|
磁碟機(jī)病毒疫情的發(fā)生
磁碟機(jī)病毒最早出現(xiàn)在去年2月份,是在Windows系統(tǒng)目錄下生成lsass.exe及smss.exe文件�����,并且修改系統(tǒng)時間為1980年���,當(dāng)時這個病毒不是以下載器為目的的����,自身也有較多BUG,入侵后����,容易引起系統(tǒng)藍(lán)屏死機(jī)�����。以后的變種逐步吸收了AV終結(jié)者和機(jī)器狗的特性�����,對抗安全軟件的能力逐步增強(qiáng)�。
磁碟機(jī)病毒分析
磁碟機(jī)病毒至今已有多個變種���,該病毒感染系統(tǒng)之后�����,會象螞蟻搬家一樣將更多木馬下載到本地運(yùn)行���,以盜號木馬為主。同時�,磁碟機(jī)病毒還會下載其它木馬下載器,比如AV終結(jié)者���,中毒后的典型表現(xiàn)是眾多病毒木馬混合感染����,其中下載的ARP病毒會對局域網(wǎng)產(chǎn)生嚴(yán)重影響。
對于普通電腦用戶來說����,磁碟機(jī)病毒入侵后,除了安全軟件不可用之外�,系統(tǒng)的其它功能基本正常。因此���,普通用戶發(fā)現(xiàn)中毒 是在盜號事件發(fā)生之后�,一般用戶不象我們這樣關(guān)注安全軟件和系統(tǒng)管理工具是不是能夠運(yùn)行�。并且�����,在這種情況下�����,用戶基本無法正常使用殺毒軟件完成病毒清 除�����,甚至想重新安裝另一個殺毒軟件也變得不可能��。
典型磁碟機(jī)破壞的表現(xiàn)
- 注冊全局HOOK,掃描含有常用安全軟件關(guān)鍵字的程序窗口�,發(fā)送大量消息,致使安全軟件崩潰
- 破壞文件夾選項(xiàng)��,使用戶不能查看隱藏文件
- 刪除注冊表中關(guān)于安全模式的值�,防止啟動到安全模式
- 創(chuàng)建驅(qū)動,保護(hù)自身��。該驅(qū)動可實(shí)現(xiàn)開機(jī)刪除自身��,關(guān)機(jī)創(chuàng)建延遲重啟的項(xiàng)目實(shí)現(xiàn)自動加載��。
- 修改注冊表���,令組策略中的軟件限制策略不可用����。
- 不停掃描并刪除安全軟件的注冊鍵值���,防止安全軟件開機(jī)啟動�����。
- 在各磁盤創(chuàng)建autorun.inf和pagefile.pif����,利用雙擊磁盤或插入移動設(shè)備時自動運(yùn)行功能傳播。
- 將注冊表的整個 RUN 項(xiàng)及其子鍵全部刪除��,阻止安全軟件自動加載
- 釋放多個病毒執(zhí)行程序�,完成更多任務(wù)
- 病毒通過重啟重命名方式加載,位于注冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串�����。
- 感染除system32目錄外的其它EXE文件(病毒感染行為不斷進(jìn)化��,從感染其它分區(qū)到感染系統(tǒng)分區(qū))����,最特別的是病毒還會解包RAR文件��,感染其中的EXE之后�����,再打包成RAR���。
- 下載大量木馬到本地運(yùn)行�����,用戶最終受損情況���,決定于這些木馬的行為�。
磁碟機(jī)病毒傳播途徑
- U盤/移動硬盤/數(shù)碼存儲卡傳播
- 各種木馬下載器之間相互傳播
- 通過惡意網(wǎng)站下載
- 通過感染文件傳播
- 通過內(nèi)網(wǎng)ARP攻擊傳播
磁碟機(jī)病毒解決方案
磁碟機(jī)病毒和AV終結(jié)者�����、機(jī)器狗的表現(xiàn)很類似�,技術(shù)上講磁碟機(jī)的抗殺能力更強(qiáng)。從我們了解到的情況看����,多種殺毒軟件無法攔截磁碟機(jī)的最新變種,在中毒之后���,安裝殺毒軟件失敗的可能性很大����。因此���,目前的方案是優(yōu)先使用磁碟機(jī)專殺工具�����。
在某些沒有任何防御措施的電腦上��,可能磁碟機(jī)專殺工具一運(yùn)行就會被刪除���。據(jù)調(diào)查���,這種情況是多種病毒混合入侵導(dǎo)致。在這種極端情況下���,我們可以嘗試的殺毒方案有:
- 1.嘗試啟動系統(tǒng)到安全模式或帶命令行的安全模式(很可能會失�����。
具體辦法:重啟前���,從其它正常電腦COPY已經(jīng)升級到最新的殺毒軟件����,簡單地把整個安裝目錄COPY過來。安全模式下運(yùn)行殺毒軟件,或者在命令行下運(yùn)行殺毒軟件�。如果這個病毒不是很變態(tài)的話,有希望搞定�。
- WINPE急救光盤引導(dǎo)后殺毒(Winpe不易得到,不是所有人都有�����,需要的可以搜索一下到網(wǎng)上找�。)
WINPE啟動后,運(yùn)行殺毒軟件��。
- 3.掛從盤殺毒(有多臺電腦的情況下�����,比較容易使用)
必須注意���,在掛從盤殺毒前���,正常的電腦務(wù)必將所有磁盤的自動運(yùn)行功能關(guān)閉,避免使用雙擊的方式訪問帶毒硬盤��,禁用自動運(yùn)行能大大減少中毒的風(fēng)險����。
- 你遇到了極端的情況���,前三個條件都不具備,手工殺毒又不會����,那只有一招,把C盤格了重裝吧���,裝完切記�����,不要用雙擊打開其它磁盤或插入可能有毒的U盤�,先安裝正版殺毒軟件��,升級到最新�����,禁用所有磁盤的自動運(yùn)行��。
對于更了解系統(tǒng)的朋友來說�,有手工方法來解決這些病毒����,貌似有點(diǎn)難度����,供大家參考�,希望各位朋友都學(xué)會,這樣我們就不必這樣忙了���。
本文鏈接:http://www.95time.cn/computer/server/2008/5550.asp 
出處:賽迪網(wǎng)
責(zé)任編輯:bluehearts
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
