“磁碟机”病毒侵入我们的计算机后到底都做了些什么呢?
1、在C盘根目录下释放驱动NetApi000.sys,卸掉杀毒软件的钩子,使其监控失效。(解释:NetApi000.sys驱动用来恢复SSDT表,而杀毒软件的主动防御都是通过修改SSDT表来实现的,如果SSDT表被病毒破坏了也就等于让杀软失效了) 2、从以下网站下载新病毒: http://www.***.**/*.htm http://js.k***.**/**.asp http://js.k0****.**/**.asp http://js.***.**/***.asp http://js.***.**/****.gif 3、删除注册表启动项键值,使病毒外的所有软件无法自启动。例如QQ、msn等可以自行启动的软件就会起不来。 4、在搜索窗口中输入字符,强行关闭“杀毒软件”和“专杀工具”关键字。 5、在所有磁盘中添加autorun.inf和pagefile.pif,使得用户双击打开磁盘的同时运行病毒,从而可以U盘传播。 6、通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程,无法删除,无法手工结束。 7、感染可执行文件,对正常文件进行加密,如果杀毒,则会造成这些文件损坏。 8、双进程守护,每隔0.2秒检查一下自己是否存在,如不存在则重新启动。 9、修改注册表,使得用户无法进入安全模式,无法显示隐藏的系统文件。 10、检查注册表,如果系统不允许U盘自动运行,则修改之,使U盘中的病毒可以自动运行。 名词解释: SSDT (System Service Descriptor Table) 系统服务描述表 这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
内核级后门会修改这个服务表,以截获你系统的服务函数调用。特别是一些老的rootkit(例如ntrootkit)就是通过这种hook实现注册表、文件的隐藏。在冰刃里,被修改的值以红色显示。有些安全程序也会修改系统服务描述表中的值,比如卡巴斯基的驱动klif.sys、SSM的驱动safemon.sys。 感觉有些病毒真有意思,比如现在说的磁碟机吧,从两方面达到被防杀的目的:1、针对杀软:(1)强制使杀软的主动防御失效(2)感染所有可执行文件,有点宁可错杀千万的味道哦,使杀软无法启动 2、针对手动查杀:(1)从网站下载大量病毒(2)那就是双进程保护喽 呵呵,其实装上杀毒软件也没有多大用处,一种新病毒出来,杀软是绝对不会查杀出来的,因为它不知道新病毒的特征码呀。