|
病毒特征描述
1.“鬼影”病毒母體運行后���,會釋放兩個驅動到用戶電腦中����,并加載�����。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式���,嘗試修改IE屬性��。 (分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標����,便于病毒的真正母體隱藏得更好)
2.a驅動會修改系統的主引導記錄(mbr)���,并將b驅動寫入磁盤�,保證病毒是優先于系統啟動�,且病毒文件保存在系統之外��。這樣進入系統后�����,病毒加載入內存���,但找不到任何啟動項���、找不到病毒文件�����、在進程中找不到任何進程模塊�。 (“鬼影”病毒是近年來極為罕見的技術型病毒���,病毒作者具有高超的編程技巧�����。因WinXP系統的限制����,一般手法改寫MBR會被系統判定為非法���,這也是引導區病毒接近消亡的重要因素��。這種繞過Winxp的安全限制���,直接改寫MBR的技術一般稱之為MBR-rootkit����,主要在國外技術論壇傳播����,在“鬼影”病毒之前���,這一技術少有被黑客利用的案例�。)
3.病毒母體自刪除�����。
4.重啟系統后�,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控�����,發現系統加載ntldr文件時�,插入惡意代碼�����,使其加載b驅動�。
5.b驅動加載起來后���,會監視系統中的所有進程模塊���,若存在安全軟件的進程�����,直接結束�。
6.b驅動會下載av終結者到電腦中�����,并運行�。 7.下載的av終結者病毒會修改系統文件����,對安全軟件進程添加大量的映像劫持�,下載大量的盜號木馬���。進一步盜取用戶的虛擬財產�。 8.該病毒只針對Winxp系統���,尚不能破壞Vista和Win7系統���。
金山查殺后手動善后
開始-運行-msconfig��。
1.選擇“啟動”���,把ali前面的勾去掉�����,單擊應用�����。
2.開始-運行-win.ini����,內容已被更改為:
[DownLoad]
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html
ing.html
替換為
; for 16-bit appsupport
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1 MAPIX=1
MAPIXVER=1.0.0.1OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideoasf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
m2v=MPEGVideo
mod=MPEGVideo
保存���,退出
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
