捕获时间

2007-12-12

病毒症状

该病毒使用VC++编写的恶意程序，程序未经过加壳，长度225,280字节，图标为动画片<机器猫>中哆啦A梦的头像，病毒扩展名为exe，主要通过可移动存储、文件捆绑等方式传播。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

可移动存储、文件捆绑

技术细节

病毒分析

【电脑一旦中此病毒，计算机将会播放动画片《机器猫》中的经典音乐插曲，伴随着音乐，屏幕会瞬间变为蓝色。同时该病毒通过hook消息的方式使得键盘和鼠标部分功能失效，无法激活任何应用程序。虽然病毒无法有效阻止用户使用键盘CTRL+ALT+DEL组合键，但病毒作者却使用修改注册表方式，刻意禁用了任务管理器以阻止用户中毒后的手工清毒；更严重的是，重启计算机后病毒会通过启动项自动运行，导致上述现象重复发生。】
以上是微×点关于此毒的介绍。
我将此毒放入系统，观察到的现象基本如上述。
但是以下1－2两点，微×点的介绍没有提及：
1、中招后，用户使用键盘CTRL+ALT+DEL组合键，虽然不能调用任务管理器，但是可以注销当前用户。注销后可以紧接着再次登录系统。
2、以同一用户身份再次登录系统后，病毒加载速度不如瑞星快。
3、瑞星虽然目前还不能杀此毒，但中招用户完全可以利用上面提到的时间差，打开瑞星2008的主动防御设置界面。界面打开后，病毒才开始运行。此时，系统桌面依然被一片蓝色覆盖；但已经打开的瑞星2008主动防御设置界面不受病毒影响，用户照样可以根据需要设置“程序启动控制”规则（图1），禁止病毒.exe和.dll加载。
4、上述设置完成后，再次注销当前用户，然后，再次登录系统。此时，病毒已经被刚刚设置好的“程序启动控制”规则制服。显示隐藏文件后，病毒文件可直接删除（图2）。
5、按照图3－图4所示清理一下注册表即可。

图1


图2


图3



图4