江湖后毒笑前毒 一代更比一代毒——将破坏王“小浩”拒之门外
网络安全
我的名字叫“小浩”,住在万毒谷内。近日,一名远客来访,告诉我“熊猫烧香”在外面被网民称为毒王,好不厉害!我感到极为郁闷:“就他那个熊样,也敢称王?”于是,我出山了。
我的武功和“熊猫烧香”相近,但是威力却比“熊猫烧香”更甚,因为我的独门绝技就是“碎玉拳”—— 破坏可执行文件且文件无法恢复。中招之后,最显著的特征就是文件的图标都被修改成我的名字,也就是一个“浩”字(图1)。
系统文件夹中绝大部分的文件都是可执行文件,这些文件被我修改后会被完全破坏,必须重新安装操作系统。这还没完,我对可执行文件不仅仅是修改,还会对它们进行多次覆盖操作,让它们完全没有恢复的可能性。
所以对于系统中存放有重要数据的用户而言,我就是它们的噩梦,哈哈!想知道我是如何“发飙”的吗?请听我慢慢道来。
毒招1:我会在%SystemRoot%\system32\目录中生成exloroe.exe文件,这就是我的克隆体,用于占领用户的电脑。我之所以让克隆体取这个名字,目的是为了假冒资源管理器explorer.exe。另外我还会在各磁盘分区和共享目录生成Xiaohao.exe、autorun.inf这两个文件,这样我就可以通过闪存等可移动存储设备进行传播了。
毒招2:我会感染系统中所有可执行文件,将它们的程序图标修改为“浩”字,并且对程序采用覆盖式写入,使它永久性被破坏,别说一些数据恢复软件,即使专业的数据恢复公司也无法对被破坏的文件进行恢复。
被我感染的程序,就像《生化危机》中的僵尸一样,会自动成为新的病毒体。当用户双击这些被破坏的程序时会出现一个空白的窗口,标题为“xiaohao”(图2)。
毒招3:我还会修改注册表,破坏“文件夹选项”,让用户无法设置“显示所有文件和文件夹”选项从而找到我。同时我还会修改注册表的启动项,让我能够随系统一起启动。
毒招4:我的传播方法,除了可以通过闪存传播外,硬盘中.htm、*.html、*.asp等网页脚本文件也是我的目标,我会悄悄地在其中插入恶意网站的代码。此外我还会利用系统漏洞从网络上下载病毒文件。这样我就可以在网络上疯狂地进行传播了。
毒招5:对付杀毒软件我也有自己的一套方法,将系统时间调整到2005年,大部分的杀毒软件都因为这招而被我整趴下了。
编辑支招:预防就靠这四招
招式1:关闭系统的自动播放。因为该病毒能通过可移动存储设备进行传播的,关闭了系统的自动播放,就等于切断了它的一条后路。关闭的方法如下:
点击“开始→运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置→管理模板→系统”,在右侧窗口可以找到“停用自动播放”项,其状态为“未被配置”。双击之,在“策略”中选中“启用”选项,点击“确定”即可(图3)。
招式2:不要打开陌生的链接。还记得该病毒会修改硬盘中的网页脚本文件吗?如果是服务器感染了,那成千上万的网页都会成为带毒网页。所以这段时间最好少打开陌生的链接,也别浏览自己不熟悉的网页。
招式3:不运行来历不明的可执行文件。这是老生常谈的问题了,尤其是QQ上网友发送过来的文件,谁知道那是不是病毒的傀儡文件呢?
招式4:打好系统补丁。尤其是关于IE浏览器的漏洞补丁,否则就像在你电脑上开启了一扇大门,可以随时进入。
编辑观点:积极防御是首选
“小浩”病毒来势汹汹,是目前最具破坏力的病毒,其特点主要是破坏可执行程序。现在,虽然杀毒软件已经可以查杀了,但被该病毒破坏的可执行文件,都无法恢复如初了(包括该病毒的制造者推出的专杀工具)。
由于“小浩”病毒的源代码被制造者放到网上过,其变种将会层出不穷,靠杀毒软件清除来防御的传统思路是不行了,最好的解决方法就是不要中这类病毒,将预防工作做到位即可。