清除Richnotify病毒记实－－对终截者的一次考验

文章来源：Terminator Lab 　　文章类型：网友　Sea 原创　　　加入时间：2006-8-17

　　前天，一个专职负责 6 家大型网吧一千多台电脑的维护工作的朋友跟我说，他所管的一家网吧的电脑感染了 Richnotify 病毒。 Richnotify 病毒竟能穿过他的冰点 5.2 版系统还原系统而感染网吧的所有电脑，并且清除后只要一上网又感染此病毒，搞得他焦头烂额、挫手不及，还是没搞定这些垃圾。

　　　前不久在网上也看到过 Richnotify 病毒的相关文章，但没有引起注意，现听到朋友的诉说后，我便到网上查找了一些关于 Richnotify 病毒的资料及评论，发现最近很多网友中了此病毒后用杀毒软件还是杀不了或杀不干净，也在网上诉说他们的被 Richnotify 病毒骚扰后的苦衷；这时我便想到我的电脑只安装了终截者，而没有安装其它的杀毒软件或防火墙，我便心血来潮想试看我的终截者能否拦截及清除这如此可恶的病毒，于是我便叫朋友把 Richnotify 病毒的样本发给我，让我亲自考验一下终截者的本色（终截者要是拦不住我可惨了，自找苦吃，只好自作自受了，唉…！先不管那么多，要是真的拦不住就把终截者给休了。）。

呵呵…！下面就让我们一起来分享这刺激的体验吧！

　　我们打开终截者后运行 Richnotify 病毒的执行文件 Richnotify.exe 文件，当此执行文件试图运行时，终截者的安全预警功能便把它拦截了，阻止其运行并弹出窗口（如下图所示）提示用户，还提示危险等级是高呢！呵呵，这是终截者拦截病毒的第一关。

　　　我们可通过点击此安全预警窗口中的“禁止”按钮来禁止 Richnotify 病毒的运行，在此我点击了“允许”按钮，允许了 Richnotify.exe 文件的运行（因为我想试看当我不小心让此病毒的执行文件运行后，终截者还有没反应），点击“允许”后，终截者不断弹出不同的自启动防护窗口（如下图 1-2 ），看来 Richnotify.exe 运行后总是试图注入到我运行的所有 exe 运行程序中，并对其注册表进行修改。呵呵…！终截者还是发现了并弹出窗口提示我，这是嘻嘻，这里我还是全部点击了“允许”。

图 1

图 2

好了，这时我便打开 procexp 进程查看工具查看我的 QQ 等运行程序加载了哪些程序，

　　我用 procexp 的查找功能查看有无加载 Richnotify 病毒的文件（如下图），哇噻…！我运行的 iexplore 、 QQ 等所有的 EXE 程序都被加载了 Richnotify 病毒的 reshtm.dll 、 Richnotify.exe 文件。

下面的图比较清析

　　上面我放过了 Richnotify 病毒的运行，下面我们一起再来看，通过终截者的“安全回归”功能能否禁止刚才放过的病毒。我运行了安全回归功能重启我的系统后，弹出如下图所示窗口：

　　在此，我得向终截者的作者们报告，终截者竟然把我的手机蓝牙设备程序误报为高风险，呵呵，兄弟们还得把签名库做全点啊！

　　我们再点击此窗口中的“打开编辑器”按钮看看编辑器里是如何提示的（如下图），这里显示 richnotify.exe 文件的可疑程度是高风险，下次运行的状态是“未配置”。

　　此时，我又打开 procexp 进程查看工具查看我运行的 EXE 程序还有没加载 Richnotify 病毒的文件（如下图所示），从 procexp 进程查看工具窗口中查看到没有加载 Richnotify 病毒的任何文件了，呵呵，通过终截者的安全回归功能成功禁止了 Richnotify 病毒的运行。

　　我们再用终截者的扫描功能来扫描一遍系统，看能否帮我清除此可恶的 Richnotify 病毒。下面我便开始用此扫描功能扫描我的系统，下图是扫描结果的提示窗口。

下图为扫描报告的一部分

　　根据此扫描报告可看到那家伙在我的注册表的自启动项中添加了以下键值 {9D 0351F 9-8E49-4ed1-BBCE -0795F 5B 9F 240} 来实现自启动。

　　通过此报告的提示我手动成功删除了 Richnotify 病毒的 EXE 执行文件及 reshtm.dll 、 resPro.dll 两个隐藏的病毒模块，且在注册表中删除了所有的 {9D 0351F 9-8E49-4ed1-BBCE -0795F 5B 9F 240} 键值。我重新启动系统并上网后，并未再发现 Richnotify 病毒。

哈哈…！成功清除了这被认为顽固的家伙。看来我的终截者还是挺管用的，以后得好好对它。

——作者： Sky

另注：

Richnotify 病毒资料：

进程文件： richnotify 或 richnotify.exe

进程位置：系统目录

程序名称： Troj_spyware.rich

程序用途：广告间谍木马病毒

程序作者：

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

安全等级：低

进程分析： 2006 年 7 月 6 日 22 ： 00 出现，通过网络传播，传播速度较快。该病毒修改注册表创建 Policies\Explorer\Run/{9D 0351F 9-8E49-4ed1-BBCE -0795F 5B 9F 240} ＝ C:\WINNT\system32\richnotify.exe 实现自启动，并将病毒模块 reshtm.dll ， resPro.dll 注入进程运行，运行后连接特定服务器接受恶意攻击者指令，窃取用户信息。