您的位置: 首页 > 计算机技术 > 网络安全 > 全面认识磁碟机病毒的前世今生
导致浏览器资源占用高的网页黑手 回到列表 网管员需要注意十点安全技巧
 全面认识磁碟机病毒的前世今生

作者:李铁军 时间: 2008-03-25 文档类型:转载 来自:赛迪网

磁碟机病毒疫情的发生

磁碟机病毒最早出现在去年2月份,是在Windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。

磁碟机病毒分析

磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。

对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒 是在盗号事件发生之后,一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清 除,甚至想重新安装另一个杀毒软件也变得不可能。

典型磁碟机破坏的表现

  1. 注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
  2. 破坏文件夹选项,使用户不能查看隐藏文件
  3. 删除注册表中关于安全模式的值,防止启动到安全模式
  4. 创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
  5. 修改注册表,令组策略中的软件限制策略不可用。
  6. 不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
  7. 在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。
  8. 将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
  9. 释放多个病毒执行程序,完成更多任务
  10. 病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
  11. 感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
  12. 下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。

磁碟机病毒传播途径

  1. U盘/移动硬盘/数码存储卡传播
  2. 各种木马下载器之间相互传播
  3. 通过恶意网站下载
  4. 通过感染文件传播
  5. 通过内网ARP攻击传播

磁碟机病毒解决方案

磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。

在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:

  1. 1.尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)
    具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行杀毒软件,或者在命令行下运行杀毒软件。如果这个病毒不是很变态的话,有希望搞定。
  2. WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)
    WINPE启动后,运行杀毒软件。
  3. 3.挂从盘杀毒(有多台电脑的情况下,比较容易使用)
    必须注意,在挂从盘杀毒前,正常的电脑务必将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险。
  4. 你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先安装正版杀毒软件,升级到最新,禁用所有磁盘的自动运行。

对于更了解系统的朋友来说,有手工方法来解决这些病毒,貌似有点难度,供大家参考,希望各位朋友都学会,这样我们就不必这样忙了。

本文链接:http://www.blueidea.com/computer/server/2008/5550.asp 

出处:赛迪网
责任编辑:bluehearts

◎进入论坛计算机技术版块参加讨论

相关文章 更多相关链接
arp病毒利用的Javascript技术
Mcafee8.5i使用设置详解
病毒漏报与误报
熊猫烧香、威金的解决办法
熊猫烧香图标病毒
热门搜索:CSS Fireworks 设计比赛 网页制作 web标准 用户体验 UE photoshop Dreamweaver Studio8 Flash 手绘 CG
站点最新 站点最新列表
周大福“敬•自然”设计大赛开启
国际体验设计大会7月将在京举行
中国国防科技信息中心标志征集
云计算如何让安全问题可控
云计算是多数企业唯一拥抱互联网的机会
阿里行云
云手机年终巨献,送礼标配299起
阿里巴巴CTO王坚的"云和互联网观"
1499元买真八核 云OS双蛋大促
首届COCO桌面手机主题设计大赛
栏目最新 栏目最新列表
Windows7优化调整实用小技巧十则
关于国内Windows 7下载的一些提醒
Windows 7安全模式下修复系统故障
如何防止电脑被黑客入侵
syssafe病毒抗争记
浅谈手工杀毒
L2TP预共享密钥解决内网VPN连接问题
浅谈移动硬盘的数据安全问题
Windows组策略之软件限制策略
特殊文件防止闪存为电脑带来病毒
分享按钮

蓝色理想版权申明:除部分特别声明不要转载,或者授权我站独家播发的文章外,大家可以自由转载我站点的原创文章,但原作者和来自我站的链接必须保留(非我站原创的,按照原来自一节,自行链接)。文章版权归我站和作者共有。

转载要求:转载之图片、文件,链接请不要盗链到本站,且不准打上各自站点的水印,亦不能抹去我站点水印。

特别注意:本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有,文章若有侵犯作者版权,请与我们联系,我们将立即删除修改。

您的评论
用户名:  口令:
说明:输入正确的用户名和密码才能参与评论。如果您不是本站会员,你可以注册 为本站会员。
注意:文章中的链接、内容等需要修改的错误,请用报告错误,以利文档及时修改。
不评分 1 2 3 4 5
注意:请不要在评论中含与内容无关的广告链接,违者封ID
请您注意:
·不良评论请用报告管理员,以利管理员及时删除。
·尊重网上道德,遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而直接或间接导致的民事或刑事法律责任
·本站评论管理人员有权保留或删除其管辖评论中的任意内容
·您在本站发表的作品,本站有权在网站内转载或引用
·参与本评论即表明您已经阅读并接受上述条款
推荐文档 | 打印文档 | 评论文档 | 报告错误  
专业书推荐 更多内容
网站可用性测试及优化指南
《写给大家看的色彩书1》
《跟我去香港》
众妙之门—网站UI 设计之道
《Flex 4.0 RIA开发宝典》
《赢在设计》
犀利开发—jQuery内核详解与实践
作品集 更多内容

杂⑦杂⑧ Gold NORMANA V2