企业遭遇系统杀手病毒，如何迅速应对.docVIP

企业遭遇系统杀手病毒，如何迅速应对 　　一、病毒检测过程 　　 　　近日，江民科技反病毒中心接到一企业用户反映，其局域网中有多台电脑无法启动，表现为开机黑屏、硬盘长时间自检扫描、硬盘部分分区无法访问，数据丢失等现象。 　　因为近日江民科技反病毒中心曾经接收到用户反映过这样类似的现象，当电脑接入带有病毒的U盘并且双击打开之后，就会激活U盘中的病毒文件，该病毒体会破坏系统文件和删除硬盘的引导区信息，使系统无法引导，并且导致数据文件的丢失。而该企业用户反映的现象和我们以前遇到的十分类似，为了防止该企业用户病毒在局域网中的传播，江民科技对有问题的电脑进行检测和诊断。 　　首先该企业没有安装江民杀毒软件,而是安装了某国外品牌的杀病毒软件。 　　一共有6台电脑出现异常情况:有的故障表现为开机黑屏，只有屏幕左上角的闪烁光标，系统无法启动;有的电脑屏幕显示“press any key when ready”，同样不能启动系统;有的电脑显示NTLDR is missing ，这些电脑都出现不同程度的数据丢失的现象。由于硬盘已经无法引导启动，于是采用工具光盘启动电脑，来查看有问题的硬盘，发现硬盘的各个盘符均存在，有的能够正常访问，能访问的发现里面的文件全部丢失，没有显示任何文件，而有的分区则无法访问，显示该“分区未格式化”。接着用数据恢复工具快速扫描了一下能够正常访问但是里面显示空文件的硬盘分区，能够扫描出大量被删除的硬盘文件，接着又扫描了一些显示“分区未格式化”的硬盘分区，也能够扫描到大量被删除的文件，从这些有故障的分区来看，这些硬盘的分区信息存在，说明硬盘的分区表是完好的，但是分区的数据已经丢失。分区不能正常访问，说明引导扇区部分被破坏了。 　　经过仔细检查,发现了病毒体文件，具体分析如下： 　　 　　1.病毒体文件 　　 　　在其中一台机器的E盘中，发现了该病毒会创建一个文件夹system_volume ，而正常的系统文件夹为System Volume Information，用来存放系统还原信息，而病毒所创建的文件夹与系统正常的很相似，以此来伪装自身，具有一定的迷惑性。该system_volume文件夹下有两个文件 desktop.ini 和 lsass.exe，其中desktop.ini 文件为系统配置文件，该文件里面的内容为： 　　[.ShellClassInfo] 　　CLSID={645FF040-5081-101B-9F08- 　　00AA002F954E} 　　此CLSID为回收站的CLSID，这样当用户直接双击该文件夹后，并不能发现里面的病毒文件，而是直接跳转到系统回收站，以此来躲避用户的检测。 　　lsass.exe 文件则是病毒主体，采用江民KV2007杀毒检查,其病毒名称为：Trojan/VB.li，该文件大小为40960字节，采用Visual Basic 6.0 语言编写，MD5值为 977738e520 　　b1915fbf695ee5d27f8af3 。此外，该病毒还会生成autorun.inf 文件，江民杀毒软件KV2007报告的病毒名称为：Trojan/INF.an，文件内容如下： 　　 　　[autorun] 　　open=.\system_volume\system_volume 　　\lsass.exe 　　shell\1=打开(O)shell\1\command=.\system_volume\system_volume\lsass.exe 　　shell\2=资源管理器(X)shell\2\command=.\ system_volume \system_volume \ lsass.exe 　　shellexecute=.\system_volume\system 　　_volume\lsass.exe 　　 　　这样该病毒就可以利用系统的自动播放功能来运行。 　　该病毒运行后，会创建病毒进程名称为 lsass.exe ，指向路径为：C:\Documents and Settings\当前用户名\「开始」菜单\程序\lsass.exe ，而正常的lsass.exe 进程路径则是指向C:\windows\system32 目录的，并且该病毒文件伪装成microsoft 版本标识，具有一定的欺骗性。 　　 　　2.病毒启动项 　　 　　该病毒会通过向“C:\Documents and Settings\当前用户名\「开始」菜单\程序”目录中写入病毒文件的方式来添加系统启动项，这样当系统开机时，就会自动运行。 　　该病毒一般通过网页木马的方式传播，还可以通过U盘、MP3、移动硬盘等方式传播，病毒会破坏系统文件以及硬盘的引导扇区，中毒电脑会