全面认识磁碟机病毒的前世今生

  磁碟机病毒疫情的发生

  磁碟机病毒最早出现在去年2月份,是在Windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。

  磁碟机病毒分析

  磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。

  对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒 是在盗号事件发生之后,一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清 除,甚至想重新安装另一个杀毒软件也变得不可能。

  典型磁碟机破坏的表现

  注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃

  破坏文件夹选项,使用户不能查看隐藏文件

  删除注册表中关于安全模式的值,防止启动到安全模式

  创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。

  修改注册表,令组策略中的软件限制策略不可用。

  不停扫描并删除安全软件的注册键值,防止安全软件开机启动。

  在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。

  将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载

  释放多个病毒执行程序,完成更多任务

  病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending RenameOperations字串。

  感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。

  下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。

  磁碟机病毒传播途径

  U盘/移动硬盘/数码存储卡传播

  各种木马下载器之间相互传播

  通过恶意网站下载

  通过感染文件传播

  通过内网ARP攻击传播

  磁碟机病毒解决方案

  磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。

  在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:

  1.尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)

  具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行杀毒软件,或者在命令行下运行杀毒软件。如果这个病毒不是很变态的话,有希望搞定。

  WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)

  WINPE启动后,运行杀毒软件。

  3.挂从盘杀毒(有多台电脑的情况下,比较容易使用)

  必须注意,在挂从盘杀毒前,正常的电脑务必将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险。

  你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先安装正版杀毒软件,升级到最新,禁用所有磁盘的自动运行。

  对于更了解系统的朋友来说,有手工方法来解决这些病毒,貌似有点难度,供大家参考,希望各位朋友都学会,这样我们就不必这样忙了。

(0)

相关推荐

  • 怎样手动清除磁碟机病毒木马

    磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,"磁碟机"木马作者已经更新了数次,感染率和破坏力正逐步提高.该病毒运行后关闭并阻止360安全卫士和卡巴.瑞星.金山.江民等 ...

  • "磁碟机"病毒侵入我们的计算机后到底都做了些什么

    "磁碟机"病毒侵入我们的计算机后到底都做了些什么? 在C盘根目录下释放驱动NetApi000.sys,卸掉杀毒软件的钩子,使其监控失效. 从以下网站下载新病毒: http://ww ...

  • 上网速度慢的原因以及解决方法深入解析

    我们的网络管理员不但要确保网络的工作稳定,还要保证有正常的网络速度。在此,我想从两方面加以分析:一是用户的计算机,二是网络环境。 一、用户计算机方面 1.计算机配置 机器配置越高,上网就越流畅。其中内 ...

  • 深度技术 GHOSTXP 电脑城克隆版 V7.0

    软件大小: 697Mb 软件语言: 简体中文 深度技术 GHOSTXP 电脑城克隆版 V7.0 (NTFS/F32) 注意事项: 一.建议下载后先验证MD5。 二.在VM虚拟机下测试的效果可能与实际不 ...

  • 电脑上网速度慢的原因分析

    作为一名专业的网络管理员不但要确保网络的工作稳定,还要保证有正常的网络速度。在此,我想从两方面加以分析导致电脑上网速度慢的原因:一是用户的计算机,二是网络环境。 一、用户计算机方面 1.计算机配置 机 ...

  • 电脑上网速度慢原因分析及解决办法

    一.用户计算机方面 1.计算机配置 机器配置越高,上网就越流畅.其中内存大孝CPU主频.硬盘速度和网卡速度等是影响上网速度的主要原因.尽可能地升级机器配置,这样在硬件上保证上网需求. 2.对浏览器进行 ...

  • 史上20大计算机病毒

    一谈计算机病毒,足以令人谈"毒"变色.硬盘数据被清空,网络连接被掐断,好好的机器变成了毒源,开始传染其他计算机.中了病毒,噩梦便开始了.有报告显示,仅2008年,计算机病毒在全球造 ...

  • 卡巴斯基打不开了怎么办?解决办法有哪些?

    卡巴斯基反病毒软件是世界上拥有最尖端科技的杀毒软件之一,总部设在俄罗斯首都莫斯科,全名“卡巴斯基实验室”,是国际著名的信息安全领导厂商,创始人为俄罗斯人尤金·卡巴斯基.是世界上拥有最尖端科技的杀毒软件 ...

  • 开机还原软件哪个比较好用?几款免费好用的开机还原软件下载推荐

    有什么开机就还原的免费软件?开机还原软件哪个好?如果我们在使用电脑的过程中发生了不可修复的故障,那么可以使用开机还原软件将系统还原到正常的状态,从而解决电脑的故障问题.那么,哪款开机自动还原软件比较好 ...