科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>红色预警!毒性超熊猫 上网小心卤猪病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

“熊猫烧香”这场大风却还未完全散去,各种“熊猫烧香”的变种更是表现的异常活跃,近半数的网民深受其害。目前已经有许多用户反映遭遇 “卤猪病毒”(win32.iuhzu.a)这款变种病毒重度感染,眼看此款病毒就要大面积肆虐,挑战互联网的安全。

来源:zdnet网络安全 2008年03月24日

关键字:杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

病毒危险不可不防

一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,却成了人人喊打的过街老鼠。而“熊猫烧香”这场大风却还未完全散去,各种“熊猫烧香”的变种更是表现的异常活跃,近半数的网民深受其害。目前已经有许多用户反映遭遇 “卤猪病毒”(win32.iuhzu.a)这款变种病毒重度感染,眼看此款病毒就要大面积肆虐,挑战互联网的安全。

卤猪病毒(win32.iuhzu.a)和“熊猫烧香”有很多相同的地方,传播方式相同,都利用移动设备以及局域网共享传播,都将病毒的感染性、流行性、选择性、抗反病毒软件性发挥的淋漓尽致,但是这种变毒比“熊猫烧香”危害更大,用户中毒后,病毒会感染电脑上运行的软件,导致系统软件崩溃。

而一些常用的杀毒软件、360卫士、超级兔子等抗杀防御病毒的软件也在所难免,电脑操作系统运行时如老牛拖车,严重时还会出现蓝屏死机、系统崩溃,想修复系统却进不了安全模式,启动项里永远都是杀不完的危险进程,此类病毒杀毒软件厂商还未研究出专杀工具,所以大家一定要做好病毒防御工作,保证系统安全。

对于这个病毒我们要提高警惕,做好防御工作,除了为一个完全干净无毒系统做个备份,还需要做到以下几点:

1.关闭所有默认共享(net share admin$ /del)不要使用任何共享。

2.很多病毒都是利用漏洞传播,所以要及时更新最新补丁,并将补丁备份在移动硬盘中,以防系统中毒后无法上网升级。

3.不接受任何陌生人的邮件、网址、视频等网络文件或信息,如遇好友网络上发送文件,最好使用杀毒软件查杀再打开,以免由于对方电脑已经中毒而感染。

4.使用闪存、移动硬盘、存储卡、MP3等移动存储设备时,要开启杀毒软件实时监控功能。

6.利用专业的杀毒软件和防火墙的功能提高系统安全,及时升级杀毒软件病毒库,有条件的情况下将升级包备份到移动硬盘中。

7.平时不但要将一些常用系统检测修复工具以及木马查杀工具保存在移动硬盘中,还要经常对电脑进行定期检测和修复杀毒。
8.为本机管理员帐号设置较为复杂的密码,预防一些变种病毒通过密码猜测进行传播。

掐断病毒传播途径

在这个病毒的传播途径中,闪存、移动硬盘、存储卡、MP3等移动存储设备是重要传播媒介,如果闪存中感染了此病毒,会在闪存的驱动器里建立多个隐藏的文件,其中会有一个名为autorun.inf的文件,这个文件会为闪存添加一个自动运行的菜单,如果把默认“打开”操作改成关联病毒程序,那么在你双击闪存的时候,就会感染闪存所带的病毒,通常情况下无法看到这些文件就没办法删除,我们可以利用CMD命令来解决这一问题(这种杀毒方法也适用于硬盘驱动器):

1.在用杀毒软件全面查杀过后,大部分移动存储设备中的病毒都可以被杀掉,接下来在计算机中右击移动存储装备,看快捷菜单中的显示,如果有“auto”,则表示移动存储设备还是处于中毒状态。

2.单击“开始→运行”命令,在命令行中输入CMD并“确定”,打开CMD窗口。

3.在命令行模式下,输入移动存储装备盘符名称,比如移动硬盘是K,那就输入K:按回车进入K盘根目录。

4.在命令行下输入attrib按回车,这时在下方列出来文件中看到有一个名为SH autorun.inf的文件(图1)。(attrib指令:用于修改文件的属性。文件的常见属性有只读、存档、隐藏和系统)

红色预警!毒性超熊猫 上网小心卤猪病毒(图一)
图 1


提示:也可以使用dir/a 这个命令来查看当前目录全部的文件,包括有隐藏属性的,可以用来查看是否有autorun.inf等文件。

5.在命令行中输入“attrib空格-s空格-h空格autorun.inf”,更改autorun.inf文件的隐藏属性,这样利用右键打开移动存储设备,看到在根目录下有一个autorun.inf文件显示出来,将它删除。

最后拔掉硬盘存储设备,当再一次连接的时候自动运行菜单就没有了,同理,其他的病毒程序也可以如此操作。

注意:各种工具的使用、手工查杀与杀毒软件相互配合可以达到最好的效果。

系统中毒后 尽快清除

如果你不幸中了“卤猪病毒”(win32.iuhzu.a)或是类似的变种病毒,可以利用下面的方法进行清除。

初级方法

适用人群:初学者,电脑中没有重要资料

操作难度:★

如果你电脑中没有重要的资料,并且不会使用DOS命令,不会使用杀毒软件,不会手工查杀,那么就只好使用傻瓜级的“杀毒”方法,把硬盘整个都格式化,重新分区(注意在安装系统时一定要断开网络连接)。

这样做的结果就是能完全保证硬盘上的病毒被清除干净,但是硬盘上所有的数据都不见了,对于我们这些使用电脑频繁,硬盘中数据资料较多的人来说,这种方法会毁了辛辛苦苦保存了下来的资料或文档。

进阶方法

适用人群:电脑操作熟悉者,在C盘下没有重要资料

操作难度:★★★

1.在断开网络的安装环境下利用光盘引导将C盘格式化后重新安装系统,安装杀毒软件,然后升级补丁升级病毒库,如果备份有一键Ghost或还原精灵之类的,你要做的就是将系统还原(或重装操作系统)。推荐安装系统后先用360安全卫士先打好系统补丁和做好清理流氓软件的工作。

提示:装完系统后,不要马上打开其他盘符(切记),如果非要打开,就用WinRAR或资源管理器进行查看。

2.重启后进入安全模式,利用杀毒软件再进行查杀,一些杀毒软件杀不掉就按照杀毒软件对应的路径找到后手工删除,手工删除不掉,就先结束进程再删。

高级方法

适用人群:电脑高手,系统中存有重要资料者

操作难度:★★★★★

准备好需要的工具:SREng、Autoruns、修复安全模式.REG、恢复显示隐藏文件.REG

SREng:是一款系统诊断配置工具,主要用于发现、发掘潜在的计算机故障和大多数由于计算机病毒造成的破坏。

Autoruns:可查看、删除注册表及Win.ini文件等处的自启动项目。

1.如果安全模式不能进,那么可以利用SREng软件进行修复,下载回来后,运行前先改名(必须改名,不然是无法运行的),打开界面后选择“系统修复→高级修复→自动修复”,再点修复安全模式(图2)。

红色预警!毒性超熊猫 上网小心卤猪病毒(图二)
图 2


实际上,用此方法并不能完全修复所有不能进入安全模式的病毒劫持。所以还要利用SREng选择启动项目,删除所有.EXE和.DLL以及相关的项目,之后在“服务”中Win32服务应用程序里,选择隐藏微软已认证的服务,之后删除其他所以的不明服务。

2.运行修复安全模式.REG软件,导入注册表后重启,不出意外的话,此时可以进入安全模式了。重起启动后,进入安全模式,将Autoruns也改名(改名后可以防止因Autoruns被劫持而无法运行的情况),然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有项目!病毒劫持了很多杀毒软件,手工一项一项的删除可能比较辛苦,所以大家可以利用快捷键Ctrl+D和回车进行删除。

3.将系统临时目录比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各个项目都删除。这时候就把病毒库升级到最新,进行杀毒,杀毒软件被其清除的就重装吧。

4.由于病毒的原因,隐藏文件没办法显示,这里我们单击“开始→运行”,输入regedit展开注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL右边的CheckedValue键值设为1,也可以应用“隐藏文件夹的.reg”导入注册表,这样就可以显示隐藏文件了(图3)。

红色预警!毒性超熊猫 上网小心卤猪病毒(图三)
图 3


在此,我们建议大家先使用360安全卫士打上系统补丁和做好清理流氓软件的工作,然后再用杀毒软件查杀。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题