病毒特征描述
1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。 (分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)
2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 (“鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客利用的案例。)
3.病毒母体自删除。
4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6.b驱动会下载av终结者到电脑中,并运行。 7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。 8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。
金山查杀后手动善后
开始-运行-msconfig。
1.选择“启动”,把ali前面的勾去掉,单击应用。
2.开始-运行-win.ini,内容已被更改为:
[DownLoad]
exe1=coopen-
3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]Link1=手机图铃|http://66.79.168.187:55325/tuling.html
ing.html
替换为
; for 16-bit appsupport
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1 MAPIX=1
MAPIXVER=1.0.0.1OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideoasf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
m2v=MPEGVideo
mod=MPEGVideo
保存,退出 本文出自:亿恩科技【www.enkj.com】
服务器租用/服务器托管中国五强!虚拟主机域名注册顶级提供商!15年品质保障!--亿恩科技[ENKJ.COM]
|