返回
病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf

病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf

ID:52459556

大小:199.22 KB

页数:17页

时间:2020-03-27

病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf_第1页
病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf_第2页
病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf_第3页
病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf_第4页
病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf_第5页
资源描述:

《病毒竟用光纤服务器升级!专家详解磁碟机病毒.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、DD丨WWW.BJDZLY.CN丨一摸得全讯网丨病毒竟用光纤服务器升级!专家详解磁碟机病毒近日,磁碟机病毒在互联网疯狂传播,至今已有超过5万余台电脑感染病毒,病毒造成的直接和间接损失十分巨大。3月17日,江民反病毒专家对磁碟机病毒进行了详尽的技术分析,令人感DD丨WWW.BJDZLY.CN丨一摸得全讯网丨到吃惊的是,病毒竟然使用光纤接入的服务器来升级病毒体,即使在下载量巨大的情况下,病毒升级服务器都可以瞬间完成病毒的更新。江民反病毒专家介绍,磁碟机病毒是典型的驱动病毒。病毒首先利用驱动程序使部分安全软件的监控失效,然后强行关闭目前几乎所有安全工

2、具软件以及几乎所有的杀毒软件。磁碟机通过一个ARP病毒在局域网中迅速DD丨WWW.BJDZLY.CN丨一摸得全讯网丨传播。在感染了该ARP病毒的局域网中,除了系统静态绑定MAC地址的计算机外,其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种,该变种文件名为setup.exe,系一个RAR自解压格式的安装包,运行后就会在用户系统中安装磁碟机变种。病毒会破坏注册表,使用户无法进入安全模式,以及无法查看隐藏的系统文件,并实时检测DD丨WWW.BJDZLY.CN丨一摸得全讯网丨保护这个被修改过的病毒选项,恢复后立即重写。破坏注册表,使用户注册

3、表启动项失效,导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表,实现开启自动播放的功能。防止病毒体被重定向,删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。病毒通过搜索注册表,直接强行删除所有安DD丨WWW.BJDZLY.CN丨一摸得全讯网丨全软件的关联注册表项,使其无法开启监控。利用进程守护技术将病毒的lsass.exe、smss.exe进程主体和DLL组件进行关联,实现进程守护。发现病毒文件被删除或被关闭,会马上生成重新。病毒程序以系统级权限运行,部分进程使用了进程保护技术。病毒的自我保护和隐藏技术

4、无所不用其极。将DLL组件会插入到系统中几乎所有的进程中DD丨WWW.BJDZLY.CN丨一摸得全讯网丨加载运行。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉。这样可以隐蔽启动,而不被用户发现。同时,为了避开杀毒软件主动防御功能,病毒采用了反Hips的监控技术,为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失DD丨WWW.BJDZLY.CN丨一摸得全讯网丨效。病毒有自动升级功能,并有自己的光纤接入的升级服务器,即使在下载流量很大的情况下也可以瞬间升

5、级更新病毒体。该病毒还是反向连接木马下载器,下载列表配置文件在骇客的远程服务器上,骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序,其中包括有网络游戏盗号DD丨WWW.BJDZLY.CN丨一摸得全讯网丨木马和ARP病毒等。病毒还会通过独占的方式访问系统boot.ini和hosts配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用ping命令在后台检测当前计算机网络是否连通,如果连通则利用系统IE浏览器进程在后台与骇客服

6、务器进程通信,这样可以躲避部分防火墙的监控。DD丨WWW.BJDZLY.CN丨一摸得全讯网丨针对该病毒,江民反病毒中心已经推出了免费专杀工具:http://dl.jiangmin.com/download/zhuansha.htm近日,磁碟機病毒在互聯網瘋狂傳播,至今已有超過5萬餘臺電腦感染病毒,病毒造成的直接和間接損失十分巨大。3月17日,江民反病毒專傢對磁碟機病毒進行瞭詳盡的技術分析,令人感DD丨WWW.BJDZLY.CN丨一摸得全讯网丨到吃驚的是,病毒竟然使用光纖接入的服務器來升級病毒體,即使在下載量巨大的情況下,病毒升級服務器都可以瞬間

7、完成病毒的更新。江民反病毒專傢介紹,磁碟機病毒是典型的驅動病毒。病毒首先利用驅動程序使部分安全軟件的監控失效,然後強行關閉目前幾乎所有安全工具軟件以及幾乎所有的殺毒軟件。磁碟機通過一個ARP病毒在局域網中迅速DD丨WWW.BJDZLY.CN丨一摸得全讯网丨傳播。在感染瞭該ARP病毒的局域網中,除瞭系統靜態綁定MAC地址的計算機外,其他系統所下載的所有正常EXE程序文件都變成磁碟機病毒變種,該變種文件名為setup.exe,系一個RAR自解壓格式的安裝包,運行後就會在用戶系統中安裝磁碟機變種。病毒會破壞註冊表,使用戶無法進入安全模式,以及無法查看

8、隱藏的系統文件,並實時檢測DD丨WWW.BJDZLY.CN丨一摸得全讯网丨保護這個被修改過的病毒選項,恢復後立即重寫。破壞註冊表,使用戶註冊表啟動項失

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。