|
|
|
|
磁碟机http://www.sina.com.cn 2008年04月23日 09:47 新浪科技
如何判定是否种了磁碟机: 1.某些常用安全软件打不开,或打开后立即被关闭; 2.无法进入Windows安全模式; 3.无法正常显示系统隐藏文件; 4.任务管理器中有两个lsass.exe和smss.exe进程; 5.使用Winrar浏览\system32\com\目录有以下病毒文件: osystemroot%\system32\com\lsass.exe o%systemroot%\system32\com\smss.exe o%systemroot%\system32\com\netcfg.dll o%systemroot%\system32\com\netcfg.000 6.硬盘根目录下有pagefile.pif和autorun.inf文件; 7.系统目录下存在dnsq.dll文件。 感染该病毒后主要有如下症状: 1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象; 2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名; 3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问; 4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示; 5在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘、活动硬盘传播 。 6、病毒感染.exe文件导致其图标发生变化; 7、会对局域网发起ARP攻击,并篡改下载链接为病毒链接,从病毒服务器下载最新病毒; 8、弹出钓鱼网站 磁碟机病毒的主要传播渠道是: 1、U盘/移动硬盘/数码存储卡 2、局域网ARP攻击 3、感染文件 4、恶意网站下载 5、其它木马下载器下载 病毒分析: 病毒运行后会在每个磁盘下生成pagefile.exe和Autorun.inf文件,并每隔几秒检测文件是否存在,修改注册表键值,破坏“显示系统文件”功能。每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项,如被修改则重新破坏。病毒执行后,会删除病毒主体文件。同时病毒会监lsass.exe、smss.exe、dnsq.dll文件,如果假设不存在的话则重新生成。当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。病毒会连接恶意网址下载大量木马病毒。 1.从以下网址下载脚本www.****.****/*.htm、.....。 2.生成名为”MCI Program Com Application”的窗口。 3.程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。 4.查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV… 5.启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。 6.遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。 7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。 8.感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。 预防方案: 1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。 2 及时升级系统漏洞。 3 将病毒库升级到最新,并开启防病毒软件的实时监控。 手工查杀方法: 这个“磁碟机”一般中招后病毒均通过调用系统程序cmd.exe加载此驱动。 行了。从CMD入手 : 1、关闭所有安全软件。 2、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(一定要改两个目录的文件)。重启系统看看。 3、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe 这个cmd是无法运行的,这个就是病毒现从I386目录里找出来的,那病毒也无法运行了。 3、接下来将所有病毒文件手工删除(如果那个cmd.exe管用,那么NetApi000.sys可加载既病毒即可加载,病毒已经完整运行了。病毒文件是删不掉的)。 4、病毒文件清理干净以后,删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。 (此方法涉及修改系统文件,初学者慎用!) 此方法可以在专杀工具无法开启的情况下使用。, 在病毒不能运行的情况下再开启杀毒软件或者专杀工具 事半功倍
【发表评论】
不支持Flash
|