降伏“禽兽”病毒 抹去挑衅留言
网络安全
最近江湖上出现了一批作案后大胆留言的病毒,中了我们的网民,最显著的特征是在系统的文件夹选项中,隐藏文件和文件夹处被替换成我们的个人留言。我——“禽兽”病毒,就是它们的带头大哥,我的个人留言是:“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽”(图1)。
“禽兽”病毒采用的技术和AV终结者差不多,但比它更狠、更毒,一次性从网络上下载二十多种木马病毒,严重威胁用户的各种账号和密码的安全。想知道如何判断中了这类病毒以及如何预防清除吗?请看下文。
首先,上网后我们会发现浏览器自动打开百度的首页,打开浏览器设置可以看到主页已经被修改为“www.baidu.com”。将它又改为空白页,结果依然还是会打开百度首页。
接着,打开系统的任务管理器查看一下进程有问题没有,结果是该功能已经被屏蔽了——命令变成了灰色的而无法使用(图2)。这时就应该明白自己已经中毒了。
再打开系统的“文件夹选项”,想展开系统中所有的隐藏文件。在这里可以发现其中的隐藏文件功能已经被窜改了,并且同时加上了病毒作者的留言。于是我们知道了该病毒就是最近名声大噪的“禽兽”病毒。
然后,通过《冰刃》检测发现病毒自动创建进程crsss.exe,它与系统服务进程csrss.exe很相似。在系统目录中产生大量的DLL和EXE后缀的病毒文件,同时在任何的移动存储设备以及硬盘分区目录下,生成病毒文件AutoRun.inf和niu.exe(图3)。这样当我们双击这些磁盘设备的时候,通过AutoRun.inf文件就会激活病毒并运行。
除了进行这些系统破坏外,通过《冰刃》的注册表功能还能发现,病毒修改了注册表进行了映像劫持,使众多安全软件不能正常使用(安全模式也进不去)。一旦发现有这些安全工具的进程名称,就会马上结束其进程。并且当用户在浏览器输入与“安全”或“病毒”相关的网站,病毒也会毫不留情地将浏览器关闭。
最后,对病毒代码分析,发现病毒运行成功后就会自动下载各种木马程序,从而记录用户输入的账号密码信息。除此以外,病毒还借鉴了流氓软件的特点,这样用户一打开浏览器就会马上弹出广告。另外病毒还会通过一个固定的网络地址统计被感染的计算机系统。这也是“禽兽”病毒的重要特征之一。
“禽兽”病毒的预防和清除
方法1:由于“禽兽病毒”依然采用了移动设备,以及网络下载等方式进行传播,因此再次提醒各位读者朋友,尽快禁用Windows系统中的自动播放功能,防止病毒通过移动设备进行快速的传播。
运行安全工具USBKiller(下载地址:http://www.cpcw.com/bzsoft),点击“免疫U盘”按钮,接着选择“禁止自动运行功能”,并且选中“免疫磁盘”选项就可以了。这样既可以防止磁盘的自动运行,又可以对指定的磁盘信息进行免疫(图4)。
方法2:“禽兽”病毒还可以利用网页进行传播,而利用网页最好的方式就是通过系统漏洞。因此用户可以利用系统的Windows Update功能修复补丁,也可以利用一些安全工具,对系统安全性进行彻底的检测并修复漏洞。
方法3:各位读者一定要提高自己的安全意识,不要随意接收从聊天工具发送过来的文件,也不要登录来历不明的网址链接。及时更新自己的杀毒软件病毒库,从而有效防止遭受到各类恶意程序的侵害。
方法4:如果已经中了病毒,可以下载《AV终结者专杀》(下载地址:http://www.cpcw.com/bzsoft),然后运行该专杀工具修复被破坏的安全模式和解除映像劫持,这时就可以使用杀毒软件了,马上将病毒库升级到最新版本,最后查杀一遍扫清病毒残留物。
编辑观点:彰显个性的病毒将会越来越多
“禽兽病毒”由于其鲜明的性格以及极大的破坏性,让人们越来越感到互联网安全的脆弱。现在越来越多的病毒作者在编写病毒时,贴上了自己的个性标签。从中我们可以看出,病毒作者们把自己的生活用语、琐事等强加给广大网民,这种行为是多么的流氓!