昨天晚上21:59,一位同事加网友,在QQ上发来一条消息。这条消息让我在以后的两个多小时时间里,像发了疯似的在我的系统里弄得焦头烂额,我的电脑被重启了N次,系统被注销了2N次,IE和Maxthon被打开关闭了10N次。这样的经验实在太少,写出来与大家分享。
这个令人笨鸟成了疯鸟的消息是这样的:“你好啊笨鸟,这两天我忙着别的事情没怎么上网。今天一上网朋友传给我一段QQ视频,一看那人的QQ昵称跟你的一样,也叫笨鸟,不会是你吧?表演得也太露骨了一点吧?希望不是你。你看看吧!点下面地址可以下载 http://www.18hi.com/123.exe ”
我毫不犹豫地点击下载了这个文件。我没有想到有什么不妥,一是这很像是同事主动发给我的消息,不像是QQ尾巴。更主要的是她还看了我的表演,想到我的光辉形象被如此玷污。是可忍,孰不可忍。我双击执行了这个文件,没有程序运行,就是IE被打开了,可网页显示该页被删除等信息。没看到笨鸟的表演,很是失望。本以为即使没有笨鸟的表演,也应该有个什么麻雀、乌鸦之类的。跟同事一边聊着,一边准备到可亲来灌几壶。
一打开IE,笨鸟傻了眼了,IE起始页被修改了,本来是空白页,现在被www.19ku.com霸占了。同事也发现了同样的问题,问我怎么办,我对她说,你等会。言下之意就是这等小事,我笨鸟还不是手到擒来。可以直到她一个小时以后跟我说再见的时候,我连理会她的劲头都没有了,头上还冒着汗呢(在此向这位可爱又漂亮的同事道个歉,原谅笨鸟的无礼)。
打开internet选项,首页依然是about:blank。关闭IE,再打开,about:blank一闪而过,最后打开的还是www.19ku.com。有木马病毒!头有点痛了。
打开注册表,找到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run没有异常的键值。
用www.19ku.com搜索注册表,没有结果。再次打开IE,发现状态栏在19ku出现之前,还有其它的信息,用PrintScreen SysRq捕捉屏幕,发现在19ku出现之前,有smsad.hexun.com,难道是这个东西作怪,再次搜索注册表,也没有发现smsad.hexun.com的信息。
我重启电脑到另外一个系统里,这个一个最简单的系统,除了声卡显卡驱动,能上网之外,几乎没有任何应用程序,连一个系统升级补丁都没打。在这个系统窗口里,我再次运行病毒程序,希望借此发现一些蛛丝蚂迹。残酷的现实让我再次失望。在这里转悠一阵之后不得不回到原来的系统。
我清理垃圾文件,清理TMP文件,清理系统预读文件,清理IE临时文件,清理cookies。无效。这时我想到hosts文件,许多网页恶意代码都是通过修改这个文件,来达到它们罪恶的目的。但是这个文件也很正常,没有被改动的迹象。我这时想到,你不改,我来改,有些恶意网站就可以通过修改这个文件来屏蔽,可是当我改过之后,IE的起始页成了19ku.com,就是少了三个w,但内容依旧。再屏蔽19ku.com,没用了。
上网查询,没有关于19ku的信息,但发现UltraEdit可以搜索被改动的dll文件,我下载,安装,运行,搜索。还是没有我要找的东西。我快绝望了。
时间已是凌晨,去发了灌水帖,之后就坐在电脑前发呆。
木马,肯定是木马!我对此深信不疑。它是什么时候种到我的系统里的呢?时间!打开QQ,发现同事发给我消息的时间是21:58分。21:58分!!!打开我的电脑,搜索*.*,指定包括隐藏和系统文件,指定文件夹为windows,指定修改时间为3月18日,几十秒钟之后,右边的窗口内列出40多个文件和文件夹,修改日期在21:58前后的只有4个文件,分别是c:/windows/systern32/notepad、c:/windows/systern/notepad、c:/windows/systern/taskmgr.exe、c:/windows/notepad,我毫不犹豫地向它们开刀,但在删除c:/windows/systern/taskmgr.exe时,遇到阻碍。哈哈,这可难不倒我,打开任务管理器,结束进程里的两个taskmgr.exe之中的上面的一个,再去删除taskmgr.exe,OK!!!
注意,不能把systern32文件夹里的taskmgr.exe删除,那可是真的任务管理器程序。再,记住病毒发生的时间非常重要。
这就是恶意网站19KU
