概況
標籤
發作時間:隨機
感染對象:網路
主病毒檔案大小:17,408位元組
破壞方式:毀壞硬碟數據
警惕程度:★★★★★
描述
這是全球第一個可以覆蓋
硬碟分區的
蠕蟲病毒,沒有採取防護措施的計算機,一旦被感染,硬碟分區將被覆蓋,導致硬碟被鎖死,硬碟無法使用、所有數據全部被封存。
瑞星權威反病毒工程師鄭重告知廣大用戶:由越來越多的多項權威
數據和近百塊受害用戶硬碟的受損情況來看,“硬碟殺手”的破壞力是有史以來最兇狠的,對用戶數據的破壞程度更是致命的。
特徵
這是一個可以通過
網路傳播的蠕蟲病毒,使用
PECompact壓縮過。病毒運行時把自身複製到系統目錄下,並修改
註冊表。病毒利用了Win9X系統的一個
漏洞,可以在區域網路內迅速傳播,即便共享的資料夾設有密碼,病毒也能訪問。如果是WinNT系統,病毒則通過
已分享檔案夾傳播。
該病毒還會獲取系統當前時間,如果病毒運行超過兩天,則釋放病毒檔案到C糟
根目錄下,並用這個檔案改寫
硬碟分區表,當系統重啟時顯示病毒字元信息,破壞掉硬碟上的數據。
病毒運行後會有如下特徵:
1、修改系統檔案
win.ini中[msappfont]節中value, font, style項(如果該節中不存在這些項,病毒會創建),並將自己執行的日期存在這些項里。
2、如果系統當前日期大於24日並小於31日,或者當前的年數大於2002年,病毒檢查自己是否已經有兩天未被執行,如果是,病毒接著檢查檔案c:\win.ini是否存在,如果存在該檔案,表示該病毒已經執行過感染區域網路的操作。
如果病毒找到該檔案,它會進行如下的破壞動作:
1、創建以下檔案:c:\Msdos.sys(19位元組),c:\
Autoexec.bat(15位元組),c:\Mslicenf.com(1706位元組), c:\Boot.ini(88位元組),c:\Bootsect.dos(512位元組), c:\Boot.exe(4096位元組)。
其中當c:\boot.exe執行的時候,它會強行重新啟動用戶機器。當c:\Mslicenf.com執行時,它會覆蓋掉硬碟的
分區表,刪除掉
CMOS和
硬碟上的所有數據,並顯示一段信息。
當上述檔案被修改或創建後,而系統又重啟時,在Win95/98下,c:\Mslicenf.com被執行;在Windows Me下,則對c:\
IO.sys, c:\Command,c:\windows\system\Regenv32.exe打補丁使其可以運行在DOS實模式下。
最後病毒運行
Boot.exe重啟系統,運行破壞性程式,覆蓋掉硬碟的
分區表,刪除掉CMOS和硬碟上的所有數據,並顯示如下信息:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
bsa
Business Software Alliance
Promoting a safe & legal online world.
3、如果不是所有的破壞活動都被執行,病毒會執行如下操作:
複製自己到windows目錄下,命名為Mqbkup.exe(變種則命名為
mstask.exe),並註冊自動運行。它會在
註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加兩個鍵值:mqbkup =
%windir%\mqbkup.exe和mqbkupdbs = %windir%\mqbkup.exe。
然後會搜尋區域網路中C:\被共享的機器,如果找到,複製自己到該機器的c:\windows\Mqbkup.exe,並修改該機器中c:\windows\
win.ini目錄,修改run的值為c:\windows\mqbkup.exe。
傳播
原因
而且依靠網路的已分享資料夾感染計算機,傳播能力遠遠強於
CIH。
其變種的危害範圍更是有所擴大,NT、XP等作業系統都會被攻擊。
Microsoft在2000年10月10日發布的第72號安全公告中,就提到了這個關於共享級密碼的
漏洞,這個漏洞存在於Windows 95,Windows 98,Windows 98第二版以及Windows Me的系統中。Windows 9x/Me為
已分享檔案和共享列印設備提供密碼保護的功能,但是已分享檔案的密碼並不安全,惡意的用戶可以利用一個有效的用戶名,不必知道完整的用戶密碼便可訪問共享級別的檔案。
“硬碟殺手”正是利用Windows的這個
系統漏洞大量傳播的,它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到
網路共享目錄就可以得到訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
雖然Windows的這個漏洞已經發布了兩年有餘,但隨著“硬碟殺手”的瘋狂傳播,應再次引起Windows 95/98/Me用戶的關注,儘快下載相應的補丁程式。
過程
它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到
網路共享目錄就可以得到訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
特別是對於區域網路來說,該病毒能在數秒鐘之內感染所有機器。
因為該病毒進入計算機之後,會在記憶體中創建一個
互斥體,不重複感染記憶體,所以病毒在傳播時用戶絲毫不會感到計算機有任何異常。
後果
攻擊領域
快訊:
瑞星技術服務中心訊息:今天“硬碟殺手”病毒繼續作惡,已製造上百起用戶硬碟數據被毀事件。
瑞星公司統計顯示:被破壞的用戶多為企業用戶(區域網路用戶),大約占總數量的80%,個人用戶占少數,感染用戶為全國範圍。
南方某商業企業全網被感染,病毒發作導致營業網點癱瘓,破壞速度奇快,數據無法修復,只能重裝整個系統。
針對“硬碟殺手”病毒的瘋狂發作,瑞星公司高度重視,在向相關主管部門及時通報情況的同時,積極採取各種措施通知媒體和用戶,緊急調派技術人員為用戶提供支持服務。
值得注意的是:“
硬碟殺手”的傳播方式,導致了區域網路用戶遭受巨大的威脅,而且“硬碟殺手”病毒對數據的破壞極為嚴重,用垃圾信息覆蓋硬碟內容,寫入速度很快,受損用戶硬碟數據無法恢復,導致信息永久性丟失、用戶損失慘重。
更為嚴重的是,遠遠趕不上該病毒在網路中的蔓延速度。
瑞星防毒軟體網路版可以進行全網同時防毒操作,保障每台計算機都被掃描清除病毒,能夠有效對抗這種
網路病毒的肆意泛濫。
破壞過程
在利用被感染機器進行傳播的同時,該病毒釋放出一個COM型病毒檔案,將用戶的
硬碟分區用該COM檔案進行覆蓋。
當用戶第二次啟動計算機時,硬碟便被鎖死,螢幕上則會顯示以下信息:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
on our website, at:
Business Software Alliance
Promoting a safe & legal online world.
此時用戶已經無法做任何操作,即使用普通DOS
啟動盤也進入不了硬碟"。"
破壞程度
從
瑞星全國反病毒服務網得到的最新訊息,已有近百位用戶的計算機被感染,其中大部分用戶的數據全部丟失。
今日從瑞星公司獲悉,該病毒又突現新變種(Worm.Opasoft.e)。瑞星反病毒工程師認為,“硬碟殺手”病毒的殺傷力和傳播能力都遠強於
CIH,敬請用戶提高警惕!
用戶一旦被感染,該病毒會破壞主機上的所有硬碟數據。(如果用戶安裝了三塊硬碟,則三塊硬碟資料都被破壞);該病毒破壞速度驚人,一分鐘之內就可以破壞10G左右的數據,硬碟一旦被破壞,數據將不可恢復。
瑞星工程師認為,這個病毒的破壞力強於CIH,因為CIH病毒破壞的硬碟有90%恢復的可能性。
CIH破壞速度比較慢,而且被感染計算機經常在破壞程式運行之中關機,因此能保留一部分硬碟數據。
“
硬碟殺手”是通過Windows的
系統漏洞進行破壞的,其變種的危害範圍更是有所擴大,除了9X之外,Winme、NT、XP等作業系統都會被攻擊。對於沒有下載微軟補丁程式的用戶來說,有可能被
郵件感染,也有可能在上網的時候被感染。對於
區域網路用戶來說,只要有一台機器被感染,病毒可以在數秒鐘之內通過已分享資料夾感染所有的機器,包括設定了共享密碼的計算機。
對策
清除方法
1、在DOS直接刪除C:\WINDOWS\mqbkup.exe此檔案,或者在WINDOWS系統中用防毒軟體進行記憶體防毒。
2、修改Windows安裝目錄下的
Win.ini檔案,刪除其中加入的run=c:\windows\mqbkup.exe的內容。
3、刪除C糟
根目錄下19個位元組的msdos.sys檔案、1706個位元組的Mslicenf檔案、88個位元組的Boot.ini檔案、4096個位元組的Boot.exe檔案、15個位元組的Autoexe.bat檔案
預防修復
對“硬碟殺手”病毒的預防及修複方法:
1、由於此病毒利用Windows 95/98/ME的
安全漏洞進行傳播,所以請到以下網址下載相應補丁程式,以防止被感染:
2、由於該病毒在區域網路內發播速度極快,所以區域網路用戶最好使用網路版
防毒軟體,並進行全網查殺。
瑞星防毒軟體(網路版、單機版)版本15.15.01以上可以查殺此病毒。
3、如果暫時無法下載瑞星防毒軟體的最新版本,而且不確定是否已經被感染,請檢查
註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在鍵值mqbkup或者mqbkupdbs,如果存在請刪除此鍵值。
5、在程式任務列表中刪除mqbkup.exe。
6、如果系統已經重新啟動並顯示如下圖,請立即關閉機器,切斷電源,以免硬碟數據進一步丟失。