SUN啊~~最近下载的软件都没有经过杀毒~~就双击了...
我好长时间没有开防火墙了,今天一开,发现有个Rundll.exe要用网络,用杀毒软件一杀,看到了病毒信息是 TrojanDownLoader.slime.11
我查了查搜索引擎,可是几乎没有这个病毒的任何资料!!!
谁是高手帮帮我好吗~~~~
还有,这个病毒通过什么途径来传播???我好像有个印象...这病毒可以利用空密码帐号进行传播是吗? -______- ¦ ¦ 如果是,那么对这病毒来说,空密码帐号的权限有没有分别?
---------------------------------------------------------------
转载兰炼社区echo总版主 文章
[这个贴子最后由echo在 2003/06/16 02:05pm 编辑]
最近各大论坛中出现了rundll的讨论,现在我希望通过我的实践,给大家说说如何防止附加于rundll.exe中的病毒
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件,用来调用动态链接库文件,它们的区别在于rundll.exe用于16位操作系统,如win9x和winme,存放在windows\system中,而rundll32用于32位操作系统,如win2000和winxp中,存放于windows\system32文件夹中。
但问题是,win9x中不使用rundll32.exe,同样地,win2000和winxp中不使用rundll.exe文件。
因此,基本可以肯定地说,如果winxp等32位操作系统中出现了rundll.exe文件,或win9x等16位操作系统中出现了rundll32.exe,可以说,恭喜你,你已中招了。
那么,有些人问,我的winxp系统中只有rundll32.exe,或我的win9x系统中只有rundll文件,我的机器是否中招?这样,就需要知道——
二、如何甄别中毒,杀毒和防毒
看看我是如何中招和恢复的,就知道如何甄别了。
1、如何删除rundll.exe
最近,我的系统在运行,会常态突然象自动改变屏幕主题似的,屏幕一下子变黑,但瞬间就恢复了,也是我大意,因为我刚替换了破解的uxtheme.dll文件,用于桌面主题的随意更换。以为是系统侦测到uxtheme.dll文件有变化,自动恢复的。所以,也没在意。同时,我多年来,一直使用的是NORTON杀毒和internet个人防火墙,从未中招,因此,根本未想到是病毒或木马什么的。
前天,看了网上的帖子,赶紧到自己的系统文件夹中一看,果不其然,确实有这个问题,我使用的是winxp pro,已更新到最新,但windows\system32文件夹中多出了个rundll.exe文件,而且,这个文件的的图标明显是另一个可执行文件winrar.exe文件的图标,因此,先使用文本编辑器输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"
保存在桌面上,文件名为“恢复.reg”,然后,果断删除这个rundll.exe文件,再双击刚才建立的reg文件,导入注册表,这样,所有exe文件都可以正常运行。
2、病毒特征
同时,我复制了这个文件的备份,用ultraedit32编辑器打开,查看有什么可疑之处,好在种木马的人在文件尾部留下了蛛丝马迹,我查找到:“史莱姆病毒 http://peephost2.3322.org:1024/iexplorer.exe”等文字信息。
很清楚,这个病毒被其作者称为“史莱姆病毒”,但后面那行文字的意思就值得猜测了,是将我的桌面信息发送到 http://peephost2.3322.org:1024/iexplorer.exe中,还是这个病毒首先感染了 “http://peephost2.3322.org:1024/iexplorer.exe”,不过,我更倾向于前者,即该病毒是“史莱姆病毒”,可能是个木马程序,作者就是“http://peephost2.3322.org:1024/”的站长。
这个病毒将中招者的信息发送到 “http://peephost2.3322.org:1024/iexplorer.exe”中,等于是开了个后门,将中木马人电脑中的信息,发送到http://peephost2.3322.org网站,并通过1024端口入站,这样种植木马的人,就可以在他的浏览器中(ieplorer.exe),打开中招者的电脑上的任意文件。多么恶毒!
但奇怪的是,我用NORTON扫描这个rundll.exe文件,没有发现任何病毒或木马,同时,用木马克星扫描,也没有发现木马,但norton的internet防火墙曾经提示过我,“是否允许rundll.exe访问internet”,我选择了“总是禁止”。
我还试验过,卸载了winrar程序,并删除了rundll.exe文件后,系统启动后,又出现了这个rundll.exe文件,这次,这个rundll.exe的图标是我安装不久的easycd&dvd creator 6.0 软件中的引擎文件的图标,因为它是加载在系统自动启动项中,这说明我的引擎文件也已中毒,系统启动后,启动了这个引擎文件,这样,自动生成了rundll.exe文件,只好卸载这个软件,等查杀完病毒再安装了。然后,我又逐一查找系统启动项中的文件是否中毒,还好,没有其它的文件中毒。
3、甄别是否中毒,及杀毒
这样,我们就知道,如何甄别中招了。也很简单,
3-1
对win9x用户,就是用我上述方式,用ultraeditor软件,打开rundll.exe文件,查找里面是否有“http://***”等文字,注意,查找时,要选中“查找 ASCII”,看看是否会出现那些字样,也有可能是其它网站的链接,如果你的rundll.exe文件中毒了,也不要紧张,因为是win9x,rundll.exe文件必不可少,有时在染毒程序运行时,或rundll文件已调用了其它系统重要的库文件时,直接删除不了,可以这样解决:
(1)停止系统中所有运行的程序,包括后台运行的程序,下载并安装破解中文版ultraexitor(到www.ttdown.com中下载)
(2)用ultraeditor的批量查找(选中“查找ASCII”),查找硬盘中所有含有病毒特征文字的文件(放心,速度很快,比杀毒软件要快)
(3)反安装或删除所有那些含有病毒特征文字的软件或文件,注意,对某些软件,要注意资料的备份。用“1”中所说方法恢复系统注册表。
(4)从系统安装盘中提取rundll.exe文件,并准备一张干净的win9x启动盘到dos下恢复rundll.exe文件,或直接用win9x系统文件恢复器,恢复rundll.exe。
(5)在norton的internet防火墙中,在禁止站点中,输入“peephost2.3322.org”,严禁系统对这个网站的访问,或这个网站试图与你建立连接。
重启看看吧,你的机器干净了!
3-2
对winxp或win2000用户,查找方式一样,但对rundll.exe文件,直接删除就可以了,因为winxp或win2000根本不需要rundll.exe文件,如果你的系统中有rundll.exe文件,毫无疑问,你的系统已经中招。
4、如何防毒
我还是要推荐大家安装norton的杀毒和internet个人防火墙,有条件的话,再加装一个金山毒霸,它对国内病毒查杀能力要好一些,这次的rundll病毒就是国产的:)。
虽然norton杀毒防火墙不能查杀这个病毒,但对大多数病毒来说,都可以查杀,我一直使用这个杀毒软件,除这次外,从未中毒。更重要的是要安装它的病毒防火墙,可以控制所有程序的出、入站,其实,虽然我的电脑已中招,但我的信息并未发送出去,因为我在防火墙中禁止了这个文件的所有出入站。
对winxp用户(好象越来越多了)来说,保留系统还原的功能,万一系统死机或其它原因,完全可以用还原来恢复。
上网前,一定要打开所有防火墙,避免不必要的染毒,同时,推荐使用Gosurf或MYIE2(虽然我不喜欢这个bugs很多的软件)之类的可防止弹出广告或另外链接窗口的网络浏览器。
经常清空你的浏览器缓存和cookies之类的东西,保护好你的个人信息,如加密等,在我的文档之类的文件夹、tem、temp和个人登录帐号文件夹中不要放置重要的文件信息等。
总之,有了网络,我们的快乐多了,但我们忧患更多。