一、預(yù)防
這些木馬都是利用低版本IE的IFrame漏洞從網(wǎng)站上自動(dòng)安裝的,所以只要安裝IFrame漏洞補(bǔ)丁或?qū)E升級(jí)到最新版本并打補(bǔ)丁,就可以防范此類木馬的侵害。
IFrame漏洞補(bǔ)丁地址:http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp
二、清除
如果系統(tǒng)已經(jīng)被該類木馬病毒入侵,可用以下方式來(lái)進(jìn)行清除:
1.普通用戶清除方法
?、侔惭bIE6.0 SP1或更高版本。
?、谏?jí)殺毒軟件到最新版本,進(jìn)行全面殺毒。如果升級(jí)后的殺毒軟件能查不能殺,那么先進(jìn)入安全模式,然后再查殺。
③將IE的起始頁(yè)改為空白頁(yè)或指定主頁(yè)。
注意:如果還沒(méi)有安裝IE6 SP1或更高版本,那么在殺毒后請(qǐng)不要直接打開(kāi)IE修改主頁(yè),否則可能會(huì)再次感染這個(gè)木馬病毒。可以先右擊IE的圖標(biāo),選擇“屬性”,在這里修改它的起始頁(yè)。
2.高級(jí)用戶清除方法
?、傧壬?jí)到IE6.0 SP1或更高版本。
②然后利用“Windows 任務(wù)管理器”終止可疑的進(jìn)程,再進(jìn)入“注冊(cè)表編輯器”,在Windows 98下展開(kāi)以下分支: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices”和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”;在Windows NT/2000/XP下還要展開(kāi)以下分支:“HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load”、“HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run”和“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\shell”,刪除其中病毒加載的啟動(dòng)項(xiàng)即可,如Sendmess.exe、wwwo.exe、WinIme、WebAuto.exe等。
③如果是Windows 9X/Me系統(tǒng),還要到“系統(tǒng)盤符\Windows”目錄下打開(kāi)Win.ini文件,查看[Windows]節(jié)中的load和run這兩項(xiàng)以及system.ini這個(gè)文件中的shell加載項(xiàng)有沒(méi)有加載病毒。正常情況下load和run都為空,shell=Explorer.exe。
?、艿较到y(tǒng)盤根目錄、“系統(tǒng)盤符\Windows”目錄或“系統(tǒng)盤符\WINNT”目錄下刪除木馬文件,如windll.exe、photo.gif.exe、notepads.exe、DebugFi.txt,一般均有多個(gè),創(chuàng)建日期均在最近幾天。
⑤恢復(fù)IE起始頁(yè),方法同上。
