|
病毒特征描述
1.“鬼影”病毒母體運行后����,會釋放兩個驅(qū)動到用戶電腦中,并加載��。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式�,嘗試修改IE屬性。 (分析:病毒傳播者這樣做的目的可能是為了轉(zhuǎn)移安全廠商的目標����,便于病毒的真正母體隱藏得更好)
2.a驅(qū)動會修改系統(tǒng)的主引導記錄(mbr),并將b驅(qū)動寫入磁盤����,保證病毒是優(yōu)先于系統(tǒng)啟動���,且病毒文件保存在系統(tǒng)之外。這樣進入系統(tǒng)后����,病毒加載入內(nèi)存����,但找不到任何啟動項、找不到病毒文件��、在進程中找不到任何進程模塊����。 (“鬼影”病毒是近年來極為罕見的技術(shù)型病毒,病毒作者具有高超的編程技巧��。因WinXP系統(tǒng)的限制���,一般手法改寫MBR會被系統(tǒng)判定為非法����,這也是引導區(qū)病毒接近消亡的重要因素。這種繞過Winxp的安全限制�,直接改寫MBR的技術(shù)一般稱之為MBR-rootkit,主要在國外技術(shù)論壇傳播�,在“鬼影”病毒之前,這一技術(shù)少有被黑客利用的案例���。)
3.病毒母體自刪除�。
4.重啟系統(tǒng)后�,主引導記錄(MBR)中的惡意代碼會對windows系統(tǒng)的整個啟動過程進行監(jiān)控,發(fā)現(xiàn)系統(tǒng)加載ntldr文件時����,插入惡意代碼,使其加載b驅(qū)動��。
5.b驅(qū)動加載起來后�����,會監(jiān)視系統(tǒng)中的所有進程模塊��,若存在安全軟件的進程����,直接結(jié)束�����。
6.b驅(qū)動會下載av終結(jié)者到電腦中��,并運行����。 7.下載的av終結(jié)者病毒會修改系統(tǒng)文件��,對安全軟件進程添加大量的映像劫持����,下載大量的盜號木馬�。進一步盜取用戶的虛擬財產(chǎn)。 8.該病毒只針對Winxp系統(tǒng)���,尚不能破壞Vista和Win7系統(tǒng)����。
金山查殺后手動善后
開始-運行-msconfig�����。
1.選擇“啟動”,把ali前面的勾去掉�����,單擊應用�。
2.開始-運行-win.ini,內(nèi)容已被更改為:
[DownLoad]
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html
ing.html
替換為
; for 16-bit appsupport
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1 MAPIX=1
MAPIXVER=1.0.0.1OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideoasf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
m2v=MPEGVideo
mod=MPEGVideo
保存���,退出
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
