Worm.OpaSoft

Worm.OpaSoft

Worm.OpaSoft亦稱“硬碟殺手”病毒,這是全球第一個可以覆蓋硬碟分區蠕蟲病毒硬碟殺手”病毒的感染對象是作業系統為Windows 95/98/Me的計算機,該病毒進入計算機之後,會利用95/98/Me系統的一個漏洞進行網路傳播,其變種的危害範圍更是有所擴大,NT、XP等作業系統都會被攻擊。 沒有採取防護措施的計算機,一旦被感染,硬碟分區將被覆蓋,導致硬碟被鎖死,硬碟無法使用、所有數據全部被封存。該病毒檔案會改寫硬碟分區表,當系統重啟時,會出現病毒信息,並將硬碟上所有數據都破壞掉,並且不可恢復。

基本介紹

計算機病毒,病毒介紹,病毒的發現與清除,病毒利用的漏洞,預防及修複方法,專家建議,

計算機病毒

適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
計算機感染了“硬碟殺手”病毒,如何解決?

病毒介紹

這是全球第一個可以覆蓋硬碟分區蠕蟲病毒,沒有採取防護措施的計算機,一旦被感染,硬碟分區將被覆蓋,導致硬碟被鎖死,硬碟無法使用、所有數據全部被封存。這個病毒的破壞力全面超越了臭名昭著的CIH:它可以在Windows95以上的所有版本的作業系統中運行,將用戶計算機上的所有硬碟里的所有資料瞬間清除並且無法恢復。另外該病毒還可以利用網路漏洞和已分享資料夾進行網路感染,傳播能力遠遠強於CIH!
“硬碟殺手”病毒運行時會首先將自己複製到系統目錄下,然後修改註冊表進行自啟動。病毒會通過9X系統的漏洞已分享檔案夾進行瘋狂網路傳播,即使網路已分享檔案夾有共享密碼,病毒也能傳染。如果是NT系列系統,則病毒會通過已分享檔案夾感染網路。病毒會獲取當前時間,如果病毒已經運行兩天,則病毒會在C糟下寫入病毒檔案,該病毒檔案會改寫硬碟分區表,當系統重啟時,會出現病毒信息,並將硬碟上所有數據都破壞掉,並且不可恢復。

病毒的發現與清除

如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
一、病毒運行時會將自己複製到WINDOWS安裝目錄下(如果是默認安裝則病毒拷貝病毒的目錄為:C:\WINDOWS),命名為:mqbkup.exe。可以用DOS盤引導系統,在DOS直接刪除此檔案,或者在WINDOWS系統中用防毒軟體進行記憶體防毒。
二、病毒會改寫Windows安裝目錄下的Win.ini檔案,在其中加入run=c:\windows\mqbkup.exe的內容,用戶可以用編輯軟體直接編輯此檔案,將此內容刪除。
三、病毒會在C糟創建19個位元組的msdos.sys檔案、1706個位元組的Mslicenf*c0m檔案、88個位元組的Boot.ini檔案、4096個位元組的Boot.exe檔案、15個位元組的Autoexe.bat檔案,用戶可以直接將這五個檔案刪除。
四、病毒會在註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入鍵值mqbkup或者mqbkupdbs,用戶可以用註冊表編輯工具直接將該鍵值直接刪除。
五、用戶如果中了該病毒,則重啟時螢幕上會出現以下內容的信息:NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.0org
Business Software Alliance
Promoting a safe & legal online world.
不過當用戶看到此信息後,則硬碟數據已經被破壞,無法恢復。

病毒利用的漏洞

硬碟殺手”病毒的感染對象是作業系統為Windows 95/98/Me的計算機,該病毒進入計算機之後,會利用95/98/Me系統的一個漏洞進行網路傳播,其變種的危害範圍更是有所擴大,NT、XP等作業系統都會被攻擊。
Microsoft在2000年10月10日發布的第72號安全公告中,就提到了這個關於共享級密碼的漏洞,這個┒創嬖謨赬indows 95,Windows 98,Windows 98第二版以及Windows Me的系統中。Windows 9x/Me為已分享檔案和共享列印設備提供密碼保護的功能,但是已分享檔案的密碼並不安全,惡意的用戶可以利用一個有效的用戶名,不必知道完整的用戶密碼便可訪問共享級別的檔案。
硬碟殺手”正是利用Windows的這個系統漏洞大量傳播的,它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到網路已分享資料夾就可以得到已分享資料夾的訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
雖然Windows的這個漏洞已經發布了兩年有餘,但隨著“硬碟殺手”的瘋狂傳播,應再次引起Windows 95/98/Me用戶的關注,儘快下載相應的補丁程式。

預防及修複方法

1、由於此病毒利用Windows 95/98/ME的安全漏洞進行傳播,所以請到以下網址下載相應補丁程式,以防止被感染:2、由於該病毒在區域網路內發播速度極快,所以區域網路用戶最好使用網路版防毒軟體,並進行全網查殺。瑞星防毒軟體(網路版、單機版)版本15.15.01以上可以查殺此病毒。
Worm.OpaSoft防毒Worm.OpaSoft防毒
3、如果暫時無法下載瑞星防毒軟體的最新版本,而且不確定是否已經被感染,請檢查註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在鍵值mqbkup或者mqbkupdbs,如果存在請刪除此鍵值。
4、如果用戶的機器作業系統是Windows 9X,請用戶打開Windows系統目錄下的Win.ini檔案,刪除run=c:\windows\mqbkup.exe所在的行。
5、在程式任務列表中刪除mqbkup.exe。
6、如果系統已經重新啟動並顯示如下圖,請立即關閉機器,切斷電源,以免硬碟數據進一步丟失。

專家建議

專家告誡廣大網際網路用戶,儘快升級防病毒軟體,如最新版反病毒軟體Kaspersky(卡巴斯基),這樣可有效的防範該病毒的侵犯

相關詞條

熱門詞條

聯絡我們