“最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了。我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了。”用户张先生无奈地表示。
金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为“1980病毒”。病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒。感染灰鸽子病毒后,远程攻击者就可以非常轻松地盗走用户的QQ号。
据了解,1980病毒在网络上已经流行一段时间,并已经导致了大量网友的电脑系统时间被篡改,论坛中关于该病毒的求助帖也比比皆是,但由于破坏性并没有熊猫烧香等病毒那么恶劣,所以网络上并没有相关的完整的解决方案,这样给用户的清除带来了不少麻烦,下面是金山毒霸反病毒专家针对1980病毒的详细分析报告以及解决方案,希望能够对感染该病毒的用户有所帮助!
病毒行为:
该病毒是一个下载木马,并且会重新设置系统时间为1980年4月23日,运行该病毒会下载并执行一个灰鸽子病毒。中灰鸽子后,你的系统就会被人远程控制。
1、生成的文件C:/sxs2.exe,并将其属性设置为隐藏。
2、添加系统启动项,确保每次开机病毒程序自动执行。
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
"sxs2" = "c:/sxs2.exe"
3、隐藏所有隐藏文件,使管理员不能查看隐藏的系统文件。
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL
"checkedvalue" = "0x00000001"
4、从以下路径下载安装灰鸽子
http://drsunbo.go2.icpcn.***/network.exe
5、在其它分区生成autorun.inf配置文件,即使你不堪忍受,重装系统,也会在下次双击其它磁盘时,重新启动病毒。
----------------------------------
[autorun]
open=sxs2.exe
shellexecute=sxs2.exe
shell/Auto/command=sxs2.exe
---------------------------------
手动清除病毒时,先在进程中查找并结束sxs2.exe、network.exe进程,搜索硬盘上的sxs2.exe、network.exe文件,找到后全部删除。按下面的作法修改注册表以恢复隐藏文件的显示。
运行regedit,打开注册表编辑器
浏览到
HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL
删除病毒创建的CheckedValue键,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,为十六进制,按确定后,刷新并退出注册表,这样就可以选择显示所有隐藏文件和显示系统文件了。
如果对系统不是很熟悉,建议安装金山毒霸2007升级后查杀,也可以登录shadu.duba.net使用在线杀毒解决掉。