»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
主动防御
» “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫
13
1/2
1
2
>
作者:
标题: “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
“暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫
据说“
暴风一号
”被称为是近几年来
最
最
有创意的病毒~
创建NTFS数据流绑架系统正常程序逃过杀毒软件的启动查杀
修改文件关联txtfile等 当用户双击打开[我的电脑]就会激活执行病毒 IE劫持被病毒作者发挥用来启动自己 根据系统盘序列号产生10位随机码 如:1747294397.vbs 隐藏系统所有真实文件夹并创建相应的恶意lnk文件,指向病毒副本(1KB快捷方式)
%SystemRoot%\System32\svchost.exe (wscript.exe)
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" EMC
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
恶搞用户弹出光驱
病毒“自助型” 杀毒软件难以匹配特征 无法查杀...
用户手动删除很麻烦会导致病毒重复感染 唉头疼...
[
Last edited by 点饭的百度空间 on 2009-11-4 at 22:21
]
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-11-3 11:03
314683466
注册用户
积分 182
发帖 182
注册 2009-7-4
#2
赶紧准备一下啊
※ ※ ※ 本文纯属【314683466】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://www.yeamai.com]易买网 [/url]
2009-11-3 11:05
jaber
版主
使用与技巧区版主
积分 2861
发帖 2835
注册 2006-6-6
#3
这个东西修改的地方很多,而且采用NTFS数据流,如果磁盘格式是NTFS格式的,仅仅是删除文件和修复注册表那还是不行的,还必须得把那个数据流病毒给清理掉才可以的!
※ ※ ※ 本文纯属【jaber】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
XP2(原版未打补丁)
单独微点预升级
2009-11-3 13:59
cncsf
注册用户
积分 194
发帖 194
注册 2007-8-2
#4
最近我一朋友的爱机好像就是中了这类型的病毒唉。(前段时间他的微点测试版过期了)
现在怎么也查不出来到底为什么桌面、程序菜单栏及快捷启动栏中的*.lnk文件都不能修改和删除,就是用文件粉碎机去删也会变成KKKKKKKK文件,若再删就连文件粉碎机自己也被荡掉唉。
最新版江民、最新版微点扫描杀毒、最新版微点主动防御都干过了,唉就是找不出什么毛来。
※ ※ ※ 本文纯属【cncsf】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-4 17:11
李莫愁
高级用户
积分 646
发帖 644
注册 2009-3-23
#5
楼主,帖子正文里面正数第四行最后有俩错别字,嘿嘿
※ ※ ※ 本文纯属【李莫愁】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
别问我的马甲是谁,别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。
2009-11-4 17:48
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#6
我打错了谢谢提醒!已修改
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-11-4 22:22
scien
中级用户
积分 296
发帖 296
注册 2009-10-13
#7
我想知道微点能不能将病毒源清除,至于恢复,只能另想办法了
[
Last edited by scien on 2009-11-5 at 13:39
]
※ ※ ※ 本文纯属【scien】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-5 13:27
坐照
银牌会员
正式版用户
积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#8
微点能防就可以 了
※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-5 14:33
cncsf
注册用户
积分 194
发帖 194
注册 2007-8-2
#9
Quote:
Originally posted by
scien
at 2009-11-5 13:27:
我想知道微点能不能将病毒源清除,至于恢复,只能另想办法了
我也想知道该如何做才能修复‘NTFS数据流’,超版能不能来作个讲解呢。
[
Last edited by cncsf on 2009-11-10 at 15:12
]
※ ※ ※ 本文纯属【cncsf】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-11-10 15:11
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#10
“暴风一号”成最新非主流病毒 感染量激增至10万
2010-01-05 09:33:30 “瑞星云安全系统”
据瑞星“云安全”系统数据统计表明,暴风一号病毒早在去年10月份发现,第一个病毒变种是 Worm.Script.VBS.Autorun.bc ,但一直以来没有大规模爆发,两个月的时间共计 4 万多例用户中毒。进入2010 年后,感染量快速增长,3 天的时间感染 5 万用户,使其成为现阶段增长最快的破坏性病毒。
原文:
http://www.rising.com.cn/about/news/rising/2010-01-05/6129.html
[代价惨重] 瑞星提示用户:中毒后 清除病毒方法
:
首先利用工具,结束掉所有 wscript.exe 以及路径在 C:\windows\system\svchost.exe 的进程。
运行“regedit”,打开注册表编辑器,找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ,查看其内容所指向的路径。在命令行下,运行 del 命令删除脚本文件。
使用 NTFS 文件流相关工具,删除附加在 explorer.exe 和 smss.exe 中的文件流。
使用文件关联修复程序,修复被病毒修改过的文件关联。
删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。
鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂,建议使用瑞星杀毒软件自动查杀。
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-1-6 13:07
13
1/2
1
2
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号