病毒竟用光纤服务器升级 江民专家详解磁碟机病毒

  • 时间:
  • 浏览:0





作者: CNET科技资讯网

CNETNews.com.cn

2008-03-22 22:02:51

关键词: 江民 磁碟机 磁碟机病毒

        近日,“磁碟机”病毒在互联网疯狂传播,至今已有超过15万余台电脑感染病毒,病毒造成的直接和间接损失十分巨大。江民反病毒专家对“磁碟机”病毒进行了详尽的技术分析,令人感到吃惊的是,病毒竟然使用光纤接入的服务器来升级病毒体,即使在下载量巨大的情况报告下,病毒升级服务器都还都能能瞬间完成病毒的更新。

  江民反病毒专家介绍,“磁碟机”病毒是典型的驱动病毒。病毒首先利用驱动线程池池使帕累托图安全软件的监控失效,或者强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件(江民KV2008还都能能抵御该病毒)。

  “磁碟机”通过有一一个多多 ARP病毒在局域网中更慢传播。在感染了该“ARP病毒”的局域网中,除了系统静态绑定MAC地址的计算机外,或者 系统所下载的所有正常EXE线程池池文件都变成磁碟机病毒变种,该变种文件名为“setup.exe”,系有一一个多多 RAR自解压格式的安装包,运行后就会在用户系统中安装“磁碟机”变种。

  病毒会破坏注册表,使用户无法进入“安全模式”,以及无法查看“隐藏的系统文件”,并实时检测保护或者 被修改过的病毒选项,恢复后立即重写。破坏注册表,使用户注册表启动项失效,原因帕累托图通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表,实现开启自动播放的功能。解决病毒体被重定向,删除注册表中的IFEO线程池池映像劫持项。删除组策略限制的注册表项。

  病毒通过搜索注册表,直接强行删除所有安全软件的关联注册表项,使其无法开启监控。利用线程池池守护技术将病毒的“lsass.exe”、“smss.exe”线程池池主体和DLL组件进行关联,实现线程池池守护。发现病毒文件被删除或被关闭,会马上生成重新。病毒线程池池以系统级权限运行,帕累托图线程池池使用了线程池池保护技术。

  病毒的自我保护和隐藏技术无所不必其极。将DLL组件会插入到系统中几乎所有的线程池池中加载运行(包括系统级权限的线程池池)。利用了关机回写技术,在关闭计算机时把病毒主线程池池体保存到[启动]文件夹中,实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉。日后还都能能隐蔽启动,而不被用户发现。

  并肩,为了避开杀毒软件主动防御功能,病毒采用了反“Hips”的监控技术,为就使得帕累托图仅通过HIPS技术实现主动防御功能的杀毒软件失效。

  病毒有自动升级功能,并有此人 的光纤接入的升级服务器,即使在下载流量很大的情况报告下也还都能能瞬间升级更新病毒体。该病毒还是反向连接木马下载器,下载列表配置文件在骇客的远程服务器上,骇客还都能能随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒线程池池,其中包括有网络游戏盗号木马和ARP病毒等。病毒都不通过独占的方式访问系统“boot.ini”和“hosts”配置文件。解决DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒线程池池文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通,肯能连通则利用系统“IE浏览器”线程池池在后台与骇客服务器线程池池通信,日后还都能能躲避帕累托图防火墙的监控。

  针对该病毒,江民反病毒中心肯能推出了免费专杀工具,还都能能有效查杀200多个变种并修复并病毒感染的文件,建议感染病毒的用户下载使用。

  江民磁碟机专杀和修复工具下载地址:

  http://dl.jiangmin.com/download/zhuansha.htm