中了myRunner病毒的症状 :
VC写的发送QQ尾巴和盗取信息的木马病毒
一旦感染,病毒将执行下列操作:
复制到系统目录:
"%SYSDIR%/?.exe"->该文件的文件名为一个空格
"%SYSDIR%/notepad?.exe->该文件同样带有空格
"%SYSDIR%rundll32.exe
显示一个消息框,标题:“提示”,内容:
“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电
脑上安装!”
病毒盗取QQ用户名、密码
病毒发送QQ信息给在线好友。内容一般为:
好漂亮的动画哦,可以打开看看吧.exe
一个对你目前工作很有帮助的好东东.exe
你一定需要的工作资料(网上找到的).exe
接啊,快接啊,推荐给你看看.exe
QQTalk(QQ聊天秘籍,给你看看吧).exe
网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
笑死我了,你看过这个FLASH吗.exe
今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
超级MM,超级FLASH,请你笑纳.exe
腾讯QQ特殊使用技巧之动画教程(对你一定很有用的).exe
网上听收音机(调到第5个频道,我们边聊边听吧).exe
在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe
看看我的高清晰视频图像,比QQ自带的强10倍.exe
你先看看我用静态照片制作成的MTV吧,我马上回来.exe
病毒运行后首先查找注册表中有无HKLM/Software/Classes/MSipv/MainVer值,如果有则不进行对系统的感染,如果没有该值,则建立HKLM/Software/Classes/MSipv项,然后尝试从以下注册表启动项位置:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices
删除一些木马程序的启动项:
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE.EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。
病毒创建自身副本到系统目录下:
%System%/?.exe
%System%/notepad?.exe
%Windows%/System/RUNDLL32.EXE(如果是Windows2000/XP)
%Windows%/System32/RUNDLL32.EXE(如果是Windows9x)
并修改EXE和TXT的文件关联:
HKLM/Software/Classes/exefile/shell/open/command
EXE文件关联被修改为“?%1%*”
HKLM/Software/Classes/txtfile/shell/open/command
TXT文件关联被修改为“notepad?%1”
注:其中“?”不是单纯的一个空格,而是一个字符。病毒感染系统后也会显示如图(附件)对话框。
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。
最后在注册表建立病毒标记:
HKLM/Software/Classes/MSipv/MainSetup
HKLM/Software/Classes/MSipv/MainUp
HKLM/Software/Classes/MSipv/MainVer
其中MainSetup和MainUp值相同,但不固定。
病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%/?.exe
%System%/notepad?.exe
%Windows%/System/RUNDLL32.EXE(如果是Windows2000/XP)
%Windows%/System32/RUNDLL32.EXE(如果是Windows9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联
