該病毒采用IFEO重定向劫持技術,使得大量殺毒軟件和安全相關工具無法運行;會破壞安全模式,使中毒用戶無法在安全模式下查殺病毒;會下載大量的病毒到用戶的電腦上盜取用戶的有價值的信息和壹些賬號;可以通過可移動存儲介質傳播。中毒現象:
1.生成許多由8位數字或字母隨機命名的病毒程序文件,並在計算機開機時自動運行它們。
2.綁架安全軟件,中毒後妳會發現幾乎所有的殺毒軟件、系統管理工具和反間諜軟件都無法正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,也會出現錯誤。
3.隱藏文件無法正常顯示,其目的是隱藏自己不被發現。
4.禁用windows自動更新和Windows防火墻,以便當特洛伊下載器工作時,不會彈出提示窗口。為病毒的下壹次破壞打開大門。
5.破壞系統安全模式,使用戶無法將系統啟動到安全模式進行維護和維修。
6.當當前活動窗口中存在與防病毒、安全和社區相關的關鍵字時,病毒將關閉這些窗口。如果您想通過瀏覽器搜索有關病毒的關鍵詞,瀏覽器窗口將自動關閉。
7.在本地硬盤、u盤或移動硬盤上生成autorun.inf及相應的病毒程序文件,並通過自動播放功能進行傳播。這裏需要註意的是,許多用戶格式化系統分區,重新安裝,訪問其他磁盤,然後立即再次中毒,用戶會覺得病毒格式化不起作用。
8.病毒程序的最終目標是下載更多的特洛伊木馬和後門程序。用戶的最終流失取決於這些木馬和後門程序。
《熊貓燒香》(蟲。尼瑪亞)
該病毒使用“熊貓燒香”的頭像作為圖標,誘導用戶跑步。該變種會感染用戶電腦上的EXE可執行文件,被病毒感染的文件圖標會變成“熊貓燒香”。同時,被感染的電腦還會出現藍屏、頻繁重啟以及系統硬盤中的數據文件被破壞等情況。該病毒會將病毒代碼添加到中毒計算機中所有web文件的尾部。如果壹些網站編輯的計算機感染了這種病毒,將網頁上傳到網站將導致用戶在瀏覽這些網站時被感染。目前,許多著名網站都受到了這種攻擊,並相繼被植入病毒。
灰鴿子(特洛伊。惠格子)
灰鴿是中國著名的後門病毒。2007年2月21日,灰鴿2007beta2的beta 2版本發布。該版本可以在遠程計算機上執行以下操作:編輯註冊表;上傳和下載文件;查看系統信息、流程和服務;查看操作窗口、記錄鍵盤、修改* * *享受、啟動代理服務器、命令行操作、監控遠程屏幕、控制遠程音頻和視頻設備、關機和重啟機器等。
蟲蟲小豪。壹個"
被感染後,文件圖標變為“浩”,類似於“熊貓燒香”。該蠕蟲與之前的蠕蟲“熊貓燒香”具有相似的特征,並且可以感染可執行文件(後綴。exe)。與之不同的是,被感染的可執行文件將無法正常運行和恢復。蠕蟲運行後,會在被感染計算機系統中的每個磁盤的根目錄中釋放兩個病毒文件,使這些文件被感染成為新的病毒文件,同時被感染文件的圖標會變成“Hao”的圖案。此外,該蠕蟲還會利用Windows系統的自動播放功能並結合u盤來傳播病毒。壹旦電腦雙擊感染了蠕蟲病毒的u盤,系統就會被感染。
蟲子。北歐海盜
該病毒是文件病毒、蠕蟲病毒和病毒下載器的結合體,傳播能力非常強。用Delphi語言編寫,經過shell處理後,病毒文件發布在Windows目錄中。修改註冊表實現自啟動。在每個受感染的文件目錄中生成壹個_desktop.ini文件,文件中會標記病毒攻擊的日期。感染用戶計算機上的可執行文件,通過密碼字典破解弱密碼,並利用網絡感染局域網中的其他計算機,這些都是非常具有破壞性的。當用戶的電腦被“衛津”變種atk感染後,大部分應用程序將無法正常使用。
劇本。RedLof感染此病毒後有兩個明顯的表現:a .每個目錄下都會生成folder.htt(病毒文件)和desktop.ini(目錄配置文件);b .計算機的運行速度明顯變慢,在任務列表中可以看到大量的Wscript.exe程序。用vbs編寫的多變種加密病毒會感染擴展名為。html,。htm。asp。php、。jsp、。htt和。與此同時,該病毒生成大量的folder.htt和desktop.ini .並生成壹個名為Kernel.dll(Windows 9x/Me)或kernel32.dll(Windows NT/2000)的文件。dll文件,並感染Outlook的信紙文件。
阿尼蠕蟲(特洛伊-下載器。Win32.Ani)
ANI病毒是Win32平臺下的壹種傳染性蠕蟲,可以感染所有。本地磁盤、可移動磁盤和* *共享目錄中大小在10k-10m之間的exe文件會感染擴展名為。ASP。JSP、PHP、HTM、ASPX和HTML,並可以連接到網絡下載其他病毒。
MSN騙子(Worm.msn.funny)
病毒會通過QQ和MSN發送大量垃圾郵件和“Funny.exe”病毒文件,同時將系統文件替換為病毒文件,這將導致壹些用戶在重啟機器後無法正常打開電腦,給用戶帶來極大的困擾。
QQ尾巴(蠕蟲。QQTailEKS)
該病毒可以通過QQ發送消息自動傳播,運行後會自動更新,並不斷彈出壹些垃圾網頁。
愛情的後門(蟲子。洛夫蓋特)
壹種結合了蠕蟲和黑客的病毒。當病毒運行時,將自身復制到windows目錄下,文件名為WinRpcsrv.exe,並將其註冊為系統服務。然後將自己復制到系統目錄中,文件名為syshelp.exe和WinGate.exe,並在註冊表運行鍵中添加自己的鍵值。該病毒使用ntdll提供的api來查找LSASS進程並將其植入遠程後門代碼。(這段代碼將響應用戶的tcp請求來構建遠程shell進程。Win9x是command.com、NT、Win2k,WinXP是cmd.exe),然後病毒會將自身復制到windows目錄中,並嘗試將run=rpcsrv.exe添加到win.ini中並進入通信過程。
Magis(蠕蟲。Magistr)
該病毒是壹種由C語言編寫的傳染性病毒,它會感染後綴為EXE的32位PE可執行程序。病毒源的大小為40KB。病毒源文件是boot.exe,由用戶從USB閃存驅動器中提取。當病毒感染文件時,原始文件的最後壹段將被放大,病毒代碼將被寫入被感染文件的代碼段,入口點將被修改為指向病毒代碼並保存原始入口點地址,然後被覆蓋的原始文件、病毒dll和sys文件的代碼將被壓縮並保存在文件最後壹段的放大位置。當被感染的文件運行時,首先運行病毒代碼,釋放C:\WINNT\linkinfo.dll和% systemroot % \ system32 \ drivers \ isdrv 118 . sys並加載,然後調用序列號為101的linkinfo.dll的函數。病毒代碼最終將恢復原始文件的被覆蓋代碼,並跳回原始文件的入口開始運行原始文件。