|
病毒特征描述
1.“鬼影”病毒母體運行后���,會釋放兩個驅(qū)動到用戶電腦中���,并加載��。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式�,嘗試修改IE屬性���。 (分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標�����,便于病毒的真正母體隱藏得更好)
2.a驅(qū)動會修改系統(tǒng)的主引導記錄(mbr)�����,并將b驅(qū)動寫入磁盤�����,保證病毒是優(yōu)先于系統(tǒng)啟動��,且病毒文件保存在系統(tǒng)之外��。這樣進入系統(tǒng)后����,病毒加載入內(nèi)存����,但找不到任何啟動項、找不到病毒文件����、在進程中找不到任何進程模塊。 (“鬼影”病毒是近年來極為罕見的技術型病毒�����,病毒作者具有高超的編程技巧�。因WinXP系統(tǒng)的限制,一般手法改寫MBR會被系統(tǒng)判定為非法�,這也是引導區(qū)病毒接近消亡的重要因素。這種繞過Winxp的安全限制�,直接改寫MBR的技術一般稱之為MBR-rootkit����,主要在國外技術論壇傳播��,在“鬼影”病毒之前���,這一技術少有被黑客利用的案例�����。)
3.病毒母體自刪除����。
4.重啟系統(tǒng)后�����,主引導記錄(MBR)中的惡意代碼會對windows系統(tǒng)的整個啟動過程進行監(jiān)控�,發(fā)現(xiàn)系統(tǒng)加載ntldr文件時,插入惡意代碼�����,使其加載b驅(qū)動�����。
5.b驅(qū)動加載起來后�����,會監(jiān)視系統(tǒng)中的所有進程模塊�,若存在安全軟件的進程,直接結束�。
6.b驅(qū)動會下載av終結者到電腦中,并運行�����。 7.下載的av終結者病毒會修改系統(tǒng)文件���,對安全軟件進程添加大量的映像劫持��,下載大量的盜號木馬����。進一步盜取用戶的虛擬財產(chǎn)���。 8.該病毒只針對Winxp系統(tǒng)�����,尚不能破壞Vista和Win7系統(tǒng)����。
金山查殺后手動善后
開始-運行-msconfig。
1.選擇“啟動”����,把ali前面的勾去掉,單擊應用����。
2.開始-運行-win.ini,內(nèi)容已被更改為:
[DownLoad]
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html
ing.html
替換為
; for 16-bit appsupport
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1 MAPIX=1
MAPIXVER=1.0.0.1OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideoasf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
m2v=MPEGVideo
mod=MPEGVideo
保存�,退出
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
