终截者再显神威，成功拦截Ravdm
盗Q***
——作者：Sea
    
   前几天在我的爱机上无意中获得一个QQ盗号***--wdm.exe的一个变种：Ravdm
***病毒。这可恶的家伙竞然想盗我的QQ号，呵呵…！没门…！它在试图运行时就被我的终截者发现并拦截了。经过分析，此病毒的主程序为ravdm.exe
，运行后会释放下列文件：
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program
Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program
Files\Tencent\QQ\TIMPlatform.exe
       
 经过测试，瑞星18.42对此病毒仍不报毒，下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。
 
  
   首先我们先打开终截者，然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行，当其运行时终截者会弹出如下提示窗口。
[IMG]http://www.s-sos.net/pic/20060906/wlk/1.png[/IMG]
    
   在此，我们先点击这提示窗口中的“允许”按钮，把它放行，让其运行，然后我们再看其在我们系统中会做哪些动作？
 
      首先，我们用Autoruns
查看工具查看系统的所有运行程序(如下图)，我们发现Ravdm.exe病毒在注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
的路径下创建了一个数值名称为“9”的自启动值。
[IMG]http://www.s-sos.net/pic/20060906/wlk/2.png[/IMG]
    
   Ravdm.exe既然是一个QQ盗号***，那现我们便来运行一个QQ，我们发现QQ启动后，终截者会弹出一个高危险的安全预警提示窗口（如下图所示）。（另注：我的QQ是用终截者的密码锁功能加了锁进行保护，如QQ没用密码锁进行保护，则无此报警提示）
[IMG]http://www.s-sos.net/pic/20060906/wlk/3.png[/IMG]
        TIMPlatform.exe
这文件本来是QQ的正常文件，终截者怎么会对它进行报警，且还报为是高危险的呢？原来，经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe
文件，原来Ravdm.exe***运行后，会在QQ的目录下生成：TIMPlatfrom.exe、TIMPlatform.exe两个文件，并用其生成的TIMPlatform.exe替换QQ原来的正常文件。
所以，刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…！看来终截者还是挺神的哦！
既然用终截者发现了Ravdm.exe***并把它放过了，现我用来看再用终截者如何清除此人人喊杀的可恶家伙。
首先，我们用终截者的扫描功能扫描一遍系统，扫描完后，我来一起来看看扫描结果，如下图所示：
[IMG]http://www.s-sos.net/pic/20060906/wlk/4.png[/IMG]
    
   我们发现在这扫描结果中，有一个相当可疑的驱动—Rinld.sys，通过查找资料才发现这个文件也是Ravdm.exe***运行后生成的驱动文件。哇赛…！那臭家伙竟然还生成那么多文件！等会，我们一一把它干掉。
接下来我们再用终截者的安全回归功能重启一遍系统，重启系统后，终截者提示禁止了一个程序的运行（如图1所示），我们再点击这提示窗口中的“打开编辑器”按钮，弹出编辑器窗口（如图2所示）。这家伙竟然还把自己伪装成是Microsoft
出品的程序，如果不留心，则很难看出Ravdm.exe文件是一个QQ盗号***的主程序，它竟想逃过防毒软件
的查杀，但还是没逃出终截者的“如来佛”掌心。
[IMG]http://www.s-sos.net/pic/20060906/wlk/5.png[/IMG]
图1
[IMG]http://www.s-sos.net/pic/20060906/wlk/6.png[/IMG]
图2
    
   安全回归后，我们就可一一清除Ravdm.exe运行后释放的下列文件：
C:\WINDOWS\system32\ravdm.exe
C:\WINDOWS\system32\drivers\Rinld.sys
C:\Program
Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program
Files\Tencent\QQ\TIMPlatform.exe
另注：删除TIMPlatform.exe
文件后不影响QQ的正常使用。
       
 我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[Microsoft
Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
[]
         到此为止，成功清除Ravdm
***病毒。
另注：
最新版终截者官方站下载地址：[URL=http://www.s-sos.net/downloads/Terminator.htm]http://www.s-sos.net/downloads/Terminator.htm[/URL]