病毒TSPY_MARAN.ACV, info stealer.gampass, hsvwer9.dll
梁駿傑
最近有朋友拿來電給我,說不能上網,我請他先掃毒,結果掃出一些病毒,大部分病毒都順利解決,但唯獨剩下一個名為info stealer.gampass(hsvwer9.dll)沒辦法清除。
一開始想從安全模式直接殺掉就算好了,結果沒想到在安全模式中也沒法解除,在registery中也沒有直接用此dll的記錄,這下麻煩了,觀察一下不能上網的特性,可以對外Ping,但尾碼多了一個 ? ,資料上說明此病毒會在TCP/IP中加入病毒來竊取使用者的帳號密碼,發病時會讓使用者無法上網。
這下有趣了,這隻病毒目前已經許多網站已被入侵並在網頁中植入大約像這樣的一段程式碼:
[Added process]
C:\WINDOWS\avp.exe
[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe
[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結至 C:\WINDOWS\system32\hsvwer9.dll)
ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結至 C:\WINDOWS\system32\hsvwer9.dll)
所以簡單的方法根本不能對其根治,要解此病毒,一定要先下載Winsock DLL移除程式LSPFix及Winsock修復工具WinsockxpFix 兩個工具,如果沒有可按此下載(工具包-20070806tools.zip)。
- 下載後先把工具解壓縮,放在隨身碟中待命
- 在Windows開機時的瞬間按F8進入安全模式
- IP如果不是自動取得,怕自己忘記設定時請先把設定記錄下來
- 執行LPIFix.exe,把選項“I Know What I'm Doing”,然後選擇左方視窗中的hsvwer9.dll,按箭頭令其移到右方視窗(不要動其他文件, 動了出問題別找我),然後選“Finish”。
- 隨後會出現確認的訊息視窗:
- 再一次重開機,再次利用F8進入安全模式
- 打開檔案總管,工具→資料夾選項
- 在檢視那一頁中,隱藏檔案和資料夾的選項選擇:“顯示所有檔案與資料夾”
- 然後進入Windows目錄中的Sytem32目錄,刪除hsvwer9.dll,小心別誤刪其他正常的檔案
- 重新開機後,會發現病毒已經清除,但還是不能上網,因為一開始的Winsock移除程式把相關的登錄移除,現在要利用另一程式WinsockxpFix.exe進行修復,修復完成後再一次重開機,把相關設定設好就可正常上網了。
在我參考的文章中還有提到avp.exe,但這我後來查了一下,似乎是另一個病毒,但威脅性較低,似乎也已經給Norton自動殺了,所以找不到他的存在,不過很多情況因人而異,大家小心點應對就好。
請大家務必要做好Windows Update,病毒碼更新的動作,也不要以為他會自動幫你更新,有時防毒軟體更新頻率沒有那麼高,就這麼中標了。
參考連結中有列出一些被植入此病毒的網站,瀏覽時要小心。
本文參考自:http://www.windar.com.tw/talk/viewtopic.php?p=1440&sid=5d082579873d6a189a92e59911554042