相關背景,病毒舉例,
相關背景
“淨藍絲帶”
中國網際網路協會、違法和不良信息舉報中心、反垃圾郵件中心、中國晚報協會記者編輯學會、奇虎公司共同正式宣布,首個網際網路公益品牌“淨藍絲帶”正式啟動。“淨藍絲帶”是首個網際網路領域的公益品牌,它代表共同抵抗網路惡意行為,象徵著國家對網際網路行業健康發展的關心和支持,象徵著網民對網際網路熱愛和對純淨網際網路空間的渴望,象徵著網際網路企業關注網民感受,恪守自律的承諾。相信通過這種公益活動的大面積普及和落地,反惡意軟體的勢頭或將掀起新一輪高潮。
系統檔案:
系統檔案指的是存放作業系統主要檔案的資料夾,一般在安裝作業系統過程中自動創建並將相關檔案放在對應的資料夾中,這裡面的檔案直接影響系統的正常運行,多數都不允許隨意改變。它的存在對維護計算機系統的穩定具有重要作用。
偽裝系統檔案:
“偽”字打頭的惡意軟體已經成為最近一段時間惡意軟體的標準動作,為用戶的自主判斷增加了更多的難度。同時,一批小集團運作的惡意軟體在技術層面進行了針對性操作,反惡意軟體查殺效果出現不穩定現象。
傳播
網路傳播:
網路傳播,又分為網際網路傳播和區域網路傳播兩種。
計算機硬體傳播:
這類傳播方式包括“通過不可移動的計算機硬體設備傳播、通過移動存儲設備傳播、無線設備傳播”。
被偽裝系統檔案侵襲症狀
計算機被偽裝系統檔案侵襲後經常有以下表現:
1)防毒軟體被禁止啟動;
2)無法打開任務管理器;
3)無法運行regedit.exe打開註冊表;
4)ghost備份檔案被刪除;
6)無法進入dos和安全模式;
7)windows 自動更新被禁用;
8)系統時間被改;
9)系統運行速度變慢;
11)偽裝系統檔案啟動其他病毒進程,計算機出現“被關閉→自啟”不斷循環的病毒進程;
12)可疑係統重裝後仍然可能被執行,因為該病毒在每個磁碟根目錄複製了執行檔案nx.exe和autorun.inf,雙擊就會運行病毒,但點擊磁碟右鍵看不到自動運行項;
13)在c:/windows/system32目錄下有檔案RxpMoN.exe。刪除該檔案後,若病毒被執行則會重新生成 ;
病毒運行原理
有些偽裝系統檔案的病毒自動運行並調用執行reg.exe,磁碟雙擊即會激活該病毒,如果未刪除病毒檔案,則會開機自動運行。它實際原理是映像劫持,就是防毒軟體、註冊表、任務管理器等都被病毒劫持了,當運行防毒軟體、註冊表程式時,實際執行的都是病毒進程。 這類病毒偽裝成系統檔案,所以查殺比普通病毒有難度。
病毒舉例
偽裝者go"(Win32.Troj.Autorun.go.15173)
威脅級別:中
信息盜竊者"(Win32.Hack.Unknown.81920)
威脅級別:低
偽裝系統檔案木馬V系列
感染該病毒的機器運行緩慢,進程中出現很多reg.exe,system32目錄下有檔案Systom.exe病毒,每個盤符下有nx.exe和autorun.inf也無法查看到隱藏檔案,無法打開任務管理器,regedit.exe冊表無法打開,reg.exe病毒一般是在瀏覽網頁時中的,它自動運行並調用執行reg.exe,磁碟雙擊即會激活該病毒,如果未刪除病毒檔案,則會開機自動運行。
查殺
對於偽裝系統檔案,正確的防毒方法是重新裝系統後,不要聯網,也不要執行其他任務。先安裝正版的防毒軟體,進入安全模式防毒。由於其他盤符下可能也有病毒所以執行全盤查殺。如果知道所中病毒的類型,下載其專殺工具進行查殺,效果還是比較理想的。
reg.exe 病毒清除辦法:(特別注意操作過程中右鍵打開各個本地磁碟,勿用雙擊打開本地磁碟)
1、結束所有reg.exe和Systom.exe及iexplore.exe進程,在system32下刪除Systom.exe,記住先不要雙擊磁碟。
2、搜尋磁碟里的autorun.inf檔案及nx.exe病毒,記得搜尋包括隱藏檔案,全部刪除。
3、搜尋auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起刪除。
4、用auto專殺病毒工具 殺一下。
建議
建議廣大網民建立良好的網站瀏覽習慣,進倆個通過正規網站獲取所需要的學習;養成良好的軟體安裝習慣,安裝下載軟體時儘量到官方網站和正規下載站下載;及時給系統打安全補丁;定期使用電腦體檢、修復軟體對電腦進行檢測、修復。
