论文部分内容阅读
一、病毒检测过程
近日,江民科技反病毒中心接到一企业用户反映,其局域网中有多台电脑无法启动,表现为开机黑屏、硬盘长时间自检扫描、硬盘部分分区无法访问,数据丢失等现象。
因为近日江民科技反病毒中心曾经接收到用户反映过这样类似的现象,当电脑接入带有病毒的U盘并且双击打开之后,就会激活U盘中的病毒文件,该病毒体会破坏系统文件和删除硬盘的引导区信息,使系统无法引导,并且导致数据文件的丢失。而该企业用户反映的现象和我们以前遇到的十分类似,为了防止该企业用户病毒在局域网中的传播,江民科技对有问题的电脑进行检测和诊断。
首先该企业没有安装江民杀毒软件,而是安装了某国外品牌的杀病毒软件。
一共有6台电脑出现异常情况:有的故障表现为开机黑屏,只有屏幕左上角的闪烁光标,系统无法启动;有的电脑屏幕显示“press any key when ready”,同样不能启动系统;有的电脑显示NTLDR is missing ,这些电脑都出现不同程度的数据丢失的现象。由于硬盘已经无法引导启动,于是采用工具光盘启动电脑,来查看有问题的硬盘,发现硬盘的各个盘符均存在,有的能够正常访问,能访问的发现里面的文件全部丢失,没有显示任何文件,而有的分区则无法访问,显示该“分区未格式化”。接着用数据恢复工具快速扫描了一下能够正常访问但是里面显示空文件的硬盘分区,能够扫描出大量被删除的硬盘文件,接着又扫描了一些显示“分区未格式化”的硬盘分区,也能够扫描到大量被删除的文件,从这些有故障的分区来看,这些硬盘的分区信息存在,说明硬盘的分区表是完好的,但是分区的数据已经丢失。分区不能正常访问,说明引导扇区部分被破坏了。
经过仔细检查,发现了病毒体文件,具体分析如下:
1.病毒体文件
在其中一台机器的E盘中,发现了该病毒会创建一个文件夹system_volume ,而正常的系统文件夹为System Volume Information,用来存放系统还原信息,而病毒所创建的文件夹与系统正常的很相似,以此来伪装自身,具有一定的迷惑性。该system_volume文件夹下有两个文件 desktop.ini 和 lsass.exe,其中desktop.ini 文件为系统配置文件,该文件里面的内容为:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-
00AA002F954E}
此CLSID为回收站的CLSID,这样当用户直接双击该文件夹后,并不能发现里面的病毒文件,而是直接跳转到系统回收站,以此来躲避用户的检测。
lsass.exe 文件则是病毒主体,采用江民KV2007杀毒检查,其病毒名称为:Trojan/VB.li,该文件大小为40960字节,采用Visual Basic 6.0 语言编写,MD5值为 977738e520
b1915fbf695ee5d27f8af3 。此外,该病毒还会生成autorun.inf 文件,江民杀毒软件KV2007报告的病毒名称为:Trojan/INF.an,文件内容如下:
[autorun]
open=.system_volumesystem_volume
lsass.exe
shell1=打开(&O)shell1command=.system_volumesystem_volumelsass.exe
shell2=资源管理器(&X)shell2command=. system_volume system_volume lsass.exe
shellexecute=.system_volumesystem
_volumelsass.exe
这样该病毒就可以利用系统的自动播放功能来运行。
该病毒运行后,会创建病毒进程名称为 lsass.exe ,指向路径为:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe ,而正常的lsass.exe 进程路径则是指向C:windowssystem32 目录的,并且该病毒文件伪装成microsoft 版本标识,具有一定的欺骗性。
2.病毒启动项
该病毒会通过向“C:Documents and Settings当前用户名「开始」菜单程序”目录中写入病毒文件的方式来添加系统启动项,这样当系统开机时,就会自动运行。
该病毒一般通过网页木马的方式传播,还可以通过U盘、MP3、移动硬盘等方式传播,病毒会破坏系统文件以及硬盘的引导扇区,中毒电脑会出现蓝屏、死机、数据丢失、系统无法载入等症状。
二、病毒查杀解决方案
对于已经被病毒破坏的硬盘,建议将受损硬盘以从盘的方式挂接到其他电脑上,用专用数据恢复工具恢复出数据;或者直接联系江民科技技术服务部门。
对于还没有中毒的电脑,要做好预防措施。
1.升级电脑所安装的杀毒软件,建议安装江民杀毒软件,并且升级病毒库到最新版本。并且开启江民杀毒软件的文件监控、网页监控、邮件监控、注册表监控等所有监控功能,预防病毒从邮件或者网页木马和U盘等方式进入到系统中。
2.采用具有U盘病毒免疫功能的杀毒软件,如KV2007杀毒软件可以完全彻底清除该病毒,同时建议开启江民杀毒软件KV2007的实时监控功能,防止病毒进入系统造成破坏。另外,江民杀毒软件KV2005/KV2006的用户请及时升级到最新的KV2007,具体的平滑升级工作正在进行中,详细情况请查询:http://bbs.jiangmin.com。
3.关闭操作系统的自动播放功能,关闭方法如下:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。注意,组策略编辑器在Windows2000专业版系统和Windows XP 专业版系统以上有效,Windows XP家庭版没有该功能,此时可以通过修改注册表的方法来实现禁用自动播放功能。
该病毒手动杀毒参考方法:
首先要显示出“受保护的系统文件”、“显示所有文件”、“显示文件扩展名”,然后操作以下步骤:
1.结束病毒进程:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe ,并且删除该文件。
2.删除开机启动项:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe。
3.删除病毒文件体:删除所有分区目录下面的system_volume 文件夹和autorun.inf 文件。
近日,江民科技反病毒中心接到一企业用户反映,其局域网中有多台电脑无法启动,表现为开机黑屏、硬盘长时间自检扫描、硬盘部分分区无法访问,数据丢失等现象。
因为近日江民科技反病毒中心曾经接收到用户反映过这样类似的现象,当电脑接入带有病毒的U盘并且双击打开之后,就会激活U盘中的病毒文件,该病毒体会破坏系统文件和删除硬盘的引导区信息,使系统无法引导,并且导致数据文件的丢失。而该企业用户反映的现象和我们以前遇到的十分类似,为了防止该企业用户病毒在局域网中的传播,江民科技对有问题的电脑进行检测和诊断。
首先该企业没有安装江民杀毒软件,而是安装了某国外品牌的杀病毒软件。
一共有6台电脑出现异常情况:有的故障表现为开机黑屏,只有屏幕左上角的闪烁光标,系统无法启动;有的电脑屏幕显示“press any key when ready”,同样不能启动系统;有的电脑显示NTLDR is missing ,这些电脑都出现不同程度的数据丢失的现象。由于硬盘已经无法引导启动,于是采用工具光盘启动电脑,来查看有问题的硬盘,发现硬盘的各个盘符均存在,有的能够正常访问,能访问的发现里面的文件全部丢失,没有显示任何文件,而有的分区则无法访问,显示该“分区未格式化”。接着用数据恢复工具快速扫描了一下能够正常访问但是里面显示空文件的硬盘分区,能够扫描出大量被删除的硬盘文件,接着又扫描了一些显示“分区未格式化”的硬盘分区,也能够扫描到大量被删除的文件,从这些有故障的分区来看,这些硬盘的分区信息存在,说明硬盘的分区表是完好的,但是分区的数据已经丢失。分区不能正常访问,说明引导扇区部分被破坏了。
经过仔细检查,发现了病毒体文件,具体分析如下:
1.病毒体文件
在其中一台机器的E盘中,发现了该病毒会创建一个文件夹system_volume ,而正常的系统文件夹为System Volume Information,用来存放系统还原信息,而病毒所创建的文件夹与系统正常的很相似,以此来伪装自身,具有一定的迷惑性。该system_volume文件夹下有两个文件 desktop.ini 和 lsass.exe,其中desktop.ini 文件为系统配置文件,该文件里面的内容为:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-
00AA002F954E}
此CLSID为回收站的CLSID,这样当用户直接双击该文件夹后,并不能发现里面的病毒文件,而是直接跳转到系统回收站,以此来躲避用户的检测。
lsass.exe 文件则是病毒主体,采用江民KV2007杀毒检查,其病毒名称为:Trojan/VB.li,该文件大小为40960字节,采用Visual Basic 6.0 语言编写,MD5值为 977738e520
b1915fbf695ee5d27f8af3 。此外,该病毒还会生成autorun.inf 文件,江民杀毒软件KV2007报告的病毒名称为:Trojan/INF.an,文件内容如下:
[autorun]
open=.system_volumesystem_volume
lsass.exe
shell1=打开(&O)shell1command=.system_volumesystem_volumelsass.exe
shell2=资源管理器(&X)shell2command=. system_volume system_volume lsass.exe
shellexecute=.system_volumesystem
_volumelsass.exe
这样该病毒就可以利用系统的自动播放功能来运行。
该病毒运行后,会创建病毒进程名称为 lsass.exe ,指向路径为:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe ,而正常的lsass.exe 进程路径则是指向C:windowssystem32 目录的,并且该病毒文件伪装成microsoft 版本标识,具有一定的欺骗性。
2.病毒启动项
该病毒会通过向“C:Documents and Settings当前用户名「开始」菜单程序”目录中写入病毒文件的方式来添加系统启动项,这样当系统开机时,就会自动运行。
该病毒一般通过网页木马的方式传播,还可以通过U盘、MP3、移动硬盘等方式传播,病毒会破坏系统文件以及硬盘的引导扇区,中毒电脑会出现蓝屏、死机、数据丢失、系统无法载入等症状。
二、病毒查杀解决方案
对于已经被病毒破坏的硬盘,建议将受损硬盘以从盘的方式挂接到其他电脑上,用专用数据恢复工具恢复出数据;或者直接联系江民科技技术服务部门。
对于还没有中毒的电脑,要做好预防措施。
1.升级电脑所安装的杀毒软件,建议安装江民杀毒软件,并且升级病毒库到最新版本。并且开启江民杀毒软件的文件监控、网页监控、邮件监控、注册表监控等所有监控功能,预防病毒从邮件或者网页木马和U盘等方式进入到系统中。
2.采用具有U盘病毒免疫功能的杀毒软件,如KV2007杀毒软件可以完全彻底清除该病毒,同时建议开启江民杀毒软件KV2007的实时监控功能,防止病毒进入系统造成破坏。另外,江民杀毒软件KV2005/KV2006的用户请及时升级到最新的KV2007,具体的平滑升级工作正在进行中,详细情况请查询:http://bbs.jiangmin.com。
3.关闭操作系统的自动播放功能,关闭方法如下:在“开始”菜单的“运行”框中运行“gpedit.msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。注意,组策略编辑器在Windows2000专业版系统和Windows XP 专业版系统以上有效,Windows XP家庭版没有该功能,此时可以通过修改注册表的方法来实现禁用自动播放功能。
该病毒手动杀毒参考方法:
首先要显示出“受保护的系统文件”、“显示所有文件”、“显示文件扩展名”,然后操作以下步骤:
1.结束病毒进程:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe ,并且删除该文件。
2.删除开机启动项:C:Documents and Settings当前用户名「开始」菜单程序lsass.exe。
3.删除病毒文件体:删除所有分区目录下面的system_volume 文件夹和autorun.inf 文件。