辛苦從網上下載了一個軟件�,安裝后沒看到我想要的功能電腦里面卻多了一堆病毒,電腦也出現一個讓人不爽的情況,如最喜歡用的瀏覽器圖標突然都不見了;桌面也多了了淘寶特賣之類的討厭的圖標,崩潰的是刪除以后重啟電腦又會出現;打開瀏覽器首頁突然間變成了陌生網站�,但是我根本就沒有設置過這樣的主頁的����。
接下來就讓我們來認識下這個偽裝成正常軟件的病毒��,經過分析發現這個病毒分工非常明確��,每一個部分都負責不同的功能。
一 木馬大頭目quicklnk.exe
通過分析發現quicklnk.exe就像是帶頭大哥�����,它負責給“病毒嘍羅”分配工作����,如把Internet Exlporer.rar解壓到桌面���,偽裝成Internet Exlporer圖標;把淘寶·特賣.exe��,西游·仙劍.exe兩個文件拷貝到桌面���,并讓它看上去就是一個圖標;把病毒Csrass.exe��,setbrowser.exe 偷偷的啟動起來。
二 木馬嘍羅Csrass.exe
Csrass.exe主要負責的是啟動setbrowser.exe(刪除常見瀏覽器圖標);調用iemonitor.dll(監控瀏覽器啟動并跳轉了指定的導航網站)��。
值得我們注意的是��,這個猥瑣的Csrass.exe利用了一個小技巧讓病毒不斷的復活:Csrass.exe會響應關機或Logff前的消息 WM_QUERYENDSESSION和WM_ENDSESSION�,寫入自啟動項:C:Documents and SettingsAll Users「開始」菜單程序啟動Wscript.vbs����,這個文件包含有讓Csrass.exe自動啟動的代碼,讓人防不勝防�����。
三 木馬嘍羅setbrowser.exe
通過分析發現setbrowser.exe主要負責的是把桌面�、快速啟動欄包含“瀏覽器”,“傲游”��,“谷歌”����,“世界之窗”之類的快捷方式都刪除掉。
四 木馬嘍羅Iemonitor.dll
通過分析Iemonitor.dll主要功能就是監視一些常見瀏覽器的進程啟動���,然后讓他們訪問預先設置的導航網站類似http://www.1busou.com。
五 QQ電腦管家修復處理
針對這個病毒我們可以開啟QQ電腦管家的實時防護功能就可以攔截它入侵你的電腦�����,而已經中招的用戶使用QQ電腦管家的木馬查殺功能即可輕松處理����。
