您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

变种机器狗木马病毒防范

2008-3-17 15:40| 投稿: security

摘要:     近期变种机器狗木马病毒猖獗,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法*还原抵挡。目前已知的所...
    近期变种机器狗木马病毒猖獗,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法*还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。 机器狗病毒是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗病毒运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。 如何识别是否已中机器狗病毒是否中了机器狗病毒的关键就在 Userinit.exe 文件,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗病毒。如果有版本标签则正常。 自查方法: 1.开启查看隐藏文件功能-打开任意windows窗口-工具-文件夹选项-勾选“显示系统文件夹内容”-去掉“隐藏受保护的操作系统文件”勾-选择“显示所有文件和文件夹”-点击“确定”保存修改   2.分别打开c:\windows和c:\windows\system32 两个窗口,每个窗口都右键-查看-详细信息-点击窗口栏上“修改日期”项目按照“最新-最老”日期更新顺序排列文件,对创建修改日期为2008-1~2008-2之间的扩展名为“exe/dat/ini”3种类型文件多注意,以下是判断为机器狗的文件名,给大家做参考:(出现数字x.exe或xx.exe,出现单个字母 a.exe/c.exe或C:\WINDOWS\system32\explorer.exe之类的-恭喜你:你中招了!explorer.exe应该在C:\WINDOWS\目录下,出现在C:\WINDOWS\system32\下的就是病毒!) 另外查看c:\windows\system32\drivers中有无PCIHDD.SYS,有的话也中招了 del C:\WINDOWS\dfasbhpco.exedel C:\WINDOWS\qveschyt.exedel C:\WINDOWS\lqvvieps.dlldel C:\WINDOWS\ehbppvct.datdel C:\WINDOWS\DbgHlp32.exedel C:\WINDOWS\upxdnd.exedel C:\WINDOWS\dfasbhpco.exe.hivdel C:\WINDOWS\dghjxbnr.datdel C:\WINDOWS\system32\23.exedel C:\WINDOWS\system32\explorer.exedel C:\WINDOWS\system32\WIN.INIdel C:\WINDOWS\system32\DbgHlp32.dlLdel C:\WINDOWS\system32\upxdnd.dlldel C:\WINDOWS\system32\netsrv.dlldel C:\WINDOWS\system32\BOLE.INIdel C:\WINDOWS\system32\sgrefg.dlldel C:\WINDOWS\yuuoahmm.datdel C:\WINDOWS\xjcouxwy.dlldel C:\WINDOWS\mwnptmtoa.exe.hivdel C:\WINDOWS\bmyfuatg.dlldel C:\WINDOWS\mwnptmtoa.exedel C:\WINDOWS\joxykwqv.exedel C:\WINDOWS\xwizrokv.datdel C:\WINDOWS\system32\ntahqyfdj.dlldel C:\WINDOWS\system32\mswwwdj32.dll 3.检查-开始-程序-启动中有没有什么名称为“x.exe”的文件或快捷方式,如果有-删除,如果提示无法删除-打开对应文件夹-找到这个文件-给予该文件当前用户完全权限-然后删除 我的自救方法:(忙了一个通宵,把两台机子基本清理好) 1.升级本机诺顿病毒库到最新-开启实时防护-进行c盘全面扫描杀毒-或者用其它杀毒软件升级到最新版病毒库杀毒 2.下载最新的瑞星卡卡助手-安装-扫描杀毒杀木马 3.开启本机系统自带的防火墙 4.开始-windowsupdate-升级所有微软补丁-ie7可以不选-碰到要求正版验证就不要做这个升级了 5.自己动手制作一个bat执行文件,把找到的确定可疑的文件列入删除命令,命名为kill.bat放到c盘根目录下,重启系统-在开机时按F8调出启动菜单,选择“带命令行的安全模式”进入系统(会比较慢,耐心点)-在dos命令窗口输入c:\kill.bat-回车执行,然后重启看有无完成操作-就是想删的有没有删掉。下面是文件内容,有基础的可以根据自己的实际情况修改制作:(因为木马狡猾把很多文件设置了隐藏系统只读等属性,如果直接del会无法成功,前半部就是把所有可疑文件不管3721都去掉这些属性然后del) c:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\explorer.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\WIN.INIc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\DbgHlp32.dlLc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\upxdnd.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\netsrv.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\BOLE.INIc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\sgrefg.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\yuuoahmm.datc:\windows\system32\attrib -H -S -R C:\WINDOWS\xjcouxwy.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exe.hivc:\windows\system32\attrib -H -S -R C:\WINDOWS\bmyfuatg.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\mwnptmtoa.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\joxykwqv.exec:\windows\system32\attrib -H -S -R C:\WINDOWS\xwizrokv.datc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\ntahqyfdj.dllc:\windows\system32\attrib -H -S -R C:\WINDOWS\system32\mswwwdj32.dll del C:\WINDOWS\dfasbhpco.exedel C:\WINDOWS\qveschyt.exedel C:\WINDOWS\lqvvieps.dlldel C:\WINDOWS\ehbppvct.datdel C:\WINDOWS\DbgHlp32.exedel C:\WINDOWS\upxdnd.exedel C:\WINDOWS\dfasbhpco.exe.hivdel C:\WINDOWS\dghjxbnr.datdel C:\WINDOWS\system32\23.exedel C:\WINDOWS\system32\explorer.exedel C:\WINDOWS\system32\WIN.INIdel C:\WINDOWS\system32\DbgHlp32.dlLdel C:\WINDOWS\system32\upxdnd.dlldel C:\WINDOWS\system32\netsrv.dlldel C:\WINDOWS\system32\BOLE.INIdel C:\WINDOWS\system32\sgrefg.dlldel C:\WINDOWS\yuuoahmm.datdel C:\WINDOWS\xjcouxwy.dlldel C:\WINDOWS\mwnptmtoa.exe.hivdel C:\WINDOWS\bmyfuatg.dlldel C:\WINDOWS\mwnptmtoa.exedel C:\WINDOWS\joxykwqv.exedel C:\WINDOWS\xwizrokv.datdel C:\WINDOWS\system32\ntahqyfdj.dlldel C:\WINDOWS\system32\mswwwdj32.dll 另外 1、及时升级杀毒软件病毒库,补齐系统漏洞,上网时确保打开“网页监控”、“邮件监控”功能。2、打开杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算 机,完全保护计算机系统安全。3、禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。4、建议在登录网游账号、网络银行账户时采用软键盘输入账号及密码。5、做好局域网的ARP病毒防范工作。 附录1,关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。 2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。 MS06-014 中文版系统补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspxMS06-014 英文版系统补丁下载地址:http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspxMS07-017 中文版系统补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspxMS07-017 英文版系统补丁下载地址:http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部