论文部分内容阅读
大家都懂得发展才是硬道理,病毒当然也会与时俱进,以下所描述的病毒就是一例最难缠的自动播放病毒,它不但把自动播放病毒的传统优势保存了下来,并且使用了一系列新诡计,让以往所用的几乎战无不胜的杀毒绝招几乎全部失灵,跟这种病毒过招,让好事者(包括我)大呼过瘾!
1.中毒后的表现
(1) IE浏览器自动启动并打开一些广告网页,主要有网游广告,还有一些少儿不宜的广告;
(2) 组策略不能正常使用,提示“不能在标记为删除的注册表项上操作”;或者直接提示不能保存注册表;“软件限制规则”没有了,或者全部项目都没有了;先前设置的组策略通通失效;
(3) 注册表不能保存,修改后的参数在系统重启后自动还原;
(4) 安全模式不能进入,启动安全模式时系统会自动重启;
(5) 系统的自动播放功能被病毒启动,而且无法禁用,把注册表中explorer键项的NoDriveTypeAutoRun的数值数据全部改为255(这是十进制,十六进制是FF),也不能禁用自动播放,重启后自动启用自动播放;
(6) 杀毒软件不能使用,打开杀毒软件后能在任务管理器中发现杀毒软件的进程,但是不出现杀毒软件的窗口;网上在线杀毒也不能启用。
2.病毒特征
中毒时,病毒首先进入WINDOWSsystem32Com目录,在这个目录下增加以下程序:
lsass.exe(大小:93716 字节 ,文件日期:2002-12-10,具有隐藏、系统、只读属性)
smss.exe(大小:40960 字节, 文件日期为当前日期,具有隐藏、系统、只读属性)
netcfg.dll(当前日期)
netcfg.000(当前日期)
有时还会在这个COM目录下发现有explorer病毒,如果这个病毒得手,系统资源管理器就不正常了。
同时在分区根目录下增加两个文件:autorun.inf和pagefile.pif(或pagefile.exe),如果分区已经设置安全权限为禁止写入,则不会写入病毒。
系统重启后,可能会在以下目录写入病毒文件:
C:Documents and SettingsAll Users「开始」菜单程序启动 (程序文件名较长,一般含有两个exe后缀);
C:WINDOWSsystem32(写入一个LOG文件,文件名大概为5位数的数字;写入一个antiTool.exe文件,日期为2004年左右,具有隐藏属性);
C:WINDOWSsystem32drivers(写入一个alg.exe文件,这个目录下所有的exe可执行文件都可以删除);
C:WINDOWSFonts(这里面所有的exe可执行文件都可以删除);
IE浏览器程序目录C:Program FilesInternet ExplorerPLUGINS会被写入病毒文件(日期为最近两天内的文件一般是病毒,可以删除;几个月之前的文件是正常文件,不要动)。
3.处理方法
在中毒后的windows界面处理这个病毒,困难重重,主要表现在以下方面:
用于对付病毒的传统方式如软件散列规则等全部失效;
病毒文件Lsass和smss以及autorun和pagefile很难清除;
用任务管理器不能终止Lsass和smss病毒的进程,提示是系统关键进程(进程中同时有正常的Lsass、Smss进程和病毒进程,名称一样,但是用户名不一样,病毒的用户名是登录系统的用户名,如administrator等;正常的进程使用的是system用户名);
在CMD界面中使用tasklist和taskkill命令也不能终止病毒进程;或者CMD窗口被禁用;
很难在CMD界面中用attrib命令取消病毒的系统属性,它会自动恢复;
注册表几乎没用,不能保存修改后的参数;
用自动播放病毒专杀工具,提示autorun.inf是正常文件,不需处理;杀掉Lsass和Smss等病毒,并修复被篡改的注册表后,重启系统,再次查杀,发现刚才的杀毒和修复注册表根本没起作用!
4.最有效的办法
用WinPE启动光盘启动系统,或者启动到DOS模式下:
特别注意删除smss.exe、Lsass.exe两个病毒;同时删除autorun.inf文件和pagefile.pif(或pagefile.exe)文件;
删除“Documents and SettingsAll Users「开始」菜单程序启动”目录下的可执行exe文件;
删除上述其他目录下的几个病毒文件,如fonts目录和drivers目录下的病毒,如果弄不清楚,这两个目录下的全部exe可执行文件都可以删除,注意不要漏掉隐藏文件;
重启系统后,系统基本上没有问题了,可能还有少数exe程序和Dll文件感染病毒,使用杀毒软件查杀就可以了(这时可以正常启动杀毒软件了,组策略和注册表都可以正常使用了)。
注意:
经试验,即使系统禁用了所有驱动器的自动播放功能,把带有autorun.inf和pagefile.pif病毒的存储设备接入系统后,系统照样会立即感染病毒,smss.exe和lsass病毒立即激活。
如果重装操作系统,一定要格式化系统盘分区,安装成功后先不要进D盘E盘等分区,也不要使用带毒的存储设备,先安装杀毒软件,升级病毒库,再全盘杀毒。
中这种病毒后,系统并无其他异常迹象,日常使用中无明显异常感觉,容易使用户麻痹大意,然而,种种迹象表明,这种病毒是带有一定目的的,比如QQ密码就是它觊觎的对象!
1.中毒后的表现
(1) IE浏览器自动启动并打开一些广告网页,主要有网游广告,还有一些少儿不宜的广告;
(2) 组策略不能正常使用,提示“不能在标记为删除的注册表项上操作”;或者直接提示不能保存注册表;“软件限制规则”没有了,或者全部项目都没有了;先前设置的组策略通通失效;
(3) 注册表不能保存,修改后的参数在系统重启后自动还原;
(4) 安全模式不能进入,启动安全模式时系统会自动重启;
(5) 系统的自动播放功能被病毒启动,而且无法禁用,把注册表中explorer键项的NoDriveTypeAutoRun的数值数据全部改为255(这是十进制,十六进制是FF),也不能禁用自动播放,重启后自动启用自动播放;
(6) 杀毒软件不能使用,打开杀毒软件后能在任务管理器中发现杀毒软件的进程,但是不出现杀毒软件的窗口;网上在线杀毒也不能启用。
2.病毒特征
中毒时,病毒首先进入WINDOWSsystem32Com目录,在这个目录下增加以下程序:
lsass.exe(大小:93716 字节 ,文件日期:2002-12-10,具有隐藏、系统、只读属性)
smss.exe(大小:40960 字节, 文件日期为当前日期,具有隐藏、系统、只读属性)
netcfg.dll(当前日期)
netcfg.000(当前日期)
有时还会在这个COM目录下发现有explorer病毒,如果这个病毒得手,系统资源管理器就不正常了。
同时在分区根目录下增加两个文件:autorun.inf和pagefile.pif(或pagefile.exe),如果分区已经设置安全权限为禁止写入,则不会写入病毒。
系统重启后,可能会在以下目录写入病毒文件:
C:Documents and SettingsAll Users「开始」菜单程序启动 (程序文件名较长,一般含有两个exe后缀);
C:WINDOWSsystem32(写入一个LOG文件,文件名大概为5位数的数字;写入一个antiTool.exe文件,日期为2004年左右,具有隐藏属性);
C:WINDOWSsystem32drivers(写入一个alg.exe文件,这个目录下所有的exe可执行文件都可以删除);
C:WINDOWSFonts(这里面所有的exe可执行文件都可以删除);
IE浏览器程序目录C:Program FilesInternet ExplorerPLUGINS会被写入病毒文件(日期为最近两天内的文件一般是病毒,可以删除;几个月之前的文件是正常文件,不要动)。
3.处理方法
在中毒后的windows界面处理这个病毒,困难重重,主要表现在以下方面:
用于对付病毒的传统方式如软件散列规则等全部失效;
病毒文件Lsass和smss以及autorun和pagefile很难清除;
用任务管理器不能终止Lsass和smss病毒的进程,提示是系统关键进程(进程中同时有正常的Lsass、Smss进程和病毒进程,名称一样,但是用户名不一样,病毒的用户名是登录系统的用户名,如administrator等;正常的进程使用的是system用户名);
在CMD界面中使用tasklist和taskkill命令也不能终止病毒进程;或者CMD窗口被禁用;
很难在CMD界面中用attrib命令取消病毒的系统属性,它会自动恢复;
注册表几乎没用,不能保存修改后的参数;
用自动播放病毒专杀工具,提示autorun.inf是正常文件,不需处理;杀掉Lsass和Smss等病毒,并修复被篡改的注册表后,重启系统,再次查杀,发现刚才的杀毒和修复注册表根本没起作用!
4.最有效的办法
用WinPE启动光盘启动系统,或者启动到DOS模式下:
特别注意删除smss.exe、Lsass.exe两个病毒;同时删除autorun.inf文件和pagefile.pif(或pagefile.exe)文件;
删除“Documents and SettingsAll Users「开始」菜单程序启动”目录下的可执行exe文件;
删除上述其他目录下的几个病毒文件,如fonts目录和drivers目录下的病毒,如果弄不清楚,这两个目录下的全部exe可执行文件都可以删除,注意不要漏掉隐藏文件;
重启系统后,系统基本上没有问题了,可能还有少数exe程序和Dll文件感染病毒,使用杀毒软件查杀就可以了(这时可以正常启动杀毒软件了,组策略和注册表都可以正常使用了)。
注意:
经试验,即使系统禁用了所有驱动器的自动播放功能,把带有autorun.inf和pagefile.pif病毒的存储设备接入系统后,系统照样会立即感染病毒,smss.exe和lsass病毒立即激活。
如果重装操作系统,一定要格式化系统盘分区,安装成功后先不要进D盘E盘等分区,也不要使用带毒的存储设备,先安装杀毒软件,升级病毒库,再全盘杀毒。
中这种病毒后,系统并无其他异常迹象,日常使用中无明显异常感觉,容易使用户麻痹大意,然而,种种迹象表明,这种病毒是带有一定目的的,比如QQ密码就是它觊觎的对象!