|
作者:一葉小舟
近日,一種專門入侵企業(yè)網(wǎng)絡(luò)并能強(qiáng)行關(guān)閉多種殺毒軟件的“磁碟機(jī)”病毒正在網(wǎng)絡(luò)中蔓延���,很多公司����、企業(yè)和學(xué)校都遭受了該病毒——“磁碟機(jī)”的入侵�����!按诺鷻C(jī)”病毒早在去年2月份就被截獲���,但是近期變種頻繁�,大有卷土重來之勢。該病毒運(yùn)行后�,首先在被感染計算機(jī)的后臺實(shí)時監(jiān)控當(dāng)前系統(tǒng)所運(yùn)行的程序,一旦發(fā)現(xiàn)某些安全軟件的程序正在運(yùn)行����,則強(qiáng)行將其關(guān)閉并退出,同時所有相關(guān)安全軟件的升級程序和安裝程序也將無法運(yùn)行�����。此外�,該病毒還會導(dǎo)致被感染計算機(jī)系統(tǒng)出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象�����,嚴(yán)重危害計算機(jī)的系統(tǒng)和數(shù)據(jù)安全。
中了磁碟機(jī)病毒后����,它會在windows系統(tǒng)目錄下生成lsass.exe及smss.exe文件,并且修改系統(tǒng)時間為1980年���,當(dāng)時這個病毒不是以下載器為目的的�,自身也有較多BUG��,入侵后���,容易引起系統(tǒng)藍(lán)屏死機(jī)����。以后的變種逐步吸收了AV終結(jié)者和機(jī)器狗的特性�,對抗安全軟件的能力逐步增強(qiáng)。
磁碟機(jī)病毒至今已有多個變種�,該病毒感染系統(tǒng)之后,會象螞蟻搬家一樣將更多木馬下載到本地運(yùn)行�,以盜號木馬為主。同時����,磁碟機(jī)病毒還會下載其它木馬下載器���,比如AV終結(jié)者,中毒后的典型表現(xiàn)是眾多病毒木馬混合感染�����,其中下載的ARP病毒會對局域網(wǎng)產(chǎn)生嚴(yán)重影響�。
磁碟機(jī)病毒的典型破壞表現(xiàn):
- 注冊全局HOOK,掃描含有常用安全軟件關(guān)鍵字的程序窗口����,發(fā)送大量消息,致使安全軟件崩潰
- 破壞文件夾選項�����,使用戶不能查看隱藏文件
- 刪除注冊表中關(guān)于安全模式的值���,防止啟動到安全模式
- 創(chuàng)建驅(qū)動,保護(hù)自身��。該驅(qū)動可實(shí)現(xiàn)開機(jī)刪除自身�����,關(guān)機(jī)創(chuàng)建延遲重啟的項目實(shí)現(xiàn)自動加載。
- 修改注冊表����,令組策略中的軟件限制策略不可用。
- 不停掃描并刪除安全軟件的注冊鍵值���,防止安全軟件開機(jī)啟動�。
- 在各磁盤創(chuàng)建autorun.inf和pagefile.pif��,利用雙擊磁盤或插入移動設(shè)備時自動運(yùn)行功能傳播�����。
- 將注冊表的整個 RUN 項及其子鍵全部刪除�,阻止安全軟件自動加載
- 釋放多個病毒執(zhí)行程序,完成更多任務(wù)
- 病毒通過重啟重命名方式加載����,位于注冊表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
- 感染除system32目錄外的其它EXE文件(病毒感染行為不斷進(jìn)化���,從感染其它分區(qū)到感染系統(tǒng)分區(qū))����,最特別的是病毒還會解包RAR文件,感染其中的EXE之后�����,再打包成RAR�����。
- 下載大量木馬到本地運(yùn)行�,用戶最終受損情況,決定于這些木馬的行為�����。
本文鏈接:http://m.95time.cn/computer/server/2008/5583.asp 
出處:
責(zé)任編輯:bluehearts
上一頁 手動清除磁碟機(jī)病毒木馬 下一頁
◎進(jìn)入論壇計算機(jī)技術(shù)版塊參加討論
|
第 1 頁 
第 2 頁 磁碟機(jī)病毒(worm.vcting)爆發(fā)癥狀
