给敏感的系统dll加把锁
之所以把appmgmts.dll、comres.dll这类系统库文件称为“敏感dll”,是因为最近流行的病毒多替换这类dll,导致中毒后难以清理。
url_sexbox.exe就是最近流行的一个恶性病毒,亦属此类替换系统敏感dll的病毒。
此毒运行后:
1、释放/下载很多病毒文件到系统中,病毒文件的类型有:.tmp、.exe、.dll、.sys、.dat、.fon、.ttf。
2、替换system32目录下的系统文件appmgmts.dll和comres.dll。
3、多个病毒模块(.dll、.fon、.ttf)插入系统核心进程以及所有应用程序进程。
4、添加IFEO劫持项,使多种杀软/防火墙失效。
5、感染硬盘各个分区的可执行文件.exe和.htm文件文件。
此毒插入进程较多,进程难以清理。尤其是被病毒插入的系统核心进程(如winlogon.exe等)不能结束,否则系统崩溃重启。
其手工杀毒流程已经写过帖子:
http://bbs.ikaka.com/showtopic-8632960.aspx其实这个病毒是有软肋的。NTFS格式的系统,只要用NTFS权限照顾好appmgmts.dll和comres.dlll这两个DLL(见图1-图2),这个病毒就危害不了你的系统。
图1
图2
下面是做好上述设置后实机运行url_sexbox.exe的结果(图3-图4):
图3
图4
不要说感染文件了,它就连最基本的病毒程序uninstc.exe都没能释放。
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
