞补丁即可。
工行钓鱼木马,此木马会在用户计算机中生成svchost.exe文件,通过自行修改注册表方式随同操作系统运行,该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。清除方法相对简单,只要运行升级完成后的杀毒软件进行查杀即可或者在系统目录与注册表中找到svchost.exe与相对关联键值删除即可。
安全须知
现在通常使用的杀毒软件都具备超强的杀毒软件引擎,加大了对加壳型木马的识别杀死功能,如金山毒霸推出的具有“脱壳引擎”的互联网公开测试版本,能90%对病毒采用的壳进行脱壳处理,而在瑞星中,使用了Generic和变种共性特征比对技术,从而形成对一个群族的病毒进行查杀,起到了良好作用,在以后的岁月里虚拟技术更将是预知未来病毒的一种先驱。