扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
症状描述:今天上网后不久,就接到多位QQ好友的狂骂自己的信息,弄得我莫名其妙。一打听才知道,他们纷纷收到我QQ发送的各种乱七八糟的信息,并且随消息还附带有病毒文件。并且病毒文件的名称也五花八门,搞得我莫名其妙,难道QQ被盗?
于是重新申请一个QQ号,加上好友,结果不出3分钟,就收到接收文件的请求。而且是带有病毒的文件。难道是我的QQ被病毒袭击了?联想到前几天在安装一个从网上下载的程序时,弹出一个错误窗口。当时就觉得不对劲,于是马上进行杀毒,可是并没有发现任何病毒,现在看来一定是这个程序在“捣乱”。
查找线索:打开任务管理器查看,发现一个名为“Rundll32.exe”的进程。普通的应用程序很少调用Rundll32.exe,最常使用Rundll32.exe的就是一些流氓软件,或木马后门,看来这个Rundll32.exe最为可疑。
点击“开始”菜单中的“搜索文件或文件夹”命令,接着搜索“Rundll32.exe”这个关键词。结果在系统目录的SYSTEM和SYSTEM32文件夹中同时发现了Rundll32.exe的踪影。通过对文件图标的分辨很快我就找到了可疑的文件,因为假的Rundll32.exe居然采用了WINRAR的图标。
查找到可疑的文件后,我开始准备查找病毒的启动项。运行注册表编辑器,同样搜索“Rundll32.exe”这个关键词,结果没有发现可疑的启动项。既然没有发现可疑的启动项,我决定开始清除病毒,重新启动系统再检查系统进程,并没有发现Rundll32.exe这个进程,当我启动QQ正准备向朋友报喜的时候,那个“可恶”的进程又出现了。
清除病毒
看来这个QQ病毒并没有想象的那么简单,一定是采用了文件保护的技术,这样当其中一个文件被删除以后,其他的文件马上就会生成一个Rundll32.exe文件的副本。通过刚才的观察和先前的检查,我觉得这个QQ病毒并不是随系统启动的,而是跟着QQ的启动而启动的。于是马上来到QQ的安装目录,检查后又发现一个采用WINRAR为图标的文件,名称为“TIMPlatform.exe”,除此以外还发现一个名为“TIMP1atform.exe”(注意是1不是L)的文件。
TIMPlatform.exe(注意不是1)是QQ和TM共同使用的外部应用开发接口管理程序,属于QQ 2004版,开始就成为不可或缺的底层核心模块。通过对文件属性的查看,发现“TIMP1atform.exe”这个文件是由腾讯开发的。看来这个QQ病毒通过将正规的“TIMPlatform.exe”改名为“TIMP1atform.exe”,而将病毒本身替代了QQ中的该程序。
为了彻底地清除病毒,我通过系统搜索功能利用“TIMPlatform.exe”的时间属性对系统进行搜索,结果又发现了两个文件。首先结束Rundll32.exe这个进程,接着将刚刚发现的两个文件及Rundll32.exe、TIMPlatform.exe删除掉。然后将病毒修改的“TIMP1atform.exe”还原为“TIMPlatform.exe”。
最后再次对系统进行检测,发现注册表中文本文件和可执行文件的关联被更改了,马上通过超级兔子对它进行修复,最终成功的将该病毒从系统中完全清除。
随着QQ用户的逐渐增多,QQ也成为越来越多病毒的温床。其实,稍微有些编程能力的用户就能编写类似的病毒,即使是不能编写也可以通过改造别人编写的病毒来进行传播。这也使得这类病毒体积越来越小,功能越来越多,各种新病毒或变种层出不穷,所以使得现在很多的杀毒软件疲于应付,也很难在第一时间进行查杀。
王强在检查可疑文件时,首先从系统目录着手,在没有彻底清除病毒时,对其他相关目录进行了检查,最终成功清除病毒本身。大家面对这种病毒危害的时候还可以使用杀毒软件厂商开发的专杀工具进行查杀。比如QQ大盗查杀工具、QQKAV、QQ尾巴专杀工具等,都可以很容易的对付这些常见的QQ病毒。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者