辛苦從網(wǎng)上下載了一個(gè)軟件，安裝后沒看到我想要的功能電腦里面卻多了一堆病毒，電腦也出現(xiàn)一個(gè)讓人不爽的情況，如最喜歡用的瀏覽器圖標(biāo)突然都不見了;桌面也多了了淘寶特賣之類的討厭的圖標(biāo)，崩潰的是刪除以后重啟電腦又會(huì)出現(xiàn);打開瀏覽器首頁突然間變成了陌生網(wǎng)站，但是我根本就沒有設(shè)置過這樣的主頁的。

　　接下來就讓我們來認(rèn)識(shí)下這個(gè)偽裝成正常軟件的病毒，經(jīng)過分析發(fā)現(xiàn)這個(gè)病毒分工非常明確，每一個(gè)部分都負(fù)責(zé)不同的功能。

　　一 木馬大頭目quicklnk.exe

　　通過分析發(fā)現(xiàn)quicklnk.exe就像是帶頭大哥，它負(fù)責(zé)給“病毒嘍羅”分配工作，如把Internet Exlporer.rar解壓到桌面，偽裝成Internet Exlporer圖標(biāo);把淘寶·特賣.exe，西游·仙劍.exe兩個(gè)文件拷貝到桌面，并讓它看上去就是一個(gè)圖標(biāo);把病毒Csrass.exe，setbrowser.exe 偷偷的啟動(dòng)起來。

　　二 木馬嘍羅Csrass.exe

　　Csrass.exe主要負(fù)責(zé)的是啟動(dòng)setbrowser.exe(刪除常見瀏覽器圖標(biāo));調(diào)用iemonitor.dll(監(jiān)控瀏覽器啟動(dòng)并跳轉(zhuǎn)了指定的導(dǎo)航網(wǎng)站)。

　　值得我們注意的是，這個(gè)猥瑣的Csrass.exe利用了一個(gè)小技巧讓病毒不斷的復(fù)活：Csrass.exe會(huì)響應(yīng)關(guān)機(jī)或Logff前的消息 WM_QUERYENDSESSION和WM_ENDSESSION，寫入自啟動(dòng)項(xiàng)：C:Documents and SettingsAll Users「開始」菜單程序啟動(dòng)Wscript.vbs，這個(gè)文件包含有讓Csrass.exe自動(dòng)啟動(dòng)的代碼，讓人防不勝防。

　　三 木馬嘍羅setbrowser.exe

　　通過分析發(fā)現(xiàn)setbrowser.exe主要負(fù)責(zé)的是把桌面、快速啟動(dòng)欄包含“瀏覽器”，“傲游”，“谷歌”，“世界之窗”之類的快捷方式都刪除掉。

　　四 木馬嘍羅Iemonitor.dll

　　通過分析Iemonitor.dll主要功能就是監(jiān)視一些常見瀏覽器的進(jìn)程啟動(dòng)，然后讓他們?cè)L問預(yù)先設(shè)置的導(dǎo)航網(wǎng)站類似http://www.1busou.com。

　　五 QQ電腦管家修復(fù)處理

　　針對(duì)這個(gè)病毒我們可以開啟QQ電腦管家的實(shí)時(shí)防護(hù)功能就可以攔截它入侵你的電腦，而已經(jīng)中招的用戶使用QQ電腦管家的木馬查殺功能即可輕松處理。