MSN Photos 木马的解决方案
昨天下午不幸中招.某个中毒的唱片公司企宣发给我photos.zip,打开此压缩包,里面有一个photos album-2007-5-26.scr的文件,我以为是他们公司艺人的专辑图片做的屏保,先用McAfee查毒,没报,于是就放心的双击.但是双击本来是预览这个屏保,我没发现屏保出现,我就意识到这个是病毒.我发现我的MSN马上就变得不正常了,能看到在同别人联络,马上结束msn进程.查毒.
这个毒在功能上还比较弱智,但是采用了Themida加壳,且自带Anti-虚拟机,这使得传统特征码方式的杀毒软件难以取出有效的特征码.查杀过程比较简单.打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
ShellServiceObjectDelayLoad下的syshosts,记录一下这个值,删除掉syshosts这个键,然后所有一下刚刚那个键值,删除所有含这个键值的注册表项.用强制工具或者重启后删除C:\Windows\photos.zip,删除C:\windows\system32\syshosts.dll,清除C:\WINDOWS\Prefetch所有预加载文件.如果不放心可以再搜索一下phtos,看到可以的就杀.
不知道今天会不会有专杀工具出来.