扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1.您是通过什么知道磁碟机病毒的?
我是通过网络知道磁碟机病毒的。最近大有传播之势,各大网站相继报导。
2.此病毒有哪些特点? 通过哪些方式传播?
磁碟机病毒最早出现在去年2月份,是在windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。
传播途径:
1)U盘/移动硬盘/数码存储卡传播
2)各种木马下载器之间相互传播
3)通过恶意网站下载
4)通过感染文件传播
5)通过内网ARP攻击传播
3.与其他病毒相比最明显的特点是什么? 造成的最严重的危害是什么?
对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒是在盗号事件发生之后,一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清除,甚至想重新安装另一个杀毒软件也变得不可能。
典型磁碟机破坏的表现:
1)注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
2)破坏文件夹选项,使用户不能查看隐藏文件
3)删除注册表中关于安全模式的值,防止启动到安全模式
4)创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
5)修改注册表,令组策略中的软件限制策略不可用。
6)不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
7)在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。
8)将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9)释放多个病毒执行程序,完成更多任务
10)病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11)感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
12)下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。
4.磁碟机病毒是以何手段来关闭杀毒软件的?
该病毒运行后,首先在被感染计算机的后台实时监控当前系统所运行的程序,一旦发现某些安全软件的程序正在运行,则强行将其关闭并退出,同时所有相关安全软件的升级程序和安装程序也将无法运行。此外,该病毒还会导致被感染计算机系统出现蓝屏、死机等现象,严重危害计算机的系统和数据安全。
5.您使用过的哪些杀毒软件被此病毒关闭了? 而哪些软件病毒无法关闭?
我目前为止还没有遇到过这种病毒啊,只是通过网上了解到该病毒能够关闭瑞星、卡巴斯基等杀毒软件。还是希望防范于未然,不要遇上最好了。
6.您认为最有效的防御办法是什么? 希望与大家一起分享
磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:
1)尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)
具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行kav32.exe,或者在命令行下运行kavdx。如果这个病毒不是很BT的话,有希望搞定。
2)WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)WINPE启动后,运行kav32.exe或kavdx
3)挂从盘杀毒(有多台电脑的情况下,比较容易使用)
必须注意,在挂从盘杀毒前,正常的电脑务必使用金山清理专家的U盘免疫功能,将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险
4)你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先安装正版杀毒软件,升级到最新,禁用所有磁盘的自动运行。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号