投票
标题:帕虫(Worm.Pabug;AV终结者;U盘寄生虫)详细介绍
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-7-30 17:09 资料 短消息  加为好友 
帕虫(Worm.Pabug;AV终结者;U盘寄生虫)详细介绍

文/收集整理:hins88 出处:IT.com.cn(IT世界网)

  金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文将其称为“AV终结者”)。

  普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:

  1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障;

  2.破坏安全模式,致使用户根本无法进入安全模式清除病毒;

  3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法;

  4.格式化系统盘重装后很容易被再次感染。



  用户格式化后,只要双击其他盘符,病毒将再次运行。

  此外,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”自动连接到拥有病毒的网站,并下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

  瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。”

  此外,据反病毒专家介绍:“该病毒通过映像劫持技术,将大量杀毒软件‘绑架’,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件(包括U盘),从而使得通过U盘传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。”

  其实这些病毒就是我们所称的随机7位字母,8位数字和字母组合的病毒,主要通过U盘等移动存储传播。

  用户感染该病毒后,打开任务管理器可以看到两个类似不规则的7位字母的进程,如果没有发现两个不规则的7位字母的进程你就可能中了那个8位随机字母数字组合的病毒。


  专杀工具:“AV终结者”木马专杀工具 V3.7

  在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作

  一般恢复系统工作步骤如下:

  1.恢复IFEO 映像劫持



  可以使用autoruns这个软件:Autoruns V8.61 汉化版



  由于这个软件也被映像劫持了 所以我们要把他改个名字

  打开这个软件后 找到Image hijack (映像劫持)

  删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有项目

  2.恢复显示隐藏文件

  把下面的 代码拷入记事本中然后另存为1.reg文件

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

  "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"

  "Text"="@shell32.dll,-30500"

  "Type"="radio"

  "CheckedValue"=dword:00000001

  "ValueName"="Hidden"

  "DefaultValue"=dword:00000002

  "HKeyRoot"=dword:80000001

  "HelpID"="shell.hlp#51105"

  双击1.reg把这个注册表项导入

  3.恢复安全模式

  下载sreng :System Repair EngineerV2.5.16.900 版

  打开sreng

  “系统修复”---“高级修复”---点击修复安全模式在弹出的对话框中点击---“是”

  4.最后也是最重要的就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe



  注意:一定不要双击 也不能右键打开一定用winrar删除

 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-24 14:27
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.008857 second(s), 8 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP