近来,我们这里有一个病毒文件流传的很快。文件名是wupdate.exe,用了多种更新病毒定义码的杀毒软件都查不出它有什么问题。可是有这个文件的系统,会出很多奇怪的现象,比如网络共享不可用,很多客户端软件和服务器连不上等,这个文件在注册表上多处安身,看来一定应该是个病毒了。
上网搜索了一下,网上查得的信息是“wupdate.exe是Wengs广告软件的一部分。这个进程这个进程监视你的浏览习惯,并将相关数据回传到其服务器上用于分析。这个程序也会弹出广告窗口。这个进程的安全等级是建议立即进行删除。”我觉得并非如此简单,它还对很多网络服务有影响。
先做点手工删除的工作吧。首先是在任务管理器里把病毒进程停掉,然后是搜索硬盘里都有哪些地方有这个文件。结果搜到了2处,一个是在Symantec Antivirus程序文件夹里,还有一个在system32里,设了只读和隐藏的属性。没有疑问,立即删掉。再有就是在注册表里搜索了,把搜到有这个文件名的键值都删掉。
下面就要考虑是否还有其它文件,能释放出这个文件?检查了注册表里好几个有可能隐藏这种程序的地方,都没有什么结果。其实,完整的办法应该是找一个干净的系统,然后用注册表比对软件做记录,放上这个病毒文件后,再做比对,看注册表里有什么变化。这些现在都没准备,看来以后得准备这么一套系统和比对软件备用了。
我把我做的这些工作做了个批处理,然后压缩成可执行文件,当做专杀工具,放到了我的网络安全专题里。其实我知道,这个专杀工具杀得很不彻底,现在对这个病毒的了解还很肤浅。希望下一次新病毒来的时候,能有更充分的准备。
后记:现已证明,wupdate.exe就含有这一阶段有名的病毒:w32.spybot.worm。SAV需要升级到10.1.4.4000版本,病毒定义升级到目前最新才能较好地杀掉这个病毒。