sylali 2007-12-2 18:15
关于最近猖獗的盗号
[url]http://bbs.ngacn.com/read.php?tid=1365738&fpage=1[/url]
这里有说明,一个real player和windows的漏洞造成的,最近请提高警惕,小心类似的网站。
[url]http://www.wowmovies.cn[/url]里的病毒清除方法
wowmovies可能和此事并无关系,只不过他网站有问题,被人挂马而已!
打开我的电脑,选上面的“工具”,选择“文件夹选项”,点击“查看”,去掉“隐藏受保护的操作系文件(推荐)”前面的勾,点选“显示所有文件和文件夹”,再点“应用”。
然后看看是否有C:\WINDOWS\system32\gdmsi32.dll这个文件,这个文件在正常的电脑里是没有的,也是病毒的主要文件。
查杀方法:
重新启动计算机,按F8进入安全模式。
删除以下文件:
C:\WINDOWS\system32\gdmsi32.dll(关键文件!)
C:\WINDOWS\system32\gdmsi32.cfg(以上2个文件删除时会提示是系统文件,正常,加上系统权限的话一般就看不到了。直接确认就可以了。)
C:\name.log(如果没有则不用理他,关键的是其他3个文件)
c:\documents and settings\username(这里可能不同,选你当前账号命名的文件夹就是了)\local
settings\temp\tmp3.tmp(也可能是其他类似的文件,比如temp7c.tmp或temp13.tmp。该文件是驱动文件)
很简单的病毒,但是很实用。由于不会逆向,所以病毒的工作原理就不大清楚了。但是清除以上文件后他也无法运作了。
解决方法:
没升级RealPlayer最新安全补丁的以后都别随意浏览网站了。
升级方法,点击RealPlayer上面的“工具”,然后选择“检测更新”。
也可以点击以下站点调用RealPlayer自动更新:
[url]http://service.real.com/realplayer/security/191007_player/en/securitydb.rnx[/url]
[ [url]http://service.real.com/realplayer/security/191007_player/en/securitydb.rnx[/url] ]
关于该病毒:
运行exe文件后,生成gdmsi32.dll和name.log,然后生成tmp3.tmp(也可能是其他的)并注册成名为ms的驱动,这样他就可以随系统启动找不到痕迹了。然后删除自身。这时候病毒已经开始起作用了,盗号就不说了。重新启动后,利用驱动把gdmsi32.dll注入进程,关键系统进程没发现注入,但是开的程序基本都被注入,包括windows更新用的wuauclt也被注入,那WOW也不在话下。所以,对比WOW的MD5已经没用了,因为病毒已经注入到其中了(并没有修改本身的文件,MD5不变)。病毒盗号主要是利用gdmsi32.dll来进行工作的。安全模式下多余驱动不会被加载,所以安全模式下删除这些文件后基本清除干净。但是驱动列表中还会有病毒残留的注册表信息,但是已经没有任何作用,因为需要的文件已经被删除。
其他:
用暴风影音的建议安装最新版本(暴风影音2最近也有执行任何文件的漏洞),并停用ccosmContrl Center of Storm Media服务,停用方法如下:
控制面板>管理工具>服务>双击ccosmContrl Center of Storm Media服务,先点“停止”,然后在启动类型的下拉菜单中选择“已禁用”再确定就可以了。
关于此服务:该服务是暴风影音用在自动更新的,但是近日爆出的漏洞就是由于该程序。一般不需要该服务!
不保证只是这种病毒,有问题请跟帖。
喵就对了 2007-12-3 17:40
大米你不是要人帮你完整人生么?去下载个这样的病毒呀