磁碟机病毒的特征

发布网友 发布时间:2022-04-26 19:50

我来回答

1个回答

热心网友 时间:2023-10-25 17:36

磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。 1)在网站上挂马,在用户访问一些不安全的网站时,就会被植入病毒。这也是早期磁碟机最主要的传播方式
2)通过U盘等移动存储的Autorun传播,染毒的机器会在每个分区(包括可移动存储设备)根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。
3)局域网内的ARP传播方式,磁碟机病毒会下载其他的ARP病毒,并利用ARP病毒传播的隐蔽性,在局域网内传播。值得注意的是:病毒之间相互利用,狼狈为奸已经成为现在流行病的一个主要趋势,利用其它病毒的特点弥补自身的不足。 1)传播的隐蔽性:从上面的描述可以看出,病毒在传播过程中,所利用的技术手段都是用户,甚至是杀毒软件无法截获的。
2)启动的隐蔽性:病毒不会主动添加启动项(这是为了逃避系统诊断工具的检测,也是其针对性的体现),而是通过重启重命名方式把C:下的XXXX.log文件(XXXX是一些不固定的数字),改名到“启动”文件夹。重启重命名优先于自启动,启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的,使得当前大多数杀毒软件无法有效避免病毒随机启动。 1)关闭安全软件,病毒设置全局钩子,根据关键字关闭杀毒软件和诊断工具
另外,病毒还能枚举当前进程名,根据关键字Rav、avp、kv、kissvc、scan…来结束进程。
2)破坏文件的显示方式,病毒修改注册表,使得文件夹选项的隐藏属性被修改,使得隐藏文件无法显示,逃避被用户手动删除的可能
3)破坏安全模式,病毒会删除注册表中和安全模式相关的值,使得安全模式被破坏,无法进入;为了避免安全模式被其他工具修复,病毒还会反复改写注册表。
4)破坏杀毒软件的自保护,病毒会在C盘释放一个NetApi00.sys的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹。
5)破坏安全策略,病毒删除注册表HKLMSoftWaePliciesMicrosoftWindowsSafer键和子键。并会反复改写。
6)自动运行,病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif,是以独占式打开的,无法直接删除。
7)阻止其他安全软件随机启动,病毒删除注册表整个RUN项和子键。
8)阻止使用映像劫持方法禁止病毒运行,病毒删除注册表整个Image File Execution Options项和子键。
9)病毒自保护,病毒释放以下文件:
%Systemroot%system32Comsmss.exe
%Systemroot%system32Comnetcfg.000
%Systemroot%system32Comnetcfg.dll
%Systemroot%system32Comlsass.exe
随后smss.exe和lsass.exe会运行起来,由于和系统进程名相同(路径不同),任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后,会立即再次启动;如果启动被阻止,病毒就会立即重启系统。
10)对抗分析检测,病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后,再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com