实验工具与环境配置
- 虚拟机软件:VMware Fusion 11.5.5
- 操作系统:Windows XP
- 虚拟病毒:VirtualVirus
- 进程管理器:IceSword
运行虚拟病毒
在 Windows XP 虚拟机中,运行 VirtualVirus 可执行文件。
从现象上看,病毒会导致每隔一段时间就弹出一个对话框,不断累积。
事实上,触发虚拟病毒之后,除了开启本身进程(VirtualVirus)之外,还会把自身复制到 C:WINDOWSsystem32 和 C:WINDOWS 目录,并分别改名为 explorer.exe 和 taskmgr.exe,然后启动它们。而这两个进程的名称正好与系统进程相同,可以起到混淆作用。不仅如此,这两个进程还互相监控,一旦一个进程被杀掉,另一个进程就再次启动它。
此外,虚拟病毒还会修改注册表,使 C:WINDOWSsystem32explorer.exe 和 C:WINDOWS askmgr.exe 随系统自动启动。
清除方法
第一步:结束 VirtualVirus.exe 进程
在任务管理器的进程中,找到 VirtualVirus.exe 并结束进程。
第二步:结束 taskmgr.exe 和 explorer.exe 进程
这两个进程互相保护,所以要结束这两个进程有两种方法:
方法 1:用 Windows 的任务管理器中的结束进程树的方法。该方法的缺点是不知道进程的路径,可能误结束系统进程。
方法 2:使用可以同时结束两个进程的进程管理器,如 IceSword,通过该进程管理器不仅可以看到进程名,还可以看到进程路径,这样就不会误删系统进程。
这里我们采用第二种方法,按住 ctrl 键同时选中两个进程,将其结束。
第三步:修改注册表
删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下的 explorer 和 taskmgr 两个键,这里使用的是注册表编辑器,也可以通过 IceSword 删除。
第四步:删除病毒副本
删除 C:WINDOWSsystem32explorer.exe 和 C:WINDOWS askmgr.exe。
至此,我们已将虚拟病毒彻底清除。