对付 Backdoor.D.WinSys 木马的窍门
作者:费尔安全实验室(原创), 日期:2003/11/14. 若转载请注明引自"费尔安全实验室"
最近网络中总是充斥着一种网页木马 Backdoor.D.WinSys,此木马是以隐藏在网页中来传播的,并且主要是在一些音乐、电影网站中,只要用户访问这种网页就会自动下载并生成隐藏文件 WINSYS.cerWINSYS.vbs 木马文件,接着会执行它,并且会在下次电脑启动时再次自动执行,由于隐藏在网页中所以流传甚广,危害很大。不过费尔托斯特安全用户只要平时注意打开实时防护一般都可以有效阻止它的感染。但现在有一些新的传播形式,可以逃过检查,现在告诉大家一个窍门,使用此方法不但可以阻止这个木马而且可以极为有效的阻止这一类木马的感染和传播(费尔托斯特安全的未注册版用户虽然在发现此木马时不显示具体的名称,但使用下面的方法设置后同样可以起到防护作用):

费尔托斯特安全用户解决办法(未注册版同样有效):

  1. 打开费尔托斯特安全的“文件”面板
  2. 在左边的“实时扫描文件类型”中分别手工新增 PL、HTR、HTA、CER 文件类型
  3. 重启费尔托斯特安全(停止托斯特->启动托斯特)
这样,当再访问到含有这类破坏代码的网页时就会被费尔托斯特安全实时拦截到 HTML.Shell.Virus 病毒并报警,从而阻止它的运行。

普通用户解决办法:

  1. 先手工把这个 C:\$NtuninstallqXXXXXX$ 目录整个删除,这里要注意这个目录的一般并不固定,但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置,请再这样设置一下:
    1. 打开“我的电脑”
    2. 依次打开菜单“工具/文件夹选项”
    3. 然后在弹出的“文件夹选项”对话框中切换到“查看”页
    4. 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项
    5. 最后点击“确定”
    做了这几步后您再找一下这个形式的目录,如果找到就把它整个删除掉
  2. 在“开始/运行”中运行 regedit.exe 命令打开注册表编译器,然后直接 F3 键打开搜索窗口,并选择“查看“中的”“项”、“值”、“数据”项,在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉,直到搜索完毕找不到有关值。
  3. 在未联接到 Internet 的情况下打开IE,并依次打开“工具/Internet选项/删除文件”,然后在弹出的对话框中选中“删除所有脱机内容”选项,然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框,请接着按下面的步骤继续做
  4. 查看“Internet选项”对话框中“主页”处的地址,如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址(只记 http:// 之后的内容,可以用鼠标选中后使用 Ctrl+C 键直接复制),然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值
这样就可以清除掉此木马了。


* 作者:费尔安全实验室(原创), 日期:2003/11/14. 若转载请注明引自"费尔安全实验室" *