AV终结者病毒发作状况及应对

来源：太平洋电脑网 作者：瘦猴 编辑：帝国战猪 日期：06-13 点击次数：

一个朋友来电话说刚安装好的系统连上宽带只有半个小时，没有安装杀毒软件，现在想下载360安全卫士，但是只要打开360的网页浏览器就会马上关闭，问是怎么回事。听他这么说偶感觉不妙，因为听说过有这样的病毒，只要搜索与杀毒有关内容就会马上关闭ie，偶让他试试搜索“杀毒”结果证明的确如此，搜索其他内容则没问题。看来这位朋友应该是中了这种病毒了，今天好运可以会会这个病毒。

一 先简单的分析

据目前流行病毒的特性，估计这种病毒可能会具有一下特性：1 修改注册表使无法显示隐藏文件；2 在d、e、f等其他盘下藏身，并生成autorun.inf文件；3 关闭杀毒软件，阻止杀毒软件、维护软件的运行；4 破坏注册表使系统无法进入安全模式；5 感染其他文件等。

二 初窥真面目

通过QQ远程，首先看到朋友的桌面，先查看进程竟然没有发现可疑进程，看来病毒应该是注入某系统进程里面了。然后打开文件夹选项，将系统默认的“不显示隐藏的文件和文件夹”改为“显示所有文件和文件夹”，应用确定后再次打开，又变成了默认的不显示，验证了第1个特性。现在要想办法看到病毒的真面目，我们可以在命令提示符下使用dir /a来查看隐藏文件，但实际发现QQ远程控制在命令提示符下反应非常慢，无奈只好采用其他办法查看隐藏文件。
运行winrar（不要说你不认识，呵呵），在winrar的资源管理器下清楚地看到了D盘下有两个文件（其实除了C盘其他盘都有），一个是autorun.inf（呵呵，这个大家都很熟悉了吧），另一个就是病毒文件8ADEDDA1.EXE，打开autorun可以看到命令open=8ADEDDA1.EXE，也就是说只要双击d盘，就会运行病毒8ADEDDA1.EXE。上面提到的病毒第2个特性也被验证了：

图1（远程上抓图的）


不过这里要说明一下，虽然在每个盘上都有autorun文件存在，但是不同以前，在用鼠标右键点击磁盘时，第一项却没有“auto”项，而是正常的“打开”，看来病毒也在完善自己：
图2 （这几张是后来到家里实际补抓的）


图3


由于远程控制无法解决，打算第二天亲自去看看，所以这次远程就此结算。

三 出发前的准备

出发前该准备些什么？1）首先到网上搜索是否有该病毒的资料，这样可以更多的了解病毒，从前辈那里得到一些解决的经验，不过该病毒名是随机生成的，用百度没有搜到8ADEDDA1相关信息，换为“搜索杀毒自动关闭”，结果搜索到的文章最后的解决方法都是重新安装系统，对咱来说没有什么意义。看来要自己摸索了，呵呵！
2）准备好带有dos、pe的工具光盘，这些可能会用到。
3）准备好u盘，放入常用的维护工具，包括IceSword（冰刃），360安全卫士，sreng2，注册表修复文件等。360可以从硬盘上将安装好的360文件夹整体拷贝出来用，为了防止病毒删除、破坏360，最好将文件夹压缩为压缩包；注册表修复文件应当包括有安全模式修复、显示隐藏文件修复、文件关联修复等等。
4）u盘免疫。什么是u盘免疫？为了防止u盘被病毒感染而采取的手段。因为偶的u盘没有lock功能，只好使用伪病毒的方法来免疫，具体方法是新建文本文档，保存为8ADEDDA1.EXE和autorun.inf（注意真正的扩展名）.这样病毒会认为u盘已经有了同样的病毒，但注意这个伪造的病毒大小为0字节。

 

四 就要出发了

晕倒，第二天全城停电！（呵呵，这么巧）！晚上终于来电，8点准时到朋友家。先来点啤酒热身一下，嘿嘿！