• 安全动态

防范磁盘机病毒

近期一个名为磁碟机的病毒开始在网络上大范围的传播,该病毒通过多种手段进行传播,其中
一种是ARP欺骗攻击进行传播,这使得该病毒给校园网的运行带来很大的影响。目前已知该病
毒的传播方式包括:
    1.通过移动存储介质传播(自动播放功能)
    2.网络下载传播
    3.局域网ARP欺骗传播
    4.感染系统EXE文件传播
    5.通过其他木马下载器下载传播

病毒一旦感染系统后,会使用多种方式来保护自己,使得用户清除它的困难非常大,即使是
用户格式化C盘重装系统也会再次被感染,除非你对磁盘进行彻底的格式化。该病毒会采用
以下手段保护自己:
    
    1.在各磁盘创建autorun.inf和pagefile.pif,使得用户只要双击系统中的盘符就会被感染。
    
    2.病毒使用底层驱动技术,中断系统调用,过滤关键字段使得大部分的安全软件都无法正常
      运行,由于这次病毒使用的是关键字段非常短,使得它的过滤更为严格,只要包含该字段
      的所有操作都无法正常运行,包括网页浏览。
    
    3.生成系统驱动程序,保护自身的进程不会被关闭。该驱动程序在系统启动后自动删除,关
      机后通过创建延迟重启的项目实现再次开机后的自动加载。
    
    4.修改注册表,关闭查看系统隐藏文件功能,使得用户无法看到病毒文件。
    
    5.修改注册表,破坏系统安全模式功能,使得进入安全模式后系统会出现蓝屏错误。
    
    6.修改注册表,令系统中的安全组策略无法正常启用。
    
    7.删除注册表中自动运行选项中所有自动运行程序,防止安全软件运行。
    
    8.感染除system32目录外的其它EXE文件,并且病毒还能感染RAR格式文件中的EXE文件。

由于病毒的上述措施,使得感染后的系统是无法看到病毒进程和文件的,并且病毒还会通过木马下
载器下载其他一系列的木马程序到系统上运行,使得感染后的系统表象可能为多种形式,但是有一
点当您的系统上的所有安全软件突然都不能用了,那很可能您的系统已经感染该类病毒了。

一旦感染该病毒,大部分的杀毒软件均无法正常使用,您可以通过以下措施来清除系统中的病毒:
    
    1.在干净的系统上下载该病毒的专杀工具(目前大部分杀毒厂商都提供了该病毒的专杀),
      并拷贝到干净的U盘上备用。使用系统引导盘(推荐Winpe盘)重新引导被感染的系统,插上
      U盘运行专杀工具,全面查杀后重启系统,运行系统上的杀毒软件进行全盘扫描。

    2.将被感染系统的硬盘摘下挂在到干净的系统上,升级杀毒软件的病毒库到最新对被感染的硬
      盘进行全盘扫描杀毒。要注意的是在感染硬盘挂载上后千万不要去试图双击打开该硬盘,以
      避免被感染。

    3.在干净的系统上下载该病毒的专杀工具,并拷贝到干净的U盘上备用。格式化感染系统的系统
      盘并重装系统,重装后千万不要双击其他盘符,插上U盘运行专杀工具全面查杀后重启系统,
      运行系统上的杀毒软件进行全盘扫描。