Board logo

标题: 按一下蓝色键,等着就行 [打印本页]

作者: ado    时间: 2008-4-7 21:30     标题: 按一下蓝色键,等着就行

今天同事电脑中毒了,中什么毒?---“磁碟机”

这病毒太强了,一开机系统就提示我“防火墙和Symantec Antivirus 自动防护 被关闭”。。。
然后Symantec也不是吃素的,顽强地,孜孜不倦地蹦出对话框,不停往外弹,最后布满整个屏幕。
其间还有提示找到病毒的提示,杀了,重启,还蹦。

没办法,先找来我的各种工具,然后拔网线。正要捣鼓,这时同事叼着烟过来了:“做一键恢复了吗?”我听了确实有点恼火,这家伙天天看在线视频,装了好多在线视频插件,还下东西,各种来历不明的U盘,手机,读卡器也胡插一气,哦,现在满屏幕Symantec提示框了,想起一键恢复啦,你这遛傻小子呢。再说了,我恢复完了,你再装这些东西啊。

我回答:“你现在别的分区也染毒了,恢复完了也白搭。”接着自己做自己的。

先来瑞星专杀,然后给他装上最新的瑞星卡卡,双管齐下,搞掉不少。但是这个病毒最厉害的地方就是他会自动下载数十个木马,流氓软件。病毒本身杀掉了,可是他的这些孽种还留着。

再重启还有,又上Roguecleaner,又逮出来不少。
再重启还有,这几个就比较顽固了,记住名字和位置,重启进安全模式,统统手动干掉。

再重启,世界清静了,防火墙,瑞星卡卡,Symantec Antivirus开机就好端端地后台运行着,没有再被关掉了。

回到座位,给全体职员发了一封不指名邮件,最重的一句话是:

It’s easy to protect your computer---Does safe internet application have not enough information you wanna know?


“按一下蓝色键,等着就行。”说起来轻巧,但凡需要那个键了,你必然是遭灾了。

PS:这个病毒在瑞星属于一级红色预警,几乎你所有对散播者有用没用的,存在电脑里面的帐号,都会被其掠取。大家好自为之。杀孽种的时候,一个清除流氓木马软件,通常是不够的,我现在比较常用的是卡卡和Roguecleaner.

图片附件: DSC02985.JPG (2008-4-7 21:30, 54.52 KB) / 下载次数 1536
http://nb591.com:8989/attachment.php?aid=20470&k=0d4735d20c3ff650fd1edbae800c528f&t=1732587905&sid=zJKJHD


作者: mark0527hn    时间: 2008-4-7 22:38

谢谢LZ提醒啊,太恐怖了,若是原创,赞一个!
作者: ado    时间: 2008-4-8 09:32

是原创,多谢楼上,take care
作者: dbpq2000    时间: 2008-4-8 09:46

什么病毒这么强????
作者: lizhaofan    时间: 2008-4-8 15:23

磁碟机病毒最近很厉害,大家小心!
以下转发:

磁碟机病毒疫情的发生

磁碟机病毒最早出现在去年2月份,是在Windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。

磁碟机病毒分析

磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。

对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒 是在盗号事件发生之后,一般用户不象我们这样关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清 除,甚至想重新安装另一个杀毒软件也变得不可能。

典型磁碟机破坏的表现

1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃

2.破坏文件夹选项,使用户不能查看隐藏文件

3.删除注册表中关于安全模式的值,防止启动到安全模式

4.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。

5.修改注册表,令组策略中的软件限制策略不可用。

6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动。

7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。

8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载

9.释放多个病毒执行程序,完成更多任务

10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。

11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。

12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。

磁碟机病毒传播途径

1.U盘/移动硬盘/数码存储卡传播

2.各种木马下载器之间相互传播

3.通过恶意网站下载

4.通过感染文件传播

5.通过内网ARP攻击传播

磁碟机病毒解决方案

磁碟机病毒和AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。从我们了解到的情况看,多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。因此,目前的方案是优先使用磁碟机专杀工具。

在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:

1.尝试启动系统到安全模式或带命令行的安全模式(很可能会失败)

具体办法:重启前,从其它正常电脑COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行杀毒软件,或者在命令行下运行杀毒软件。如果这个病毒不是很变态的话,有希望搞定。

2.WINPE急救光盘引导后杀毒(Winpe不易得到,不是所有人都有,需要的可以搜索一下到网上找。)

WINPE启动后,运行杀毒软件。

3.挂从盘杀毒(有多台电脑的情况下,比较容易使用)

必须注意,在挂从盘杀毒前,正常的电脑务必将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险。

4.你遇到了极端的情况,前三个条件都不具备,手工杀毒又不会,那只有一招,把C盘格了重装吧,装完切记,不要用双击打开其它磁盘或插入可能有毒的U盘,先安装正版杀毒软件,升级到最新,禁用所有磁盘的自动运行。

对于更了解系统的朋友来说,有手工方法来解决这些病毒,貌似有点难度,供大家参考,希望各位朋友都学会,这样我们就不必这样忙了。

江民磁碟机病毒(DiskGen)专杀工具下载:
http://download.jiangmin.info/jmsoft/killvirus.rar

金山毒霸 机器狗/磁碟机/AV终结者专杀工具:
http://kad.[url]www.duba.net/down/DubaTool_AV_Killer64.com[/url] 1.42M

瑞星磁碟机(DiskGen)家族专杀工具:
http://download.rising.com.cn/zsgj/ravDiskGen.exe 360K

360顽固木马专杀大全(360安全卫士修复工具、360安全卫士诊断工具、最新机器狗木马专杀工具、最新磁碟机病毒(Dummycom)专杀工具、最新各类流行木马专杀):
http://dl.360safe.com/360compkill.exe 2.71M
作者: ado    时间: 2008-4-9 14:54

这个病毒又带来了新的连带问题。

他有一个孽种叫"AVW木马",这两天我在公司每人电脑上几乎都发现了这个木马,初步判断是第一台中毒机没有杀干净导致这个木马通过局域网传播??!!

唉,说不太清楚,总之可以用Roguecleaner最新版杀出来这个木马,卡卡发现不了,Symantec也没有提示。
作者: lizhaofan    时间: 2008-4-10 16:14

Ado是高手啊,请教一下你推荐笔记本上使用什么反病毒软件和防护墙?

我的台式机一直用Norton Client Security中小企业版,它同时有反病毒和防火墙,好像一直以来还比较安全。但是占用系统资源确实比较多。

网上评测很多,结论好像也不一样啊。
作者: tonykian    时间: 2008-4-10 16:43

谢谢楼主的提醒。。。。。。。
作者: ado    时间: 2008-4-14 14:38

我不是高手,只是工作需要,给公司里顺带做做日常维护,没人商量只能自己捣鼓。
所有这些防火墙和杀毒,大多看个人喜好。
还有就是,我觉得还要有几个杀木马和流氓的工具留在手里,属于辅助作用。

也许有一次某一个软件帮你杀掉别的软件都杀不掉的东西,你就喜欢上它了,依赖心理起了很大作用。病毒,木马,蠕虫,流氓驻留,这些东西越来越多,你依赖的东西也就越来越多。

Norton Client Security中小企业版。。。说实话没用过,我们杀毒用的是Symantec Antivirus,防火墙有些人是Kerio,有些人是Zone Alarm.
Symantec的杀毒确实比较吃资源,我一般开机就关掉进程里面的Doscan和Rtvscan,要不然她能吃掉我100M内存。赛门的文化是稳妥,没有120%的把握他不会放一个病毒特征进新病毒库。瑞星自己就是个大蠕虫,病毒发100个包他回发1000包,靠这种蛮力死扛。有一段自己还用过金山,耗资源相对小,效果也不错,后来没法升级了就放弃了。

我个人印象比较好的是卡巴和MCfee。

防火墙嘛,用得不多,不好说。

想不中毒,最好是注意上网卫生。我还有朋友裸奔两年不重装的呢,因为实在是忙得根本没时间上网娱乐。
作者: ensemble    时间: 2008-4-15 14:26

这个病毒可以完全清除吧?没中过,同情一下!




欢迎光临 鸿利在线|北京Thinkpad水货|IBM水货|Thinkpad笔记本|Thinkpad全球购|Thinkpad美行|Thinkpad水货笔记本|Thinkpad港行笔记本|Thinkpad T14|X13|P15|P17|P1隐士| X1 Carbon 9代 |T14S|2021款X1 Carbon|X1 隐士|Thinkpad非官方论坛|Thinkpad工作站|Thinkpad笔记本论坛|Thinkpad水货 (http://nb591.com:8989/) Powered by Discuz! 7.2