偽裝系統檔案

所謂的“偽裝系統檔案(Camouflage system files )”是指:病毒檔案具有偽裝系統檔案的屬性。一種和某個系統檔案類似的惡意檔案,一般為病毒和木馬檔案,從而破壞系統的安全環境,達到發布者的某些利益。

相關背景,病毒舉例,

相關背景

“淨藍絲帶”
中國網際網路協會、違法和不良信息舉報中心、反垃圾郵件中心、中國晚報協會記者編輯學會、奇虎公司共同正式宣布,首個網際網路公益品牌“淨藍絲帶”正式啟動。“淨藍絲帶”是首個網際網路領域的公益品牌,它代表共同抵抗網路惡意行為,象徵著國家對網際網路行業健康發展的關心和支持,象徵著網民對網際網路熱愛和對純淨網際網路空間的渴望,象徵著網際網路企業關注網民感受,恪守自律的承諾。相信通過這種公益活動的大面積普及和落地,反惡意軟體的勢頭或將掀起新一輪高潮。
系統檔案:
系統檔案指的是存放作業系統主要檔案的資料夾,一般在安裝作業系統過程中自動創建並將相關檔案放在對應的資料夾中,這裡面的檔案直接影響系統的正常運行,多數都不允許隨意改變。它的存在對維護計算機系統的穩定具有重要作用。
偽裝系統檔案:
“偽”字打頭的惡意軟體已經成為最近一段時間惡意軟體的標準動作,為用戶的自主判斷增加了更多的難度。同時,一批小集團運作的惡意軟體在技術層面進行了針對性操作,反惡意軟體查殺效果出現不穩定現象。
傳播
偽裝系統檔案的傳播方式和普通的病毒、木馬的傳播方式類似,大致分為兩類:網路傳播計算機硬體傳播。
網路傳播:
網路傳播,又分為網際網路傳播和區域網路傳播兩種。
網際網路傳播可以把電子郵件、瀏覽網頁、下載軟體即時通訊、網路遊戲作為媒介進行大範圍的傳播。區域網路傳播一般通過區域網路資源共享進行傳播。
計算機硬體傳播:
這類傳播方式包括“通過不可移動的計算機硬體設備傳播、通過移動存儲設備傳播、無線設備傳播”。
被偽裝系統檔案侵襲症狀
計算機被偽裝系統檔案侵襲後經常有以下表現:
1)防毒軟體被禁止啟動;
2)無法打開任務管理器
3)無法運行regedit.exe打開註冊表
4)ghost備份檔案被刪除;
5)無法查看隱藏檔案資料夾選項中沒有“不顯示隱藏的檔案和資料夾”這一項,只能通過搜尋獲得;
6)無法進入dos和安全模式
7)windows 自動更新被禁用;
8)系統時間被改;
9)系統運行速度變慢;
10)CPU記憶體使用率暴高;
11)偽裝系統檔案啟動其他病毒進程,計算機出現“被關閉→自啟”不斷循環的病毒進程;
12)可疑係統重裝後仍然可能被執行,因為該病毒在每個磁碟根目錄複製了執行檔案nx.exe和autorun.inf,雙擊就會運行病毒,但點擊磁碟右鍵看不到自動運行項;
13)在c:/windows/system32目錄下有檔案RxpMoN.exe。刪除該檔案後,若病毒被執行則會重新生成 ;
病毒運行原理
當我們操作計算機時某些工作需要調用某個系統檔案,若此系統檔案有相應的偽裝檔案,我們所調用此系統檔案時,對應的偽裝檔案隨之啟用。大部分偽裝系統檔案的進程開啟後,這個進程又會開啟其他病毒、木馬的進程。特別是帶有自啟動屬性的偽裝系統檔案
有些偽裝系統檔案的病毒自動運行並調用執行reg.exe,磁碟雙擊即會激活該病毒,如果未刪除病毒檔案,則會開機自動運行。它實際原理是映像劫持,就是防毒軟體註冊表任務管理器等都被病毒劫持了,當運行防毒軟體、註冊表程式時,實際執行的都是病毒進程。 這類病毒偽裝成系統檔案,所以查殺比普通病毒有難度。

病毒舉例

偽裝者go"(Win32.Troj.Autorun.go.15173)
威脅級別:中
病毒特徵:該病毒具有偽裝性,會偽裝成系統的svchost.exe檔案,進行替換。結束毒霸反間諜漏洞修復的功能。
信息盜竊者"(Win32.Hack.Unknown.81920)
威脅級別:低
病毒特徵:該病毒是後門程式,會通過獲得用戶鍵盤輸入的信息回傳到黑客的伺服器中,從而達到盜取用戶信息的目的。
偽裝系統檔案木馬V系列
偽裝系統檔案木馬V系列就是reg.exe病毒。AUTO類病毒,可以說是AUto病毒的變種。
感染該病毒的機器運行緩慢,進程中出現很多reg.exe,system32目錄下有檔案Systom.exe病毒,每個盤符下有nx.exe和autorun.inf也無法查看到隱藏檔案,無法打開任務管理器,regedit.exe冊表無法打開,reg.exe病毒一般是在瀏覽網頁時中的,它自動運行並調用執行reg.exe,磁碟雙擊即會激活該病毒,如果未刪除病毒檔案,則會開機自動運行。
查殺
對於偽裝系統檔案,正確的防毒方法是重新裝系統後,不要聯網,也不要執行其他任務。先安裝正版的防毒軟體,進入安全模式防毒。由於其他盤符下可能也有病毒所以執行全盤查殺。如果知道所中病毒的類型,下載其專殺工具進行查殺,效果還是比較理想的。
reg.exe 病毒清除辦法:(特別注意操作過程中右鍵打開各個本地磁碟,勿用雙擊打開本地磁碟)
1、結束所有reg.exe和Systom.exe及iexplore.exe進程,在system32下刪除Systom.exe,記住先不要雙擊磁碟。
2、搜尋磁碟里的autorun.inf檔案及nx.exe病毒,記得搜尋包括隱藏檔案,全部刪除。
3、搜尋auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起刪除。
4、用auto專殺病毒工具 殺一下。
建議
建議廣大網民建立良好的網站瀏覽習慣,進倆個通過正規網站獲取所需要的學習;養成良好的軟體安裝習慣,安裝下載軟體時儘量到官方網站和正規下載站下載;及時給系統打安全補丁;定期使用電腦體檢、修復軟體對電腦進行檢測、修復。
最好安裝專業的防毒軟體進行全面監控。建議用戶安裝反病毒軟體防止日益增多的病毒,用戶在安裝反病毒軟體之後,應該經常進行升級,將一些主要監控經常打開(如郵件監控)、記憶體監控等,遇到問題要上報, 這樣才能真正保障計算機的安全。
進入暑期,玩網路遊戲、利用QQ聊天的用戶會有所增多,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網路使用習慣,及時升級防毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

相關詞條

熱門詞條

聯絡我們