該病毒采用IFEO重定向劫持技術,使得大量殺毒軟件和安全相關工具無法運行;會破壞安全模式,讓中毒用戶無法在安全模式下查殺病毒;會下載大量病毒到用戶電腦上,竊取用戶有價值的信息和部分賬號;可以通過可移動存儲介質傳播。中毒現象:
1.生成許多由8位數字或字母隨機命名的病毒程序文件,開機自動運行。
2.綁架安全軟件,中毒後妳會發現幾乎所有的殺毒軟件、系統管理工具、反間諜軟件都無法正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,也會出現錯誤。
3.隱藏文件不能正常顯示,其目的是隱藏自己不被發現。
4.禁用windows自動更新和Windows防火墻,使特洛伊下載器工作時,不會彈出提示窗口。為病毒的下壹次破壞打開大門。
5.破壞系統安全模式,使用戶無法啟動系統到安全模式進行維護和維修。
6.當當前活動窗口中有與殺毒、安全、社區相關的關鍵詞時,病毒會關閉這些窗口。如果妳想通過瀏覽器搜索關於病毒的關鍵詞,瀏覽器窗口會自動關閉。
7.在本地硬盤、u盤或移動硬盤上生成autorun.inf及相應的病毒程序文件,通過自動播放功能進行傳播。這裏需要註意的是,很多用戶格式化系統分區,重新安裝,訪問其他磁盤,馬上又中毒了,用戶會覺得病毒格式化不起作用。
8.病毒程序的最終目的是下載更多的特洛伊木馬和後門程序。最終用戶的流失就靠這些木馬和後門程序了。
《熊貓燒香》(蟲。尼瑪亞)
該病毒以“熊貓燒香”的頭像為圖標,誘導用戶運行。該變種會感染用戶電腦上的EXE可執行文件,被病毒感染的文件圖標會變成“熊貓燒香”。同時,被感染的電腦還會出現藍屏、頻繁重啟以及系統硬盤中的數據文件被破壞。該病毒會將病毒代碼添加到中毒電腦中所有網頁文件的尾部。如果壹些網站編輯的電腦感染了這種病毒,將網頁上傳到網站會導致用戶在瀏覽這些網站時被感染。目前很多知名網站都遭到了這種攻擊,紛紛被植入病毒。
灰鴿子(特洛伊。惠格子)
灰鴿是國內著名的後門病毒。2007年2月21日,灰鴿2007 beta 2 beta 2版本發布。這個版本可以在遠程計算機上做以下操作:編輯註冊表;上傳和下載文件;查看系統信息、流程和服務;查看操作窗口、錄制鍵盤、修改* * *享受、啟動代理服務器、命令行操作、監控遠程屏幕、控制遠程音視頻設備、關機重啟機器等。
蟲小好。壹個"
被感染後,文件圖標變為“浩”,類似於“熊貓燒香”。該蠕蟲與之前的蠕蟲“熊貓燒香”有相似的特征,可以感染可執行文件(後綴。exe)。與之不同的是,被感染的可執行文件將無法正常運行和恢復。蠕蟲運行後,會在被感染的計算機系統中的每個磁盤的根目錄下釋放兩個病毒文件,使被感染的文件變成新的病毒文件,同時被感染文件的圖標會變成“浩”的圖案。此外,該蠕蟲還會利用Windows系統的自動播放功能,結合u盤進行病毒傳播。電腦壹旦雙擊感染了蠕蟲的u盤,系統就會被感染。
蟲子。北歐海盜
該病毒集文件病毒、蠕蟲病毒和病毒下載器於壹身,傳播能力非常強。用Delphi語言寫的,經過外殼處理後,病毒文件發布在Windows目錄下。修改註冊表實現自啟動。在每個被感染的文件目錄下生成壹個_desktop.ini文件,文件中標註了病毒攻擊的日期。感染用戶電腦上的可執行文件,通過密碼字典破解弱密碼,利用網絡感染局域網內的其他電腦,具有很強的破壞性。當用戶電腦被“衛津”變種atk感染後,大部分應用將無法正常使用。
劇本。RedLof感染此病毒後有兩個明顯的表現:a .每個目錄下都會生成folder.htt(病毒文件)和desktop.ini(目錄配置文件);b .電腦運行速度明顯變慢,在任務列表中可以看到大量的Wscript.exe程序。用vbs編寫的多變種加密病毒會感染擴展名為。html,。htm,。asp,。php,。jsp,。htt和。與此同時,該病毒生成大量的folder.htt和desktop.ini .並在% windir %系統中生成壹個名為Kernel.dll(Windows 9x/Me)或kernel32.dll(Windows NT/2000)的文件,修改其打開方式。dll文件,並感染Outlook的信紙文件。
阿尼蠕蟲(特洛伊-下載器。Win32.Ani)
ANI病毒是Win32平臺下的傳染性蠕蟲,可以感染所有。本地磁盤、可移動磁盤和* *共享目錄中大小在10k-10m之間的exe文件,感染擴展名為。ASP,。JSP、PHP、HTM、ASPX和HTML,並能連接網絡下載其他病毒。
MSN騙子(Worm.msn.funny)
病毒會通過QQ和MSN發送大量的垃圾郵件和“滑稽. exe”病毒文件,同時會用病毒文件替換系統文件,導致部分用戶重啟機器後無法正常開機,給用戶造成很大困擾。
QQ尾巴(蠕蟲。QQTailEKS)
該病毒可以通過QQ發送消息自動傳播,運行後會自動更新,不斷彈出壹些垃圾網頁。
愛情的後門(蟲。Lovgate)
壹種結合了蠕蟲和黑客的病毒。病毒運行時,將自身復制到windows目錄下,文件名為WinRpcsrv.exe,並註冊為系統服務。然後把自己復制到系統目錄下,文件名是syshelp.exe和WinGate.exe,並在註冊表運行鍵中添加自己的鍵值。該病毒利用ntdll提供的api尋找LSASS進程,並將其植入遠程後門代碼。(這段代碼將響應用戶的tcp請求,構建壹個遠程shell進程。Win9x是command.com,NT,Win2k,WinXP是cmd.exe),那麽病毒就把自己復制到windows目錄下,並試圖把run=rpcsrv.exe添加到win.ini中,進入通信進程。
Magis(蠕蟲。Magistr)
該病毒是壹種用C語言編寫的傳染性病毒,它會感染壹個後綴為EXE的32位PE可執行程序。病毒源的大小是40KB。病毒源文件是boot.exe,由用戶從u盤中提取。當病毒感染壹個文件時,會將原文件的最後壹段放大,將病毒代碼寫入被感染文件的代碼段,修改入口點指向病毒代碼並保存原入口點地址,然後將被覆蓋的原文件、病毒dll和sys文件的代碼壓縮保存在文件最後壹段放大的地方。被感染文件運行時首先運行病毒代碼,釋放C:\WINNT\linkinfo.dll和% systemroot % \ system32 \ drivers \ isdrv 118 . sys並加載,然後調用linkinfo.dll的序列號為101的函數。最後,病毒代碼會恢復原文件被覆蓋的代碼,跳回原文件的入口開始運行原文件。