返回
解读磁碟机病毒前世今生

解读磁碟机病毒前世今生

ID:20136553

大小:54.50 KB

页数:4页

时间:2018-10-08

解读磁碟机病毒前世今生_第1页
解读磁碟机病毒前世今生_第2页
解读磁碟机病毒前世今生_第3页
解读磁碟机病毒前世今生_第4页
资源描述:

《解读磁碟机病毒前世今生》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、解读磁碟机病毒前世今生~教育资源库  磁碟机病毒疫情的发生  磁碟机病毒最早出现在去年2月份,金山毒霸反病毒专家李铁军表示,当时该病毒只是在ss.exe文件,并且修改系统时间为1980年,当时这个病毒并非以下载器为目的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。  磁碟机病毒分析  磁碟机病毒至今已有上百个变种,据金山毒霸全球反病毒监测中心表示,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木

2、马混合感染,其中下载的ARP病毒会对局域网产生严重影响。  对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒是在盗号事件发生之后,一般用户并不是经常关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清除,甚至想重新安装另一个杀毒软件也变得不可能。  典型磁碟机破坏的表现  1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃  2.破坏文件夹选项,使用户不能查看隐藏文件  3.删除注册表中关于安全模式的值,防止启动到安全模式  4.创建驱动

3、,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载  5.修改注册表,令组策略中的软件限制策略不可用  6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动  7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播  8.将注册表的整个RUN项及其子键全部删除,阻止安全软件自动加载  9.释放多个病毒执行程序,完成更多任务  10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRe

4、store下的PendingRenameOperations字串  11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR  12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为  磁碟机各版本表现不尽相同,典型的分析请参考爱毒霸社区的两个实例:  thread-21894878-1-1.html  thread-21891665-1-1.html  磁碟机病毒传播途径  1.U盘/移动硬盘/数码存储卡传播  2.各种木马下载器之间相互传播  3.通

5、过恶意网站下载  4.通过感染文件传播  5.通过内网ARP攻击传播  磁碟机解决方案  磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。有关专杀工具的使用、下载和升级说明,请参考:thread-21892665-1-1.html  在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:  1.尝试启动系统到安全模式或带命

6、令行的安全模式(很可能会失败)  具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行kav32.exe,或者在命令行下运行kavdx。如果这个病毒不是很BT的话,有希望搞定。  2.l)  磁碟机病毒专杀工具下载:zhuansha/259.shtml  磁碟机防御措施  招数一:及时更新杀毒软件,以拦截最新变种。  不能升级的杀毒软件和不装是一样的,在猪肉涨软件跌的情况下,支持正版软件还是值得的。和磁碟机类似的几个病毒都会找杀毒软件下手,注意观察杀毒软件的工作状态,可以充当磁碟机之类病毒破坏系统的晴雨表。  招数二:及时修

7、补操作系统漏洞、浏览器漏洞和应用软件漏洞。  windowsupdate、清理专家都是打补丁好手。播放器、下载工具,最好用官方的最新版,至少老漏洞都修补过。  官网最新版本是清理专家2.3,集成金山ARP防火墙,2007年12月27日更新,毒霸2008组合装的客户不需要下载,在金山毒霸2008中,清理专家和毒霸12下一页友情提醒:,特别!已经结合的非常紧密。  下载KASSetupl  招数三:网络防火墙、ARP防火墙一个也不能少。  网络防火

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。