Cool_GameSetup.exe 病毒的解决和预防方法

桌面软件-诀窍

在无意中 使用放在服务器中的共享文件时发现了 在共享根目录下的 Cool_GameSetup.exe 这个文件..

仔细看了下大小..判断这个文件为病毒文件..直接删除了.. 也就没有在意它.然后在接下来的几天..

在局域网里的工作站上网 有的时候总是任务栏提示黄色感叹号..头次感觉应该是内存不足..

但是自己并没有开什么东西.. 然后看了一下内存发现了 一个不认识的进程 Messages.exe

然后联想起前2天发生的事情 我断定”它们”是一伙的..

就是Cool_GameSetup.exe 这个文件是病毒放置在 共享文件里的传播文件 然后Messages.exe这个是病毒的主执行文件

然后为了判断他们的连系…用抓抱工具抓了一下 运行Cool_GameSetup.exe后的数据包

并且在运行之后 进程里确实有这个Messages.exe进程

这里我发下抓包的截图

通过上面的图示 大家可以看到..(我来解释一下)

这个小东西 Cool_GameSetup.exe 执行后首先访问的域名为是www.qq.com.aaadmin5.com

通过DNS解析服务器.. www.qq.com.aaadmin5.com解析为 222.189.238.210

也就是说.. www.qq.com.aaadmin5.com 域名解析所在的IP

就是这个病毒的中心服务器(每个域名的解析IP可以又域名所有者更换)

然后接着看

在下一条 数据包中得到这样一个数据包 我把它发上来

HTTP/1.1 200 OK Content-Length: 1668 Content-Type: text/plain Last-Modified: Sat, 21 Feb 2009 11:43:13 GMT Accept-Ranges: bytes ETag: “fe459941994c91:b0b” Server: Microsoft-IIS/6.0 Date: Sun, 22 Feb 2009 18:58:42 GMT

http://record.orangebeartv.com/sd/090219.jpg http://record.orangebeartv.com/sd/oyoo0212.jpg2 http://record.orangebeartv.com/sd/kill0220.jpg http://record.orangebeartv.com/sd/090208…..exe1 http://record.orangebeartv.com/sd/n0220.jpg http://record.orangebeartv.com/sd/1090120.jpg http://record.orangebeartv.com/sd/2090120.jpg http://record.orangebeartv.com/sd/3090120.jpg http://record.orangebeartv.com/sd/4090120.jpg http://record.orangebeartv.com/sd/5090120.jpg http://record.orangebeartv.com/sd/6090120.jpg http://record.orangebeartv.com/sd/7090120.jpg http://record.orangebeartv.com/sd/8090120.jpg http://record.orangebeartv.com/sd/9090120.jpg http://record.orangebeartv.com/sd/10090120.jpg http://record.orangebeartv.com/sd/11090120.jpg http://record.orangebeartv.com/sd/12090120.jpg http://record.orangebeartv.com/sd/13090120.jpg http://record.orangebeartv.com/sd/14090120.jpg http://record.orangebeartv.com/sd/15090120.jpg http://record.orangebeartv.com/sd/16090120.jpg http://record.orangebeartv.com/sd/17090120.jpg http://record.orangebeartv.com/sd/18090120.jpg http://record.orangebeartv.com/sd/19090120.jpg http://record.orangebeartv.com/sd/20090120.jpg http://record.orangebeartv.com/sd/21090120.jpg http://record.orangebeartv.com/sd/22090120.jpg http://record.orangebeartv.com/sd/23090120.jpg http://record.orangebeartv.com/sd/24090120.jpg http://record.orangebeartv.com/sd/25090120.jpg http://record.orangebeartv.com/sd/26090120.jpg http://record.orangebeartv.com/sd/27090120.jpg http://record.orangebeartv.com/sd/28090120.jpg http://record.orangebeartv.com/sd/29090120.jpg http://record.orangebeartv.com/sd/30090120.jpg

看到了把.. 这个是一个整个包含图片的地址..然后我们再提取下一个数据包..

内容的大概意思是访问DNS 解析record.orangebeartv.com 域名

说到这里 我想大家也该知道了这个病毒的下载和传播的方法..

害怕大家不清楚 我还是说一下

首先 运行这个 Cool_GameSetup.exe 病毒后.. (我们简称COOL)

病毒程序会首先访问病毒中心服务器

中心服务器的访问域名为 www.qq.com.aaadmin5.com 解析出的IP为 222.189.238.210

然后COOL从 中心服务器下载 病毒主程序的放置地址信息

然后就得到了

http://record.orangebeartv.com/sd/090219.jpg

………….

http://record.orangebeartv.com/sd/30090120.jpg

也就是上面我发的内容.. 这部分用来告诉病毒到什么地址下载病毒的主程序

域名为record.orangebeartv.com 这个的网站..然后通过一定的算法..释放出主程序… 运行..传播

好了.. 说到这我们就应该知道怎么KILL 这个病毒了..

首先在路由上禁止掉 record.orangebeartv.com www.qq.com.aaadmin5.com 这2个域名的解析

最好把IP 222.189.238.210 的访问也禁止掉

然后给工作站的HOSTS表中添加 (路径:C:\WINDOWS\system32\drivers\etc\hosts)

127.0.0.1 www.qq.com.aaadmin5.com

127.0.0.1 record.orangebeartv.com

通过这些方法 就可以预防这个该死的COOL…