新春伊始,极虎病毒来袭,请大家做好防护工作。
下文将列举极虎病毒的中毒症状、传播方式、造成危害及xx方案等,供大家参考:
一、极虎病毒简介:
极虎病毒是嚣张黑客于虎年给网民定制的一份病毒“巨无霸”套餐,一个病毒具备了四个病毒(“磁碟机”+“超级AV终结者”+“中华吸血鬼”+“猫癣下载器”)的危害,由于该病毒可利用IE极光ODAY漏洞进行传播,又是虎年的{dy}个重大恶性病毒,因此得名“极虎”。
“极虎”病毒中毒症状:
感染该病毒后系统运行速度明显变慢,CPU占用极高。还有部分用户的电脑被侵袭后,甚至会出现IE异常、图标被修改、杀毒软件无法启动、大量.exe文件被感染的情况。
反病毒专家介绍称,“极虎”木马下载器堪称“毒中之毒”,在“极虎”病毒上体现了四最:
1、传播方式最多,网页挂马、U盘、局域网传播、欺诈下载等多达近十种;
2、最难xx。感染系统文件让普通的杀毒软件“不敢”xx,比如该病毒会感染11余种系统文件,而且手动xx也非常复杂;
3、下载其他病毒最多。感染了“极虎”病毒的电脑会自动下载近百种病毒,包含了IE主页篡改类病毒、热门游戏xx器、流氓软件安装器以及其他类型下载器,下载病毒数量之多实属罕见;
4、对用户系统影响{zd0}。用户开机提示系统文件丢失,系统明显变慢,CPU占用极高,进程中莫名出现rar.exe和ping.exe进程,并无法结束,桌面IE图标被修改,IE主页异常等等。
二、极虎病毒传播方式:
(1)通过网页挂马方式,利用极光0day等漏洞广泛传播;
(2)利用局域网共享缺陷,通过弱口令进行内网渗透;
(3)该病毒会通过手机,数码相机,U盘等移动设备传播自身;
(4)通过软件欺骗下载让用户主动点击中毒(比如xx播放器等);
(5)通过感染网页文件(比如小说文件等)进行二次传播;
(6)通过感染可执行文件进行二次传播;
(7)通过感染rar压缩包文件进行二次传播(方式一,感染rar压缩包中的可执行文件;方式二,将usp10.dll病毒文件强加到rar压缩包通过系统文件挟持传播)。
三、自动下载病毒种类:
(1)IE主页篡改类病毒;
(2)热门游戏xx器;
(3)流氓软件安装器(我测试了病毒包,发现安装了两个恶意插件);
(4)其他类型下载器(圆环套圆环,变化多端)。
四、xx难度:
(1)感染系统文件让杀毒软件不敢xx,比如该病毒会感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等11余种系统文件;
(2)感染所有压缩包,手工xx难度大;
(3)感染所有网页文件,手工xx难度大;
(4)感染整个局域网,局域网全网查杀难度大;
(5)感染u盘等移动设备,一不小心反复感染。彻底xx难度大;
(6)对抗杀毒软件,主动防御拦截容易被针对性绕过;
(7)每日更新,杀毒软件一不留神就不能防御;
(8)自保护驱动,攻击驱动技术对抗杀毒软件。
五、中毒以后对系统的影响:
(1)部分杀毒软件无法使用,比如主动防御无法打开,安全工具打开即关闭;
(2)开机提示系统文件丢失;
(3)系统明显变慢,CPU占用极高;
(4)进程中莫名出现rar.exe 和 ping.exe 无法结束;
(5)大量exe文件被感染,反复报毒;
(6)桌面IE图标被修改,IE主页异常。
六、病毒症状:
1)PING.EXE的进程在不停的跳动,无法结束;
2)准备装杀软,发现绝大部分杀软网站都无法访问;
3)装360安全卫士和360杀毒软件,安装后无法启动杀软,双击无反应;
4)装瑞星2010,能安装,重启后无法正常启动,所有监控关闭;
5)装费尔能杀,能检测到注册表异常,修复后一直报病毒,能删除,但是一直在不停的删除;
6)安全模式还没加载完就自动重启;
7)微点、瑞星主动防御启动失败;
8)监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除,从而导致用户的系统文件受损。
9)用户机器出现“很卡”的现象,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。如果xx病毒不彻底的话,用户可能会在重新打开压缩文件时再次中毒;
10)由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程;
11)正常的系统文件appmgmts.dll被病毒替换(正常的appmgmts.dll有版本信息等而病毒释放的则没有);
12)系统中一些EXE文件无故变大,例如:看图软件ACDSee被感染前后,文件大小虽改变,但是文件修改时间没变,大部分用户无法发现病毒的潜伏体,一旦点击,后果不堪设想;
13)文件被感染后,多出了一个“.tc节”;
14)该病毒还会感染html、htm、asp等网页文件;
15)感染后会在网页文件的末尾插入一段恶意的挂马网址;
16)更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去;
17)网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并xx该病毒的新变种;
18)该病毒的变种会伪装成快播播放器的图标,迷惑用户点击;
19)无缘无故弹出网页文件,打开连接为:;
20)利用$ipc查看局域网内的所有共享,并试图感染局域网的其他机器;
21)系统被加载由病毒体释放的驱动文件,如果安装的杀软和该驱动有冲突,很容易造成用户机器蓝屏;
22)病毒释放的驱动文件:wowsub.sys;
23)操作系统会弹出提示,关键系统文件被替换。
七、病毒危害:
该病毒会感染用户机器上的所有可执行文件,并联网下载大量xx、广告类软件,严重危害到系统的安全,同时该病毒非常隐蔽,没有特定的进程,而采用“线程”插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。
八、极虎病毒xx方法(经测试确实可行,只是有些程序已经被破坏,需要重新安装):
1、下载金山急救箱,修复被病毒替换的文件。
2.重启电脑,运行金山毒霸全盘杀毒,毒霸会修复被感染的文件,并保证用户的文件不会被删除。未安装的,可以从下边地址下载。
3.下载金山网盾,防止网页挂马导致的重复性中毒(已经安装金山毒霸组合装的用户不必再安装)。
欢迎加入安全软件爱好者QQ群:35020845