petterkelly
助理工程师
帖子
580
精华
2
无忧币 1184
积分 1041
阅读权限 40
|
发表于:2008-3-25 22:07
标题:磁碟机中招后的“症状”
<上一帖 |
下一帖>
磁碟机中招后的“症状”
不少人问这个问题。现就中“磁碟机”后的主要(并非全部)症状罗列如下。供参考。
另:如果哪位发现新变种的新症状,请跟贴写出来。
症状1、系统安装在C盘的,用WINRAR可以看到磁碟机病毒释放的文件(目前为止,磁碟机病毒主体文件名及其路径是固定的):
C:\037589.log
C:\windows\system32\205016.log(这个.log文件名的数字部分可能有变化)
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
C:\windows\system32\dnsq.dll(动态插入应用程序进程)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.exe
各分区根目录下还会有:
autorun.inf和pagefile.pif
症状2、感染磁碟机后,IceSword、SRENG等常用工具不能正常运行。
(转载)典型磁碟机破坏的表现:
1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
2.破坏文件夹选项,使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值,防止启动到安全模式
4.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。
5.修改注册表,令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9.释放多个病毒执行程序,完成更多任务
10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。
12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。
某些常用安全软件打不开,或打开后立即被关闭;
无法进入Windows安全模式;
无法正常显示系统隐藏文件;
任务管理器中有两个lsass.exe和smss.exe进程;
使用Winrar浏览\system32\com\目录有以下病毒文件:
systemroot%\system32\com\lsass.exe
%systemroot%\system32\com\smss.exe
%systemroot%\system32\com\netcfg.dll
%systemroot%\system32\com\netcfg.000
硬盘根目录下有pagefile.pif和autorun.inf文件;
系统目录下存在dnsq.dll文件。
|
【MVP】马上申请成为“微软最有价值专家” |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图