安全隐患之还原卡遭遇恶意程序劫持
- 来源:新浪科技 作者:海量 时间:2008-05-28 20:45:53
-
作者:中关村在线 张齐 很多人在遭遇病毒或者恶意软件后,都会采取杀毒的举措,而当遇到感染全盘PE的病毒时,会选择系统还原,包括系统盘的还原以及所有分区的整盘保护恢复。遗憾的是,现在已经有技术可以突破这种保护方式了。
该病毒运行后,会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。同时,几乎所有具备主动防御功能的安全软件都会失效并瘫痪。
解除电脑的武装后,病毒便释放出自己的文件。这个版本的机器狗释放出的文件共两个,分别是“C:Documents and SettingsAll Users「开始」菜单程序启动”目录下的explorer.exe,以及C:盘根目录下的uninsep.bat。很明显,病毒是想将这两个文件释放到系统盘中,但由于它只能根据盘符来判断系统盘,因此,如果用户的系统盘盘符不是C盘,那就可以逃过一劫。
最后,该病毒利用系统漏洞和多款应用软件漏洞,从多个网站疯狂下载数百个病毒文件。这些病毒伪装成文本文档、图片文件等,欺骗用户点击。一旦运行起来,就会引发无法估计的破坏行为。
此外,为实现最大限度的传染,该毒还会对局域网中的其它电脑发送ARP干扰,传染这些电脑。因此,它对局域网杀伤性极大,网吧、企业等局域网用户尤其需要小心。
这个下载器的下载列表非常庞大,包含有数百个各种格式的病毒,如果成功地在用户系统中运行起来,将引发巨大的破坏。
该下载器进入系统后,立刻释放出自己的病毒文件。它的文件是一个没有名称的.htm格式文件,会被写入系统注册表以实现开机自启动。这个文件除了会下载大量其它病毒外,它还会修改IE主页内容,令用户使用IE浏览器时,被引导到该页面,为该网页刷流量。
-
0
- [收藏] [推荐] [评论] [打印] [关闭] 点击: