前几天在我的爱机上无意中获得一个QQ盗号木马--wdm.exe的一个变种:Ravdm 木马病毒。这可恶的家伙竞然想盗我的QQ号,呵呵…!没门…!它在试图运行时就被我的终截者发现并拦截了。经过分析,此病毒的主程序为ravdm.exe ,运行后会释放下列文件:
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
经过测试,瑞星18.42对此病毒仍不报毒,下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。
首先我们先打开终截者,然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行,当其运行时终截者会弹出如下提示窗口。
在此,我们先点击这提示窗口中的“允许”按钮,把它放行,让其运行,然后我们再看其在我们系统中会做哪些动作?
首先,我们用Autoruns 查看工具查看系统的所有运行程序(如下图),我们发现Ravdm.exe病毒在注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 的路径下创建了一个数值名称为“9”的自启动值。
Ravdm.exe既然是一个QQ盗号木马,那现我们便来运行一个QQ,我们发现QQ启动后,终截者会弹出一个高危险的安全预警提示窗口(如下图所示)。(另注:我的QQ是用终截者的密码锁功能加了锁进行保护,如QQ没用密码锁进行保护,则无此报警提示)
TIMPlatform.exe 这文件本来是QQ的正常文件,终截者怎么会对它进行报警,且还报为是高危险的呢?原来,经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe 文件,原来Ravdm.exe木马运行后,会在QQ的目录下生成:TIMPlatfrom.exe、TIMPlatform.exe两个文件,并用其生成的TIMPlatform.exe替换QQ原来的正常文件。所以,刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…!看来终截者还是挺神的哦!
既然用终截者发现了Ravdm.exe木马并把它放过了,现我用来看再用终截者如何清除此人人喊杀的可恶家伙。
首先,我们用终截者的扫描功能扫描一遍系统,扫描完后,我来一起来看看扫描结果,如下图所示:
我们发现在这扫描结果中,有一个相当可疑的驱动—Rinld.sys,通过查找资料才发现这个文件也是Ravdm.exe木马运行后生成的驱动文件。哇赛…!那臭家伙竟然还生成那么多文件!等会,我们一一把它干掉。
接下来我们再用终截者的安全回归功能重启一遍系统,重启系统后,终截者提示禁止了一个程序的运行(如图1所示),我们再点击这提示窗口中的“打开编辑器”按钮,弹出编辑器窗口(如图2所示)。这家伙竟然还把自己伪装成是Microsoft 出品的程序,如果不留心,则很难看出Ravdm.exe文件是一个QQ盗号木马的主程序,它竟想逃过防毒软件的查杀,但还是没逃出终截者的“如来佛”掌心。
图1
图2
安全回归后,我们就可一一清除Ravdm.exe运行后释放的下列文件:
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
另注:删除TIMPlatform.exe 文件后不影响QQ的正常使用。
我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]<9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]<load><> []
到此为止,成功清除Ravdm 木马病毒。
另注:
最新版终截者官方站下载地址:http://www.s-sos.net/downloads/Terminator.htm
,Powered By Z-Blog 1.8 Spirit Build 80710
