百科游戏 手游攻略
本篇文章给大家谈谈千年虫病毒,以及什麽是千年虫病毒对应的知识点,文章可能有点长,但是希望大家可以阅读完,增长自己的知识,最重要的是希望对各位有所帮助,可以解决了您的问题,不要忘了收藏本站喔。
千年虫是不是病毒
晕。大名鼎鼎的磁碟机,也就是你所说的千足虫。其破坏力超强。
在百度百科找到了资料给你看。这个病毒比熊猫烧香恐怖的多。
这是一个MFC写的感染型病毒。
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1.从以下网址下载脚本http://www.****.****/*.htm、.....。
2.生成名为”MCIProgramComApplication”的窗口。
3.程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
4.查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV…
5.启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。
6.遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.感染可执行文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。
smss.exe用来实现进程保护,程序运行后会进行以下操作:
1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。
2.然后创建一个名为MSICTFIMESMSS的窗口,该窗口会对三种消息做出反应:
1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCIProgramComApplication”窗口,如果找不到则运行病毒程序。
3.WM_CAP_START:当收到该消息时,向其发送退出消息。
3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。
dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOKAPI和重写注册表。动态库被加载后会进行以下操作:
1.判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。
2.HOOKpsapi.dll中EnumProcessModules、kernel32.dll中OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
3.遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作:
1.修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden=0
2.删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINESYSTEM\ControlSet001\Control\SafeBoot\Network\
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Network\
3.删除以下注册表项,使得镜像劫持失效
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions
4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许
HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun
5.修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type=radio
6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Windows
AppInit_DLLs=%SYSTEM%\dnsq.dll.
7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。
8.查找带以下关键字的窗口,如果找到则向其发消息将其退出:
SREng介绍、360safe、木、antivir、…
netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序
http://js.k0102.com/data.gif,查找窗口”MCIProgramComApplication”如果该窗口不存在则运行下载的程序。
9.此病毒会化为碎片,迅速的繁殖,堵塞磁盘使进入不了磁盘,使其电脑崩溃,蓝屏,自动关机,开机文件删除。(开机152H)
[编辑本段]综合评价
此病毒变种繁多,并且在不断更新升级,可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件((包括rar中的exe文件))、关闭自动更新破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放autorun、浏览器弹出广告、使用ARP欺骗,坏事做绝,普通用户难以处理。
“磁碟机”病毒近日在互联网引起轩然大波,由于病毒严重侵害了众多企业和个人用户电脑系统,引起了全国电脑用户的一致声讨。越来越多的杀毒厂商加入到了剿杀“磁碟机”的行列,打响了又一场反病毒大战。
去年的“熊猫烧香”病毒大战人们记忆犹新,因为病毒在电脑里面生成了很多举着三柱香的熊猫图案,一度引起全国电脑用户的议论和恐慌。然而,“磁碟机”病毒似乎并没有“熊猫烧香”那么火爆,但是许多反病毒专家都一致认为“磁碟机”危害十倍于“熊猫烧香”,这是为什么呢?
反病毒专家何公道近日对“磁碟机”和“熊猫烧香”病毒进行了对比分析,从中可以看出“磁碟机”病毒为什么会被推为“毒王”了。
一、传播途径
“熊猫烧香”病毒有多种传播方式。通过U盘和感染网页文件挂马传播,通过局域网传播,通过攻破一些大型网站,采用在正常网页上挂马的方式传播。“磁碟机”病毒利用“ARP病毒”在局域网中进行自我传播,病毒通过访问一个恶意网址,下载并自动运行二十多个病毒,通过其中的ARP病毒,“磁碟机”可以瞬间传遍整个网络内电脑。
“磁碟机”也可以通过U盘和网页挂马传播,但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例,这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因,但如果一旦病毒作者通过这种方式大面积传播,后果将不堪设想。
二、反攻杀毒软件能力
“熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力,但不同的是,“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件,而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控,使杀毒软件的监控功能失效,然后再关闭杀毒软件并阻止杀毒软件升级,并屏蔽主流的杀毒软件网页。
这一点上,“磁碟机”远远超过了“熊猫烧香”病毒,导致一些主动防御功能不强的杀毒软件纷纷被关闭,目前,“磁碟机”能够关闭一些主流杀毒软件,这也是为什么众多企业在遇到“磁碟机”病毒时,整个局域网内几乎无一台电脑幸免病毒之灾的原因。
三、自我保护和隐藏能力
“熊猫烧香”采用的是进程保护,病毒首先生成一个系统服务程序来保护其进程不被关闭,只要清除了病毒生成的系统服务,就可以轻松关闭其进程。
而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极,通过十余种技术来达到自我保护的目的。例如:利用进程守护技术,发现病毒文件被删除或被关闭,会马上生成重新运行。病毒程序以系统级权限运行,DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉,实现既可隐蔽启动,又不被用户发现的目的。使用反HIPS技术绕过部分主动防御程序“HIPS”的监控。利用光纤接入的服务器高速升级病毒体,迅速更新避免杀毒软件查杀。
四、病毒变种和自我更新速度
“熊猫烧香”由于技术上较“磁碟机”简单,加上源代码可能外泄,因此病毒变种较多,而”磁碟机”由于病毒程序复杂,加上目前可以确定其源代码尚未泄露到互联网上,因此一周只出现两到三个变种,最多的时候达到了一天出现两个变种的速度,虽然相较于“熊猫烧香”在变种数量上稍逊一筹,但“磁碟机”的在线升级更新速度之快令人咋舌。
反病毒专家甚至怀疑,“磁碟机”病毒使用了光纤接入的升级服务器,能够实现在下载量很大的情况下,病毒体也可以瞬间自动完成更新。
五、病毒的破坏性
在破坏性上,“熊猫烧香”和“磁碟机”都能够感染电脑内的可执行文件和网页文件,导致系统运行缓慢,不同的是,“磁碟机”在感染文件过程中对感染文件进行了加密存放,使得清除病毒难度更大。两者都可以链接到恶意网页下载木马病毒,但在下载的木马病毒数量上,“磁碟机”远超过“熊猫烧香”,“磁碟机”能够下载二十余种木马病毒,“熊猫烧香”只能下载一个或几个木马。
而“磁碟机”借助ARP病毒给企业局域网用户带来了巨大的灾难性事故,由于“磁碟机”可以借助ARP方式瞬间感染所有局域网内电脑,因此许多单位的工作因此中断,造成了不可估量的损失。
六、病毒的表现形式
在表现形式上,“熊猫烧香”的表现十分明显,感染可执行文件生成“熊猫烧香”的图案,十分易于判断。而“磁碟机”的感染则十分低调隐蔽。他千方百计隐藏自身的行踪,普通用户从表面看很难发现有中毒的痕迹,很多用户中毒后尚不自知,除了感觉系统似乎变慢外无其它明显异常症状。
而“磁碟机”病毒也正是在这种刻意低调的伪装下,伺机窃取用户的隐私敏感信息,包括游戏帐号和网上银行、网上证券交易等帐号密码,这比“熊猫烧香”明目张胆的打劫更可怕。
什麽是千年虫病毒
千年虫现在被用来泛指2000年以后出生的孩子,他们区别于80后90后形成了独特的群体。
计算机2000年问题,又叫做"2000年病毒"、"千年虫"、"电脑千禧年问题"或"千年病毒".缩写为"Y2K".是指在某些使用了计算机程序的智能系统(包括计算机系统、自动控制芯片等)中,由于其中的年份只使用两位十进制数来表示,因此当系统进行(或涉及到)跨世纪的日期处理运算时(如多个日期之间的计算或比较等),就会出现错误的结果,进而引发各种各样的系统功能紊乱甚至崩溃。另外,更广泛地讲,“千年虫”还包括以下两个方面的问题:一个是在一些计算机系统中,对于闰年的计算和识别出现问题,不能把2000年识别为闰年,即在该计算机系统的日历中没有2000年2月29日这一天,而是直接由2000年2月28日过渡到了2000年3月1日;另一个是在一些比较老的计算机系统中,在程序中使用了数字串99(或99/99等)来表示文件结束、永久性过期、删除等一些特殊意义的自动操作,这样当1999年9月9日(或1999年4月9日即1999年的第99天)来临时,计算机系统在处理到内容中有日期的文件时,就会遇到99或99/99等数字串,从而将文件误认为已经过期或者将文件删除等错误操作,引发系统混乱甚至崩溃等故障。
“千年虫”问题的根源始于60年代。当时计算机存储器的成本很高,如果用四位数字表示年份,就要多占用存储器空间,就会使成本增加,因此为了节省存储空间,计算机系统的编程人员采用两位数字表示年份。随着计算机技术的迅猛发展,虽然后来存储器的价格降低了,但在计算机系统中使用两位数字来表示年份的做法却由于思维上的惯性势力而被沿袭下来,年复一年,直到新世纪即将来临之际,大家才突然意识到用两位数字表示年份将无法正确辨识公元2000年及其以后的年份。1997年,信息界开始拉起了“千年虫”警钟,并很快引起了全球关注。
手机中了千年虫病毒怎么办
你好;你可以使用腾讯手机管家进行查杀它能够查杀大量的手机病毒,病毒库也会在WIFI环境下自动更新,你可以直接在手机管家的界面中点“防护监控”,然后选择病毒查杀,最后点一下病毒扫描即可,而且防护和杀毒效果还是很不错的,
另外,以成为“手机安全管理软件先锋”为使命,在提供病毒查杀、骚扰拦截、软件权限管理、手机防DAO等安全防护的基础上,主动满足用户流量Jian控、空间清理、体检加速、软件管理等高端化智能化的手机管理需求。谢谢望采纳。
关于千年虫病毒的内容到此结束,希望对大家有所帮助。
- 最近发表