“磁碟機(jī)”病毒侵入我們的計(jì)算機(jī)后到底都做了些什么?
- 在C盤根目錄下釋放驅(qū)動(dòng)NetApi000.sys,卸掉殺毒軟件的鉤子,使其監(jiān)控失效。
- 從以下網(wǎng)站下載新病毒:
http://www.***.**/*.htm http://js.k***.**/**.asp http://js.k0****.**/**.asp http://js.***.**/***.asp http://js.***.**/****.gif
- 刪除注冊表啟動(dòng)項(xiàng)鍵值,使病毒外的所有軟件無法自啟動(dòng)。例如QQ、msn等可以自行啟動(dòng)的軟件就會(huì)起不來。
- 搜索窗口字符,強(qiáng)行關(guān)閉殺毒軟件和專殺工具。
- 在所有磁盤中添加autorun.inf和pagefile.pif,使得用戶雙擊打開磁盤的同時(shí)運(yùn)行病毒,從而可以U盤傳播。
- 通過calcs命令啟動(dòng)病毒進(jìn)程得到完全控制權(quán)限,使得其他進(jìn)程無法訪問該進(jìn)程,無法刪除,無法手工結(jié)束。
- 感染可執(zhí)行文件,對正常文件進(jìn)行加密,如果殺毒,則會(huì)造成這些文件損壞。
- 雙進(jìn)程守護(hù),每隔0.2秒檢查一下自己是否存在,如不存在則重新啟動(dòng)。
- 修改注冊表,使得用戶無法進(jìn)入安全模式,無法顯示隱藏的系統(tǒng)文件。
- 檢查注冊表,如果系統(tǒng)不允許U盤自動(dòng)運(yùn)行,則修改之,使U盤中的病毒可以自動(dòng)運(yùn)行。
本文鏈接:http://www.95time.cn/computer/server/2008/5582.asp
出處:賽迪網(wǎng)
責(zé)任編輯:bluehearts
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|