• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 儲存設備

新AUTO病毒變種 專殺卡巴斯基殺毒軟體

【賽迪網-IT技術報道】「PE遠程後門844800」(PE.PECrypt.ze),這是一個PE病毒,它會感染Windows下所有的PE格式文件。病毒作者為病毒代碼設置了加密,使病毒特徵無法定位,試圖以此阻止安全軟體對它進行查殺。當它感染完文件後,就會釋放出木馬文件並執行,在用戶電腦上製造後門,便於黑客入侵。

「AUTO病毒15598」(Win32.Troj.AutoRunT.ad.15598),這是一個下載者病毒。它會查找並關閉安全軟體的提示窗口。如果用戶電腦中安裝有殺毒軟體卡巴斯基,病毒會修改系統日期,使卡巴失效。然後,它會下載病毒文件,並在系統上的每個硬碟下生成 autorun.inf 文件,擴散自己的傳播範圍。

一、「PE遠程後門844800」(PE.PECrypt.ze) 威脅級別:★

PE的意思是可移植的執行體,即portable executable,這是Windows下廣泛存在的一個32位的文件格式,PE病毒指的自然也就是感染這類文件的病毒。由於需要自己設置比較複雜的函數調用方式,PE病毒成為一些病毒作者用以炫耀自己技術的產品,在這樣的情況下,PE病毒層出不窮。

毒霸的反病毒工程師昨日處理的病毒中,就有一個PE病毒。它傳播的方式是隨著被感染的文件進入用戶電腦,而當用戶運行被感染的文件時,就會將其激活。

病毒被激活後,會立即運行起來。它將被感染的文件重新拆成正常文件和自己的病毒文件~ZY7.tmp,並把它們釋放到系統臨時文件夾中運行。由於文件會正常運行,用戶一般難以發現自己電腦已經中毒。而這時,那個獨立的病毒文件除了會搜尋別的正常文件進行感染外,還會試圖打開用戶的系統後門。原來,它是一個遠程控制後門程序。當病毒成功開啟後門,木馬種植者(黑客)就能遠程控制用戶的電腦,進行任何想要的系統操作,甚至盜取用戶的個人隱私和商業資料。

經毒霸反病毒工程師的分析,被感染後的文件入口地址被改到最後一個節表的病毒代碼處執行,關鍵病毒代碼被加密,前面一段代碼就是解密後面的加密指令。病毒作者試圖以此阻止安全軟體的查殺,但毒霸仍可徹底清除該毒,因此已安裝毒霸的用戶們大可放心。不過,還是要再次提醒大家,在進行下載和接收他人從網上發來的文件時,最好用殺毒軟體進行一下掃瞄,防止感染型病毒的潛入。

二、「AUTO病毒15598」(Win32.Troj.AutoRunT.ad.15598) 威脅級別:★

隨著USB隨身碟等移動儲存設備價格降低,越來越多人養成隨身攜帶USB隨身碟的習慣,一些病毒作者看準這一點,製作出大量可利用USB隨身碟傳播的AUTO病毒。在毒霸反病毒分析師昨日處理的病毒中,就有不少AUTO病毒,我們選出其中傳播傾向較高的一個,為大家介紹其破壞原理。

此病毒進入系統後,在%Windows%/system32/目錄下釋放出一個隱藏屬性的病毒文件Dser.exe ,為防止用戶恢復文件顯示模式後發現該文件,病毒還將這個文件偽裝成「系統」文件,試圖迷惑用戶。

接著,它判斷系統盤%Windows%/system32/drivers/目錄下是否有 klif.sys 這個文件。這個文件其實是殺毒軟體卡巴斯基的一部分,如果病毒找到這個文件,就會修改當前系統時間為 1981-01-12 ,令依賴系統時間進行升級和激活的卡巴斯基失效。

病毒繼續運行。它創建線程,查找窗口標題名為「IE 執行保護」、「IE執行保護」、「瑞星卡卡上網安全助手 - IE防漏牆」的窗口。如發現,則向其發送鼠標消息,模擬用戶點擊鼠標發出的命令,將其關閉。以阻止用戶獲知系統中的異常。

在病毒運行的後期,它在後台悄悄連接http:/ /www.8**ao***mm.bj.cn 這個由木馬種植者指定的地址,下載一批名稱為 123.exe 至 128.exe 編號的木馬文件,給用戶的系統安全引來更多無法估計的威脅。

此外,為擴大傳染範圍,病毒在電腦的每個硬碟分區下都創建AUTO病毒文件 autorun.inf 和 Dser.exe,只要用戶雙擊硬碟或在中毒電腦上使用USB隨身碟等移動儲存設備,病毒就會被再次激活,搜尋所有硬碟進行感染。

毒霸反病毒分析師建議用戶利用清理專家中的自動運行管理工具,關閉移動設備的自動運行,這樣可以極大地阻止病毒利用USB隨身碟進行傳播。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119