-磁盤驅動器蠕蟲病毒分析磁盤驅動器病毒爆發的發生磁盤驅動器病毒最早出現于2007年2月. lsass.exe和smss.exe文件在Windows系統目錄中生成簡述磁碟機病毒，并且系統時間已修改為在1980年，該病毒當時還沒有針對下載者，它還存在許多錯誤. 入侵后，很容易造成藍屏死機. 隨后的變體逐漸吸收了AV終結器和機器狗的特性，并且逐漸增強了抵抗安全軟件的能力. 病毒分析“磁盤驅動器”通過ARP病毒在局域網中迅速傳播. 在感染了“ ARP病毒”的局域網中，除與系統靜態綁定到MAC地址的計算機之外，其他系統下載的所有正常EXE程序文件都將變為磁盤驅動器病毒變種，并且變種文件名為“ setup”. ” “ exe”是RAR自解壓格式的安裝軟件包. 運行后，它將在用戶系統上安裝“磁盤驅動器”變體. 病毒會損壞注冊表，阻止用戶進入“安全模式”并查看“隱藏的系統文件”簡述磁碟機病毒，并實時檢測和保護此修改后的病毒選項，并在恢復后立即重寫. 注冊表被破壞，使用戶的注冊表啟動項無效，從而導致某些通過注冊表啟動項運行的安全軟件無法啟動和運行. 修改注冊表，實現自動播放功能.

防止病毒體被重定向，并刪除注冊表中的IFEO過程映像劫持條目. 刪除受組策略限制的注冊表項. 通過搜索注冊表，該病毒會直接強行刪除安全軟件的所有相關注冊表項，從而使其無法開始監視. 使用進程守護程序技術將病毒“ lsass.exe”和“ smss.exe”進程主體與DLL組件相關聯，以實現進程守護程序. 如果病毒文件被刪除或關閉，它將立即再次生成. 病毒程序以系統級權限運行，并且某些進程使用進程保護技術. 病毒的自我保護和隱藏技術非常有用. DLL組件將被插入到系統中幾乎所有要加載和運行的進程中（包括具有系統級權限的進程）. 使用關機寫回技術，在關閉計算機時將病毒主體程序保存在[Startup]文件夾中，以實現啟動后的自啟動. 系統啟動后，刪除“啟動”文件夾中的病毒體. 可以秘密地啟動它，而不會被用戶發現. 同時，為了避免反病毒軟件的主動防御功能，病毒使用了反臀部監視技術，以使某些只能通過HIPS技術實現主動防御功能的反病毒軟件失效. 該病毒具有自動升級功能，并具有自己的光纖訪問升級服務器，即使在下載流量很大的情況下，也可以立即更新病毒體. 該病毒也是反向連接木馬下載器. 下載列表配置文件位于黑客的遠程服務器上. 黑客可以隨時更新不同的病毒變種以下載并安裝在受感染的計算機上.

病毒將下載20多種木馬病毒程序，包括游戲黑客木馬和ARP病毒. 該病毒還專門訪問系統的“ boot.ini”和“主機”配置文件. 防止DOS級別刪除病毒體，并使用hosts文件來阻止病毒的惡意域名地址. 使用控制臺命令來設置病毒程序文件的訪問權限. 使用“ ping”命令來檢測當前計算機網絡是否在后臺連接，如果已連接，請使用系統“ IE瀏覽器”進程在后臺與黑客服務器進程進行通信，這樣就可以避免一些防火墻監控. 典型的磁盤驅動器損壞性能1.注冊全局HOOK，掃描包含常用安全軟件關鍵字的程序窗口，并發送大量消息，導致安全軟件崩潰2.破壞文件夾選項，以便用戶無法查看隱藏的文件安全模式下的值，以防止引導到安全模式. 4.創建驅動程序以保護自己. 驅動程序可以在開機后自行刪除，并在關機后自動創建延遲的重啟項目. 5.修改注冊表以使組策略中的軟件限制策略不可用. 6.繼續掃描并刪除安全軟件的注冊密鑰值，以防止安全軟件啟動. 7.在每個磁盤上創建autorun.inf和pagefile.pif，并在雙擊磁盤或插入移動設備時使用自動運行功能進行傳播. 8.刪除注冊表中的整個RUN條目及其子項，以防止安全軟件自動加載. 9.釋放多個病毒執行程序以完成更多任務. 10.通過重新啟動和重命名來加載病毒，該注冊表位于注冊表HKEY_LOCAL_MACHINE \ SYSTEM中. \ ControlSet001 \ Control \ BackupRestore \ KeysNotToRestore下的字符串Pending RenameOperations.

11. 感染除system32目錄之外的其他EXE文件（病毒感染行為不斷發展，從感染其他分區到感染系統分區），最特別的是，病毒也將在感染EXE之后解壓縮RAR文件，然后打包進入RAR. 12.下載大量木馬以在本地運行. 用戶的最終損壞情況取決于這些木馬的行為. 病毒傳播方式1. U盤/移動硬盤/數字存儲卡傳播2.各種木馬下載器相互傳播3.通過惡意網站下載4.通過受感染文件傳播5.通過內部網絡ARP攻擊磁盤分發解決方案機器病毒是非常類似于AV終結器和機器狗. 從技術上講，磁盤驅動器更耐破壞. 據了解，各種防病毒軟件無法攔截磁盤驅動器的最新版本. 中毒后，防病毒軟件的安裝很有可能會失敗. 因此，當前的解決方案是優先使用驅動器終止工具. 單擊下載在某些沒有任何防御措施的計算機上，驅動器殺手工具可能會在運行后立即刪除. 根據調查，這種情況是由多種病毒混合引起的. 在這種極端情況下，我們可以嘗試的防病毒解決方案是: 1.嘗試將系統引導到安全模式或帶命令行的安全模式（極有可能失敗）特定方法: 在重新啟動之前，COPY已從其他普通計算機升級到最新的防病毒軟件只需復制整個安裝目錄即可.

以安全模式運行kav32.exe或從命令行運行kavdx. 如果病毒不是很BT，就有希望. 2.引導后WINPE急救CD防病毒軟件（不容易獲得Winpe，不是每個人都有，您可以在Internet上搜索它. ）WINPE啟動后，運行kav32.exe或kavdx. 3.從磁盤上掛起防病毒軟件（多臺計算機），使用起來更容易，必須注意，從磁盤上掛起防病毒軟件之前，普通計算機必須使用金山清理專家的U盤免疫功能關閉自動操作所有磁盤的功能，請避免使用雙擊訪問權限

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/jisuanjixue/article-249805-1.html