观察BT木马vmeventmsg.exe感染系统的过程与体会.
这个木马比较BT。感染系统(XPSP2)后,它在C:\windows\下创建一个病毒文件vmeventmsg.exe;并悄悄插入当前运行的所有进程,但可被IceSword、SSM监控发现。进程列表中看不到vmeventmsg.exe进程。
关闭所有程序,用IceSword删除病毒文件。居然删不掉(图1)。
回过头来一看,发现自己忘了结束explorer.exe!汗!不管它。看看重启系统后它还会干些什么。
重启系统,登录到WINDOWS时,SSM报告它企图插入所有启动加载的程序。一一禁止后,这东东“途穷匕首见”,SSM提示它企图在HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN下添加启动加载项"vmeventmsg"=C:\windows\vmeventmsg.exe。禁止它添加!
试试KillBox的威力。就在普通WINDOWS模式,用KillBox强行删除病毒文件C:\windows\vmeventmsg.exe(图2)。
重启后,发现卡巴斯基的服务不能加载(图3)。打开系统服务列表一看,原来是kavsvc被这个木马禁止了(图4)!够BT!!重新开启这个服务。再重启系统看看——OK啦!!
两点体会:
1、 对于菜鸟朋友们来说,下载/安装IceSword、SSM (System Safety Monitor已有汉化版)、KillBox等小巧、实用的工具软件是非常必要的,关键时刻,它们可以帮你解决实际问题。这些软件都是免费的,网上可以找到。
2、 这些免费小工具的使用都不算复杂。如果你确实有使用、设置上的疑问,可以在论坛发帖询问有经验的朋友,他们大都比较热心,会提供一些必要的指导。要注意的是:IceSword的“删除”是直接删除,被删文件不进回收站,应用时应谨慎,以免误删系统文件。
下载地址1、IceSword: http://www.xfocus.net/tools/200506/1051.html
2、KillBox: http://forum.ikaka.com/topic.asp?board=67&artid=5188931(5楼)
3、SSM: http://forum.ikaka.com/topic.asp?board=33&artid=5947503(15楼)。这个是英文版。汉化版超过1M,不能作为附件上传。
