极虎病毒.pptVIP

计算机病毒解析——极虎病毒 主要内容： 一、极虎病毒的起源 二、极虎病毒的传播途径与作用 三、受到攻击后的表现 四、查杀方法 一、极虎病毒的起源 2010年2月8日，金山云安全监测中心发布紧急病毒预警，称极虎木马下载器已经全面爆发 名称由来： 据了解，这是嚣张的黑客虎年给网民的定制一份病毒“巨无霸”套餐，一个病毒具备了四个病毒----“磁碟机”+“超级AV终结者”+“中华吸血鬼”+“猫癣下载器”的危害，由于该病毒可利用IE极光ODAY漏洞进行传播，又是虎年的第一个重大恶性病毒，因此得名“极虎”。 二、极虎病毒的传播途径与作用 传播途径 （1）网页挂马传播，会利用极光0day等系统漏洞传播 （2）局域网共享传播，通过弱口令在局域网内渗透 （3）通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播 （4）软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载 　 　　　 ２、极虎的作用 （1）综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭 （2）开机提示系统文件丢失 （3）系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪 （4）进程中莫名出现rar.exe 和 ping.exe 无法结束，或结束后又会再起来。 （5）大量exe文件被感染，反复报毒 （6）桌面IE图标被修改，IE主页异常 （7）部分变种会在程序文件夹下创建usp10.dll和lpk.dll，手动无法删除　 三、受攻击后的表现形式 　ａ．用户机器出现“很卡”的现象 　　　因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件，感染压缩包中的其它程序文件后，再打包。如果清除病毒不彻底的话，用户可能会在重新打开压缩文件时再次中毒。 　　　 同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程。  ｂ．正常的系统文件appmgmts.dll被病毒替换 　　（正常的appmgmts.dll有版本信息等而病毒释放的则没有。） ｃ．系统中一些EXE文件无故变大 　　例如：看图软件ACDSee被感染前后，文件大小虽改变，但是文件修改时间没变，大部分用户无法发现病毒的潜伏体，一旦点击，后果不堪设想如果文件被感染则会出现以下一系列情况： 　文件被感染后,多出了一个“.tc节” 该病毒还会感染html、htm、asp等网页文件: 感染后会在网页文件的末尾插入一段恶意的挂马网址  　　　　病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去　　网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并激活该病毒的新变种 　　19:8080/down/XXX.exe 　　该病毒的变种会伪装成快播播放器的图标,迷惑用户点击 无缘无故弹出网页文件，打开连接为:7777/tj/mac.html 　　利用$ipc查看局域网内的所有共享，并试图感染局域网的其他机器。（蠕虫病毒特征） 　　系统被加载由病毒体释放的驱动文件，如果安装的杀软和该驱动有冲突，很容易造成用户机器蓝屏。 　　　操作系统会弹出提示，关键系统文件被替换。 四、查杀方法 １、杀毒软件 　　金山毒霸、３６０安全卫士、卡巴斯基等。 ２、手动杀毒 　　windows xp 环境下重装系统，ctrl+F搜索打开 在文件中搜索 nba1001 然后把含有nba1001的文件用记事本打开然后删除nba1001，保存。然后把其他盘所有exe文件全部删除。 小组成员：白小清０８０５１１１１６ 　　　　　李贝　０８０５１１１２０ 　　　　　刘锦娥０８０５１１１２１ 　　　　　赵洋洋０８０５１０１２８ * 2010年2月7日“极虎病毒”爆发，引起网民注意 一、极虎病毒的起源 ； （5）感染网页格式的文件进行二次传播，如果不幸某网编中招，就可能造成网站的来访者中毒。 （6）感染可执行exe文件（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式化，这样重装后，肯定会再次中毒） （7）感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，进程中发现多个rar.exe在运行，并且无法结束，或结束后重新生成) （8）部分变种在系统文件夹创建usp10.dll和lpk.dll（猫癣病毒的传播手法一致） 总之，该病毒是传播方式最多，最难清除，下载其他病毒最多，对用户系统影响最大的一种病毒。 *