我于13日上午9时接触该恶意软件,从网上搜寻资料得知很多网友中招,而且这个爆发时间特别选定11月11日。有比较多的人推荐360safe官方的专杀工具,运行查杀工具后自动检测系统是否存在my123及piaoxue、feixue、qqhelper、zaphast等恶意软件,点清除显示已经清除。
但是我遇到的病毒不仅是这么简单,使用了专杀工具后发现有个系统文件c:\windows\system32\zvpglgwm.sys,重新启动后开机有一个错误提示框(找不到yuofbfvl.dll文件)。
现在遇到我处理这个问题的重点,问题是这个病毒的病毒的核心部分是一个驱动程序,该驱动程序是随机文件名的.sys文件,该驱动会在操作系统加载时作为System Bus Extend驱动加载,然后每次开机会将自身以独占方式打开,导致任何Windows下程序也无法读写及删除它。
系统启动后,驱动开始分多个模块工作(分别建立多个线程)
1.服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使得无法删除其服务项。
2.自身文件独占及句柄检测保护模块等,会将自身文件以独占方式打开,这样若不解除独占,任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件。但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即再次独占。
3.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com,导致无法对该项进行修复。
使用的工具和方法:
1、使用了注册表修复工具-SystemRepairEngineer清除HOST里面一些文件127.0.0.1指向流氓软件地址,恢复了一些错误的打开连接。
2、使用卡卡安全助手恢复IE。
3、使用360安全卫士。
4、使用黄山IE修复工具。
5、安装KV2006。
6、手动处理服务列表中的服务,查看可疑的启动文件,清理注册表启动项。
关键步骤:
1、使用360专杀工具,两款都使用过,但未能清除,可能遇到的是一个变种程序。
2、使用windows清理助手,完全清除,进行驱动级清理程序。
3、重新启动后使用卡卡安全助手恢复IE。
附:
为什么这个流氓软件会在11月11日这天突然大面积爆发?
该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间,如果在这段时间之内,那么则潜伏下来,只有模块1和模块2运行,不修改主页,到了11月11号这天,则启动模块3,强行篡改用户主页。也就是说 11月开始,该流氓早已在大量用户的机器上潜伏下来(去看了下各个可能感染源的连接,每个都有数百万乃至数千万的下载量,有些更是在一些知名的下载网站上)软件一直不发作,等到11日,就会突然发作,造成“my123流氓不明原因大面积爆发”的现象,既使反流氓组织措手不及,又使得查出流氓感染源变得困难重重,从piaoxue,feixue,再到现在的my123,其流氓手段已经同病毒无异,此次的my123已经完全具备了衡量病毒的三大特征: 潜伏性、传播性、破坏性。)
在我们在道德上对这些病毒作者及网站站长进行谴责的同时,这些人更应受到法律的制裁。
文中部分内容转帖来自360安全工程师!