专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 杀毒 | Win7 添加 WWW.SQ120.COM 到收藏夹

首页

菜鸟学堂

DIY乐园

故障专题

网络专区

软件专区

硬件专区

在线答疑
  您现在的位置: 首页>>网络专区>>新闻 >> 斑点狗病毒是什么

斑点狗病毒是什么

日期:2009-11-17 13:36:38     点击:

 

  我最近为了拷贝一些资料,向朋友借了一个移动硬盘。当移动硬盘接到电脑上后,就开始复制文件。可是没过多久,我发现磁盘中的程序图标,都变成了斑点狗的图标(图1)。请问医生,这些斑点狗的图标从何而来?我该如何处理?

改图标留个人感言
  看到那些可爱的小狗图标了吧,这就是我“小狗上学”病毒的重要标志。我是用VB编写的病毒,可以通过网页木马、移动设备进行传播。当我在系统中成功运行后,会在系统的System32目录中释放病毒文件Soleboy.exe和副本Soleboy.txt,并在每个磁盘分区目录下生成Soleboy.exe和Autorun.inf,以达到随着移动设备进行传播的目的。
  接着我会添加病毒启动项到注册表的Run项目中,以达到开机自启动的目的。然后搜索磁盘中的可执行文件,将这些文件图标改为“斑点狗”的图标。
  与此同时,为了逃避安全工具的追踪,我还会对注册表进行修改完成对安全工具的映像劫持(映像劫持是将程序名称添加到注册表中的Image File Execution Options项,当这些程序运行的时候,系统将它们引导到一个“莫须有”的位置,从而造成程序运行的失败),将它们都劫持到病毒文件System32\Soleboy.exe中。
  这样当用户运行安全软件时,不但无法运行安全工具,还会激活系统中由我释放的病毒文件。我同时还会查找系统中带有指定关键字符的窗口,关键字包括金山毒霸、瑞星、江民、360安全卫士等,找到后利用Sendmessage函数发送WM_CLOSE命令关闭这些窗口。
  然后修改系统之中关于COM和EXE文件的文件关联,将默认关联的程序修改为系统中的病毒文件Soleboy.exe。这样无论是运行COM还是EXE格式的文件,都会立即运行病毒文件。同时我还会删除System32目录中的Taskkill.exe文件,因为它可以用于结束我的进程信息。最后我还在Soleboy.txt中写了一段个人的感言。
巧改名称来杀毒
  从作者的留言可以看到,该病毒并没有对系统数据进行破坏,这样就减少了我们修复系统的时间。
  第一步:首先下载系统修复工具SREng和安全工具IceSword并分别进行解压,接着将IceSword和SREng改名为1.bat和2.bat。运行工具IceSword,点击工具栏中的“进程”按钮,在进程列表中找到病毒进程Soleboy.exe,现在点击鼠标右键中的“结束进程”命令将它结束。
  第二步:接着运行SREng,点击“启动项目”按钮中的“注册表”。选中病毒的启动项Soleboy后,点击“删除”按钮将它清除。接着拖动左侧的滚动条,在下面可以看到很多红色的项目,这些都是被病毒进行映像劫持的内容,同样通过“删除”按钮将这些信息清除掉(图2)。再点击“系统修复”中的“文件关联”标签,直接点击“修复”按钮即可修复被窜改的文件管理。

  第三步:点击开始菜单中的“运行”命令,输入regedit打开系统自带的注册表编辑器。现在展开HKEY_CLASSES_ROOT\exefile\DefaultIcon,双击该项目后再修改该项数据为“%1”即可(图3)。最后选择IceSword中的“文件”管理功能,选中每个磁盘目录中的Autorun.Inf和Soleboy.exe,以及System32目录中的Soleboy.exe和Soleboy.txt,利用鼠标右键中的“删除”将病毒彻底清除。

 

相关新闻
 
了解JS挂马方式 如何防止视频漏洞攻击
在线看小说当心中毒 吸血鬼病毒查杀
如何利用ActiveX挂马 windows蓝屏的原因
如何防止买到假火车票 如何防止arp攻击
qq防盗注意事项 如何给木马加壳
什么是病毒副本
Realplayer漏洞需注意 什么是硬件黑客
盗号木马工作原理 DG远程控制木马
 
搜索排行
热门知识

本站专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 其他
电脑知识网 版权所有 严禁转载本站文章 违者追究法律责任
业务联系 TEL:13951366782
苏ICP备05048721号