筆者最近遇到一個(gè)采取另類方式啟動(dòng)的病毒——QQ樂(lè)(Worm/QQMsg.Lee)，現(xiàn)把一波三折的查殺過(guò)程和一些經(jīng)驗(yàn)寫出來(lái)，供朋友們參考。

某日在QQ里連續(xù)收到一位朋友發(fā)來(lái)的消息，該消息中都帶有一串網(wǎng)址，經(jīng)證實(shí)并不是他主動(dòng)發(fā)來(lái)的，于是懷疑他的電腦中了病毒。筆者首先打開(kāi)金山網(wǎng)鏢防火墻，檢查發(fā)現(xiàn)一個(gè)正在訪問(wèn)網(wǎng)絡(luò)的可疑程序“System32.exe”，通過(guò)名字可以看出它是想與System32文件夾相混淆，于是點(diǎn)擊右上角的“結(jié)束進(jìn)程”殺掉它。然后按圖索驥到C盤根目錄下找到并刪除它，接著打開(kāi)了注冊(cè)表編輯器。因?yàn)橐话隳抉R和病毒都喜歡在這里添加自啟動(dòng)鍵值，但是檢查了所有以RUN為開(kāi)頭的項(xiàng)都沒(méi)有與這個(gè)文件相關(guān)聯(lián)的啟動(dòng)項(xiàng)，看來(lái)這個(gè)病毒十分狡猾。

接著在資源管理器中檢查Win.ini和System.ini，因?yàn)橛行┎《緯?huì)在Win.ini中的[Windows]小節(jié)下的load和run字段后面，以及System.ini中的[boot]小節(jié)的Shell=Explorer.exe后面添加啟動(dòng)項(xiàng)，以便每次開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行。誰(shuí)知這些地方仍然一無(wú)所獲，不過(guò)卻意外發(fā)現(xiàn)系統(tǒng)中多出了一個(gè)管理員賬戶“Lee”，懷疑是病毒添加的，于是刪除它。

正在筆者為找不到毒源而納悶時(shí)，進(jìn)程中又重新出現(xiàn)了病毒文件“System32.exe”，而且被刪除的賬戶也重新恢復(fù)。看來(lái)如果不找到病毒的啟動(dòng)機(jī)制，就難以徹底制服它。于是筆者打開(kāi)“搜索”，在“文件中的一個(gè)字或詞組”(這里可以搜索文件內(nèi)部的內(nèi)容)一欄中輸入“System32.exe”，經(jīng)過(guò)一番等待，在搜索結(jié)果中發(fā)現(xiàn)了數(shù)個(gè)“AutoRun.inf”文件，用記事本打開(kāi)它，內(nèi)容為：

[autorun]

open=System32.exe

原來(lái)病毒自啟動(dòng)的根源在這兒。感染病毒后它會(huì)在每個(gè)分區(qū)的根目錄下創(chuàng)建Autorun.inf文件和病毒體System32.exe、System32dll.dll，使得每次雙擊盤符打開(kāi)時(shí)病毒都會(huì)自動(dòng)運(yùn)行(原理與自啟動(dòng)光盤相同)，這種方法確實(shí)比在注冊(cè)表中添加啟動(dòng)項(xiàng)更不容易被發(fā)現(xiàn)。筆者接著又利用前面的搜索方法，查找“Lee”這個(gè)關(guān)鍵字，結(jié)果發(fā)現(xiàn)了一個(gè)自動(dòng)創(chuàng)建管理員賬戶的批處理文件“Admin.bat”。用記事本打開(kāi)它，內(nèi)容如下：


　　net user lee abcd1234!@# /add

　　net localgroup administrators lee /add

通過(guò)內(nèi)容可以看出病毒是要增加一個(gè)名為lee，密碼為abcd1234!@#的新賬戶，然后將它加入管理員組中(即賦予管理員權(quán)限)。毒根找到了，下面就可以大開(kāi)“殺戒”了，把找到的這些文件統(tǒng)統(tǒng)刪除。

IM病毒防范技巧：

1. 用QQ等即時(shí)通訊工具聊天時(shí)，除了開(kāi)啟病毒和網(wǎng)絡(luò)防火墻以外，還要打開(kāi)嵌入式防火墻，例如金山毒霸6中的“騰訊QQ、MSN Messenger、ICQ安全助手”。至少要把金山網(wǎng)鏢等防火墻的安全級(jí)別設(shè)置到中以上，才能更有效攔截木馬程序和網(wǎng)絡(luò)攻擊。

2. 不要隨意點(diǎn)擊QQ中的鏈接，因?yàn)樵S多病毒都會(huì)偽裝成網(wǎng)頁(yè)鏈接，并通過(guò)消息中具有欺騙和誘惑的文字讓你去點(diǎn)擊，例如QQ小尾巴。