【IT168 资讯】【病毒简述】

　　IGM病毒的肆虐也就在最近段时日，对于它如此快速的成为黑名单上的主角，我们并不感到惊讶，在这个已经失去安全感的网络环境中，一个病毒的横行已经变得稀松平常，最多也只是在演绎"你方唱罢我登场"的丑戏罢！从冲击波到熊猫烧香再到现今的IGM，我们的心情只怕已从惊讶逐渐变成麻木拉！

　　甚至以"满城尽是IGM"来形容该病毒所传播的范围，它非同于普通的病毒，该病毒通过HTTP来下载其他病毒，感染可执行文件、盗取QQ帐号、游戏帐号、并带有ARP欺骗扰乱局域网正常运行。本文就来详细介绍下如何清除集百毒于一体的  IGM。

　　【故障现象】

　　每个病毒都有它独有的特征，我们可以称之为"病毒指纹"，而IGM病毒的指纹如下：

　　1.   系统进程中有img.exe进程（几乎大部分的病毒都会带有一个进程）

　　2.   msconfig  的启动里有igm.exe，其他启动项也被加入了病毒文件（为了实现自启动）

　　3.   系统目录中多了许多病毒文件（最厌恶这样的垃圾成堆，给手动排查增加了难度）

　　4.   出现服务名为"4f506c9e"的服务，该服务以系统权限运行（为了实现自启动；居然取了这个破绽百出的名字）

　　5.   每个磁盘的根目录下有隐藏的auto.exe  和autorun.inf（利用了自动运行的原理）

　　6.   网络资源被占用，上网感觉慢（网络中充斥了大量无用的数据包、ARP欺骗包）

　　7.   IE、QQ、任务管理器等应用程序一打开后就自动关闭（这很容易实现。关闭QQ的理由是让你重新试图登陆QQ，方便病毒窃取登陆密码）

　　8.   CPU使用率奇高（病毒做了那么多的工作当然要占用更多的CPU资源）

　　9.   替换C盘的userinit.exe（同样是为了实现自启动；阴损但又防不胜防的招数让我无限鄙视病毒作者）

　　10. windows桌面背景被莫名的更换（我以前也干过类似的事  :）

　　11. 每个进程被插入了病毒的DLL文件（这个排查难度大，DLL文件太多了）

　　【解决办法】

　　建议按照以下的顺序杀毒，以防病毒卷土重来

　　1.   用系统文件userinit.exe来替换被病毒修改的userinit.exe文件，路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前，禁止IGM.exe、IGW.exe的运行。在dos窗口输入：

　　reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGM.EXE  " /v debugger /t reg_sz /d debugfile.exe /f

　　reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGW.EXE" /v debugger /t reg_sz /d debugfile.exe /f

　　说明：利用了映象劫持（本次专题知识点，缩写为IFEO）技术，禁止了IGW.exe和IGM.exe的运行。

　　2.   进入安全模式，删除注册表键值

　　删除

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 下的

　　"WinSysM"、"WinSys"  键值。

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun] 下的

　　"MSDEG32"、"MSDWG32"、"MSDCG32"、"MSDOG32"、"MSDSG32"、"MSDMG32"、"MSDHG32"、"MSDQG32" 键值。

　　将

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows] 下的  "AppInit_DLLs"里的内容清空。

　　删除

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] 下的

　　C:windowssystem32smydpm.dll

　　C:windowssystem32sztcpm.dll

　　C:windowssystem32kawdbzy.dll

　　C:windowssystem32arjbpi.dll

　　C:windowssystem32avzxdmn.dll

　　C:windowssystem32aqjbpi.dll

　　C:windowssystem32avwgcmn.dll

　　C:windowssystem32sidjazy.dll

　　C:windowssystem32kapjbzy.dll

　　C:windowssystem32kaqhezy.dll

　　C:windowssystem32avwlbmn.dll

　　C:windowssystem32atbfpi.dll

　　C:windowssystem32kvdxcma.dll

　　C:windowssystem32sjzbpm.dll

　　C:windowssystem32kafyezy.dll

　　3.   进入安全模式，强制删除以下文件，可利用工具XDelBox

　　c:/windows/system32/kvdxsbma.dll

　　c:/windows/system32/rsjzbpm.dll

　　c:/windows/system32/kvdxcma.dll

　　c:/windows/system32/ratbfpi.dll

　　c:/windows/system32/avwlbmn.dll

　　c:/windows/system32/kaqhezy.dll

　　c:/windows/system32/kapjbzy.dll

　　c:/windows/system32/sidjazy.dll

　　c:/windows/system32/avwgcmn.dll

　　c:/windows/system32/raqjbpi.dll

　　c:/windows/system32/avzxdmn.dll

　　c:/windows/system32/rarjbpi.dll

　　c:/windows/system32/kawdbzy.dll

　　c:/windows/system32/rsztcpm.dll

　　c:/windows/system32/rsmydpm.dll

　　c:/windows/system32/sidjazy.dll

　　c:/windows/igw.exe

　　c:/windows/igm.exe

　　c:/windows/system32/sedrsvedt.exe

　　c:winntigm.exe

　　c:winntsystem32sjzbpm.dll

　　c:winntsystem32acvsvc.exe

　　c:winntsystem32driverssvchost.exe

　　c:winntcmdbcs.exe

　　c:winntdbghlp32.exe

　　c:winnt vdispdrv.exe

　　c:winntupxdnd.exe

　　c:winntsystem32cmdbcs.dll

　　c:winntsystem32dbghlp32.dll

　　c:winntsystem32upxdnd.dll

　　c:winntsystem32yfmtdiouaf.dll

　　4.   搜索所有的磁盘根目录，删除隐藏文件auto.exe和autorun.inf

　　5.   运行services.msc，禁止服务"4f506c9e"

　　6.   另外查看hosts文件，检查是否病毒网站IP被强制关联了

　　【专题知识点】

　　关键词：映象劫持

　　我们可以在上述解决方案中找到映象劫持（IFEO）的用途，用来屏蔽IGW.exe、IGM.exe文件。当我们的windows系统运行一个可执行文件时，它会通过注册表查找该文件是否有被注册成IFEO，如果有，则运行IFEO里的值。在上述方案中，我们把IGW.exe、IGM.exe映射成debugfile.exe（参照解决办法中的第一条），这样运行IGW.exe或者IGM.exe就变成运行debugfile.exe啦。我们可以抛砖引玉，如果把QQ.exe也是映射成debugfile.exe，那是不是能起到禁止QQ的效果了？当然了，如果有需要禁止P2P软件的网吧或者企业的管理员可以试试。