360安全中心近期截獲的一款惡性木馬下載器,該木馬一旦執行,會在瞬間下載上百個木馬,就象蝗災來襲時那樣鋪天蓋地。這些木馬首次以“集群作戰”的方式,從各個途徑徹底破壞用戶電腦安防體系,同時惡意彈出廣告,所過之處可謂滿目瘡痍。
基本介紹
- 中文名:蝗蟲軍團
- 外文名:HBkernel系列病毒
- 屬性:惡性木馬下載器
- 大小:41,397位元組
- 危險級別:★★★★★
- 影響平台:Win2000/XP/2003
簡歷,病毒特徵,查殺方法,行徑,總結,
簡歷
英文名稱:HBkernel系列病毒
中文名稱:蝗蟲軍團木馬
大小:41,397位元組類型:木馬
危險級別:★★★★★影響平台:Win2000/XP/2003
根除。
病毒特徵
360安全專家研究發現,“蝗蟲軍團”木馬下載器具有很強的驅動級自我保護能力,會修改主頁,並且通過一些技術來保護主頁不被用戶或其它軟體再次修改,以達到長期占有的目的,還可以讓防毒軟體的普通查殺模式全都失效,並且傳播途徑非常廣泛,用戶稍有不慎就會中招。而“蝗蟲軍團”下載的上百個功能各異的子木馬分工各異,具有很強的破壞性,其中有的負責強制關閉防毒軟體,有的負責阻攔用戶登入安全廠商的網站,還有的負責在用戶電腦上惡意彈出廣告……
最為可怕的是,這些子木馬具有“集體復活”的超強生命力,在上百個子木馬中,只要有一個被防毒軟體漏殺,就能使其他已經被清除的木馬快速“復活”,因此普通殺軟很難將其一次性斬草除根。憑藉這一特性,“蝗蟲軍團”對用戶電腦安防體系構成了巨大的威脅,其破壞性大有趕超“機器狗”和“磁碟機”之勢。
查殺方法
360安全中心緊急更新了360頑固木馬專殺大全,以幫助用戶徹底摧毀“蝗蟲軍團”背後的惡性木馬團伙。
360安全專家提醒廣大用戶,請儘快按如下方案處理:
一、下載最新版的360頑固木馬專殺大全,斷開網路進行查殺並重啟。
二、開啟360自我保護並進行木馬及惡評外掛程式的掃描,清除可能存在的殘留項。
三、經常使用360安全衛士修復系統漏洞,徹底斷絕木馬的傳播途徑。
四、上網使用360安全瀏覽器,使電腦能自動禁止惡意網站和智慧型攔截惡意代碼,將中招機率降到最低。
注意:因為“蝗蟲軍團”木馬使用了大量的對抗安全軟體的技術,如映像劫持,驅動技術等,使得中了“蝗蟲軍團”木馬的用戶很難安裝並使用安全軟體。而且“蝗蟲軍團”木馬推出變種的速度很快,並具有自我升級的能力,所以在查殺的時候最好是斷開網路。以免影響查殺效果。
在使用專殺大全查殺完成後,馬上重啟,並使用360安全衛士“快速掃描木馬”查殺一遍,將下載安裝的木馬徹底清理。完成這個查殺後,我們還需要將外掛程式清理一下。
圖:
行徑
2.破壞lsp
3.病毒在系統中的drivers目錄中釋放一個HBkernel32.sys的驅動檔案,該驅動檔案既可以保護病毒不被清除,又可以破壞殺軟的監控能力
4.病毒檔案(通常是隱藏的)會在註冊表中添加一個啟動項用於病毒的隨機啟動,同時還會載入驅動文來恢復SSDT表,從而讓殺軟失效。
5.修改註冊表AppInit_DLLs項目,將許多hb***.dll檔案插入到系統的進程中。
6.有些出現無法複製貼上的問題,rpc服務被破壞,解決方法 可以從相同系統的機子上電腦上壓縮rpcss.dll這個檔案,然後解壓到本機系統目錄system32下和system32\dllcache資料夾下,再在運行中打入services.msc,找到Remote Procedure Call (RPC),右鍵點啟動。或者正常的相同版本的系統從註冊表導出這一項,雙擊修復最後附有幾個常見系統的這個檔案。