机器猫病毒及其杀毒流程
样本来自http://bbs.kafan.cn/viewthread.php?tid=201861&extra=page%3D1&page=1
【电脑一旦中此病毒,计算机将会播放动画片《机器猫》中的经典音乐插曲,伴随着音乐,屏幕会瞬间变为蓝色。同时该病毒通过hook消息的方式使得键盘和鼠标部分功能失效,无法激活任何应用程序。虽然病毒无法有效阻止用户使用键盘CTRL+ALT+DEL组合键,但病毒作者却使用修改注册表方式,刻意禁用了任务管理器以阻止用户中毒后的手工清毒;更严重的是,重启计算机后病毒会通过启动项自动运行,导致上述现象重复发生。】
以上是微×点关于此毒的介绍。
我将此毒放入系统,观察到的现象基本如上述。
但是以下1-2两点,微×点的介绍没有提及:
1、中招后,用户使用键盘CTRL+ALT+DEL组合键,虽然不能调用任务管理器,但是可以注销当前用户。注销后可以紧接着再次登录系统。
2、以同一用户身份再次登录系统后,病毒加载速度不如瑞星快。
3、瑞星虽然目前还不能杀此毒,但中招用户完全可以利用上面提到的时间差,打开瑞星2008的主动防御设置界面。界面打开后,病毒才开始运行。此时,系统桌面依然被一片蓝色覆盖;但已经打开的瑞星2008主动防御设置界面不受病毒影响,用户照样可以根据需要设置“程序启动控制”规则(图1),禁止病毒.exe和.dll加载。
4、上述设置完成后,再次注销当前用户,然后,再次登录系统。此时,病毒已经被刚刚设置好的“程序启动控制”规则制服。显示隐藏文件后,病毒文件可直接删除(图2)。
5、按照图3-图4所示清理一下注册表即可。
图1
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)
