一.什么是电脑病毒
电脑病毒是指一种能够自我复制并传播的恶意软件程序,它会给电脑系统带来破坏或影响。电脑病毒可以通过下载文件、打开恶意邮件附件、访问感染的网站等途径传播。一旦电脑被感染,病毒可能会删除文件、损坏系统、窃取个人信息,甚至完全控制电脑。
二.如何预防电脑病毒
为了保护计算机免受病毒攻击,用户应该采取以下预防措施:
- 安装可靠的安全防护软件,如杀毒软件、防火墙和反间谍软件。
- 及时更新操作系统和应用程序,以修补已知的安全漏洞。
- 不要随意点击或打开未知来源的链接、附件或下载文件。
- 不要访问不受信任的网站,尤其是涉及非法内容的网站。
- 定期备份重要的文件和数据,以防止数据丢失。
如果怀疑计算机已感染病毒,可以通过运行杀毒软件进行扫描和清除病毒。如果问题无法解决,建议寻求专业的技术支持。
三.磁碟机病毒
1.病毒简介
磁碟机病毒又名dummycom病毒,传播最迅速,变种最快,破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户!“磁碟机”现已经出现100余个变种,病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。
2.病毒特征
磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。它有以下特征:
(1).传播性
(2).隐蔽性
传播的隐蔽性:从上面的描述可以看出,病毒在传播过程中,所利用的技术手段都是用户,甚至是杀毒软件无法截获的。
启动的隐蔽性:病毒不会主动添加启动项(这是为了逃避系统诊断工具的检测,也是其针对性的体现),而是通过重启重命名方式把C:下的XXXX.log文件(XXXX是一些不固定的数字),改名到“启动”文件夹。重启重命名优先于自启动,启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的,使得当前大多数杀毒软件无法有效避免病毒随机启动。
(3).针对性
这是磁碟机病毒最大的特点!
关闭安全软件,病毒设置全局钩子,根据关键字关闭杀毒软件和诊断工具
另外,病毒还能枚举当前进程名,根据关键字Rav、avp、kv、kissvc、scan…来结束进程。
破坏文件的显示方式,病毒修改注册表,使得文件夹选项的隐藏属性被修改,使得隐藏文件无法显示,逃避被用户手动删除的可能
破坏安全模式,病毒会删除注册表中和安全模式相关的值,使得安全模式被破坏,无法进入;为了避免安全模式被其他工具修复,病毒还会反复改写注册表。
破坏杀毒软件的自保护,病毒会在C盘释放一个NetApi00.sys的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹。
破坏安全策略,病毒删除注册表HKLMSoftWaePliciesMicrosoftWindowsSafer键和子键。并会反复改写。
自动运行,病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif,是以独占式打开的,无法直接删除。
阻止其他安全软件随机启动,病毒删除注册表整个RUN项和子键。
阻止使用映像劫持方法禁止病毒运行,病毒删除注册表整个Image File Execution Options项和子键。
对抗分析检测,病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后,再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。
病毒自保护,病毒释放以下文件:
%Systemroot%system32Comsmss.exe
%Systemroot%system32Comnetcfg.000
%Systemroot%system32Comnetcfg.dll
%Systemroot%system32Comlsass.exe
等等...
随后smss.exe和lsass.exe会运行起来,由于和系统进程名相同(路径不同),任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后,会立即再次启动;如果启动被阻止,病毒就会立即重启系统。
3.病毒危害
4.主要症状
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象;
2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名;(如果只有1个lsass.exe和1个smss.exe,且对应用户名为system,则是系统正常文件,请不用担心)
3、杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;
4、系统时间被篡改,无法进入安全模式,隐藏文件无法显示;
5、病毒感染.exe文件导致其图标发生变化;
6、会对局域网发起ARP攻击,并篡改下载链接为病毒链接;
7、弹出钓鱼网站
5.解决方案
(1).杀毒方法
磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,可以尝试的杀毒方案有:
1.尝试启动系统到安全模式或带命令行的安全模式
具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行kav32.exe,或者在命令行下运行kavdx。
2.WINPE急救光盘引导后杀毒
WINPE启动后,运行kav32.exe或kavdx
3.挂从盘杀毒
必须注意,在挂从盘杀毒前,正常的电脑务必使用杀毒软件的U盘免疫功能,将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险
4.重装系统。
装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先上网下载杀毒软件,升级到最新,禁用所有磁盘的自动运行。
(2).预防措施
及时更新杀毒软件,以拦截最新变种。不能升级的杀毒软件和不装是一样的,在猪肉涨软件跌的情况下,支持正版软件还是值得的。和“磁碟机”类似的几个病毒都会找杀毒软件下手,注意观察杀毒软件的工作状态,可以充当“磁碟机”之类病毒破坏系统的晴雨表。2.及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。windows update、清理专家都是打补丁好手。播放器、下载工具,最好用官方的最新版,至少老漏洞都修补过。3.网络防火墙、ARP防火墙一个也不能少。网络防火墙和ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用。4.保持足够警惕,小心接收和打开不明程序,不要被文件的图标所蒙蔽。控制面板中“文件夹选项”的修改文件夹选项,显示所有文件的扩展名,发现EXE/PIF/COM/SCR等类型一定要倍加小心。甭管对方如何解释这个东东是什么,自己先看清楚,确认是文档才能认为是相对安全的。如果资源管理器工具菜单下文件夹选项不见了,或者打开后,修改选项失效,通常也是中毒的标志。5.常备一套工具箱:清理专家、procexp、autoruns、冰刃、Sreng,AV终结者专杀,磁碟机专杀。需要时,这些小工具可令系统起死回生。6.强烈建议禁用自动运行功能,这个鸡肋功能对病毒传播制造了太多机会,自动运行提供的方便性几乎没有价值。7.及时反应,减轻损失。一旦感染该病毒,应该及时停止登录网络游戏,请求游戏运营商先将账号冻结,避免遭受损失。
6.如何判断感染
某些常用安全软件打不开,打开后立即被关闭,或者打开后有被“分尸”的现象。这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。
安全模式被破坏。
用户试图进入安全模式时蓝屏。这是由于病毒删除了与安全模式相关的注册表键导致。
无法正常显示隐藏文件,且工具-文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。
打开任务管理器,会发现两个lsass.exe和smss.exe进程。
各盘根目录下有pagefile.pif和autorun.inf文件。
系统目录下存在dnsq.dll文件。
使用WinRAR浏览windows32Com目录下可以发现如下病毒文件:
%systemroot%system32comlsass.exe
%systemroot%system32comsmss.exe
%systemroot%system32comnetcfg.dll
%systemroot%system32comnetcfg.000
扫一扫
337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
