前几天在我的爱机上无意中获得一个QQ盗号木马--wdm.exe的一个变种：Ravdm 木马病毒。这可恶的家伙竞然想盗我的QQ号，呵呵…！没门…！它在试图运行时就被我的终截者发现并拦截了。经过分析，此病毒的主程序为ravdm.exe ，运行后会释放下列文件：

C:\WINDOWS\system32\ravdm.exe

C:\WINDOWS\system32\drivers\Rinld.sys

C:\Program Files\Tencent\QQ\TIMPlatfrom.exe

C:\Program Files\Tencent\QQ\TIMPlatform.exe

经过测试，瑞星18.42对此病毒仍不报毒，下面我们来具体分析Ravdm.exe病毒及终截者是怎样拦截此病毒的运行。

首先我们先打开终截者，然后让Ravdm.exe病毒的主程序Ravdm.exe文件运行，当其运行时终截者会弹出如下提示窗口。

在此，我们先点击这提示窗口中的“允许”按钮，把它放行，让其运行，然后我们再看其在我们系统中会做哪些动作？

首先，我们用Autoruns 查看工具查看系统的所有运行程序(如下图)，我们发现Ravdm.exe病毒在注册表

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 的路径下创建了一个数值名称为“9”的自启动值。

Ravdm.exe既然是一个QQ盗号木马，那现我们便来运行一个QQ，我们发现QQ启动后，终截者会弹出一个高危险的安全预警提示窗口（如下图所示）。（另注：我的QQ是用终截者的密码锁功能加了锁进行保护，如QQ没用密码锁进行保护，则无此报警提示）

TIMPlatform.exe 这文件本来是QQ的正常文件，终截者怎么会对它进行报警，且还报为是高危险的呢？原来，经过仔细研究才发现在QQ的目录下多了一个TIMPlatfrom.exe 文件，原来Ravdm.exe木马运行后，会在QQ的目录下生成：TIMPlatfrom.exe、TIMPlatform.exe两个文件，并用其生成的TIMPlatform.exe替换QQ原来的正常文件。所以，刚才终截者报警的那个TIMPlatform.exe文件是被替换后的文件。呵呵…！看来终截者还是挺神的哦！

既然用终截者发现了Ravdm.exe木马并把它放过了，现我用来看再用终截者如何清除此人人喊杀的可恶家伙。

首先，我们用终截者的扫描功能扫描一遍系统，扫描完后，我来一起来看看扫描结果，如下图所示：

我们发现在这扫描结果中，有一个相当可疑的驱动—Rinld.sys，通过查找资料才发现这个文件也是Ravdm.exe木马运行后生成的驱动文件。哇赛…！那臭家伙竟然还生成那么多文件！等会，我们一一把它干掉。

接下来我们再用终截者的安全回归功能重启一遍系统，重启系统后，终截者提示禁止了一个程序的运行（如图1所示），我们再点击这提示窗口中的“打开编辑器”按钮，弹出编辑器窗口（如图2所示）。这家伙竟然还把自己伪装成是Microsoft 出品的程序，如果不留心，则很难看出Ravdm.exe文件是一个QQ盗号木马的主程序，它竟想逃过防毒软件的查杀，但还是没逃出终截者的“如来佛”掌心。

图1

图2

安全回归后，我们就可一一清除Ravdm.exe运行后释放的下列文件：

C:\WINDOWS\system32\ravdm.exe

C:\WINDOWS\system32\drivers\Rinld.sys

C:\Program Files\Tencent\QQ\TIMPlatfrom.exe

C:\Program Files\Tencent\QQ\TIMPlatform.exe

另注：删除TIMPlatform.exe 文件后不影响QQ的正常使用。

我们顺便也把Ravdm.exe在注册表生成的以下文件也清除了：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]<9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation]

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]<load><> []

到此为止，成功清除Ravdm 木马病毒。

另注：

最新版终截者官方站下载地址：http://www.s-sos.net/downloads/Terminator.htm