维修第六课(编辑修改稿)

维修第六课(编辑修改稿)内容摘要：

和 dll。 再到 %windir%\help\目录下，删除同名的 .hlp或者同名的 .chm文件，该文件为系统帮助文件图标。 • 3. 然后到各个硬盘根目录下面删除 文件和可疑的 8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用 Windows资源管理器左边的树状目录来浏览。 有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 • IceSword的注册表管理功能，展开注册表项到： • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的 IFEO劫持项。 • 当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。 （手动清除办法由江民反病毒专家提供 • 专杀工具 • 金山 AV终结者专杀工具 • /othertools/ 磁碟机 • 碟机病毒又名 dummy病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。 据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户。 “磁碟机”现已经出现 100余个变种，目前病毒感染和传播范围正在呈现蔓延之势。 病毒造成的危害及损失 10倍于“熊猫烧香”。 这个病毒主要通过 U盘和局域网 ARP攻击传播，如果当你无法访问各个安全软件站点，或者从安全站点的官网上下载的安装程序有问题的话，极有可能是已经中了磁碟机病毒 . • “磁碟机”（又名“千足虫”），病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。 与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。 病毒在每个磁盘下生成 文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。 每隔一段时间会检测自己破坏过的显示文件、安全模式、 Ifeo、病毒文件等项，如被修改则重新破坏。 病毒执行后，会删除病毒主体文件。 • 病毒会监控 、 、 ，如果假设不存在的话则重新生成。 当拷贝失败后，病毒会调用 rd /s /q命令删除原来的文件，再重新写入。 病毒会连接恶意网址下载大量木马病毒。 该病毒运行后会在系统目录中 COM目录（默认为c:\windows\system32\）下生成名为 及。 该病毒会感染除 windows及program files目录下所有的 EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。 由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。 • 一、传播途径 • “熊猫烧香”病毒有多种传播方式。 通过 U盘和感染网页文件挂马传播，通过局域网传播，通过攻破一些大型网站，采用在正常网页上挂马的方式传播。 “磁碟机”病毒利用“ ARP病毒”在局域网中进行自我传播，病毒通过访问一个恶意网址，下载并自动运行二十多个病毒，通过其中的 ARP病毒，“磁碟机”可以瞬间传遍整个网络内电脑。 • “磁碟机”也可以通过 U盘和网页挂马传播，但目前尚没有发现病毒作者通过攻破大型网站的方式挂马传播的案例，这也是目前“磁碟机”在传播范围上尚不及“熊猫烧香”的原因，但如果一旦病毒作者通过这种方式大面积传播，后果将不堪设想。 • 二、反攻杀毒软件能力 • 熊猫烧香”和“磁碟机”病毒都有反攻杀毒软件的能力，但不同的是，“熊猫烧香”只是通过发送关闭消息的方式关闭杀毒软件，而“磁碟机”则通过生成一个内核权限的驱动程序来破坏杀毒软件的监控，使杀毒软件的监控功能失效，然后再关闭杀毒软件并阻止杀毒软件升级，并屏蔽主流的杀毒软件网页。 • 这一点上，“磁碟机”远远超过了“熊猫烧香”病毒，导致一些主动防御功能不强的杀毒软件纷纷被关闭，目前，“磁碟机”能够关闭一些主流杀毒软件，这也是为什么众多企业在遇到“磁碟机”病毒时，整个局域网内几乎无一台电脑幸免病毒之灾的原因。 • 三、自我保护和隐藏能力 • “熊猫烧香”采用的是进程保护，病毒首先生成一个系统服务程序来保护其进程不被关闭，只要清除了病毒生成的系统服务，就可以轻松关闭其进程。 • 而“磁碟机”在自我保护和隐藏技术上几乎无所不用其极，通过十余种技术来达到自我保护的目的。 例如：利用进程守护技术，发现病毒文件被删除或被关闭，会马上生成重新运行。 病毒程序以系统级权限运行， DLL组件会插入到系统中几乎所有的进程中加载运行 (包括系统级权限的进程 )。 利用了关机回写技术，在关闭计算机时把病毒主程序体保存到 [启动 ]文件夹中，实现开机自启动。 系统启动后再将 [启动 ]文件夹中病毒主体删除掉，实现既可隐蔽启动，又不被用户发现的目的。 使用反 HIPS技术绕过部分主动防御程序“ HIPS”的监控。 利用光纤接入的服务器高速升级病毒体，迅速更新避免杀毒软件查杀。 • 四、病毒变种和自我更新速度 • “熊猫烧香”由于技术上较“磁碟机”简单，加上源代码可能外泄，因此病毒变种较多，而”磁碟机”由于病毒程序复杂，加上目前可以确定其源代码尚未泄露到互联网上，因此一周只出现两到三个变种，最多的时候达到了一天出现两个变种的速度，虽然相较于“熊猫烧香”在变种数量上稍逊一筹，但“磁碟机”的在线升级更新速度之快令人咋舌。 • 反病毒专家甚至怀疑，“磁碟机”病毒使用了光纤接入的升级服务器，能够实现在下载量很大的情况下，病毒体也。