近日,国内各反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文都将其称为“AV终结者”)。截止到昨天,其变种数已达500多个,波及人群超过10万人。
★病毒发作时
四步可使电脑彻底崩溃
据了解,6月8日,金山毒霸发布紧急预警,“AV终结者”病毒导致大量安全软件无法正常使用,用户系统安全面临严峻威胁;短短三天之后,6月12日,“AV终结者”危害行为变得更加恶劣,杀毒软件被禁用,反病毒网站无法打开,安全模式遭破坏,格式化系统盘后病毒仍无法清除,用户电脑的安全性被大大降低,电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
金山毒霸反病毒专家戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:
1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障;
2.破坏安全模式,致使用户根本无法进入安全模式清除病毒;
3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法;
4.格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。
此外,经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到拥有病毒的网站,并自动下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。
★感染病毒之后
常用杀毒软件无法查杀
同时,记者从瑞星反病毒中心了解到,瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。”
此外,据瑞星反病毒专家介绍:“该病毒通过映像劫持技术,将大量杀毒软件‘绑架’,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件(包括U盘),从而使得通过U盘传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。
■病毒发作症状
1.生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。
3.不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
5.破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
6.当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。很多用户格式化系统分区后重装,访问其他磁盘,立即再次中毒。
8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。
■防范措施
对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
■传播方式
1.通过U盘、移动硬盘的自动播放功能传播。
2.AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
■专杀工具下载
金山毒霸专杀工具下载地址:http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM
瑞星反病毒中心专杀工具下载地址:http://it.rising.com.cn/Channels ... 4786729d36873.shtml
■手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%help目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供)
全部回复(3 )
只看楼主 我来说两句ARP是Address Resolution Protocal(地址转换协议)的简称,是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC(物理地址)的转换。在局域网中两台计算机之间的通讯,或者局域网中的计算机将IP数据报转发给网关的时候,网卡都需要知道目标计算机的物理地址,以填充物理帧中的目的地址。
现在假设同一以太网中的计算机A(192.168.0.1)需要向计算机B(192.168.0.2)发送数据报,而此时A尚不知道B的物理地址。为了获得B的物理地址,A在局域网上发送ARP广播,查询192.168.0.2这个物理地址,同时在ARP包中填入自己的物理地址Ma,相当于发出这样的询问“谁拿了192.168.0.2这个地址?请回Ma这个物理地址。”计算机B在收到了这个查询以后,以Ma为目的地址发回一个ARP包,里面包含了自己的物理地址。这样通讯的双方都了解了对方的物理地址,通讯过程正式建立。
通常ARP协议都在支持广播的网络上使用,比方以太网,这种数据包不能跨物理网段使用,即不能跨越一个路由器(除路由器本身还用作ARP代理以外)。
在实际的ARP协议软件的实现中还有一些应该注意的事项:每台计算机上都有一个ARP缓冲,它保存了一定数量的从IP地址到MAC地址的映射,同时当一个ARP广播到来时,虽然这个ARP广播可能与它无关,但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来,这样做的好处是能够减少ARP报在局域网上发送的次数。同时,ARP缓冲中IP地址与物理地址之间的映射并不是一但生成就永久有效,每一个ARP映射表项都有自己的时延,如果过了一定的时间还没有新的ARP到来,那么这个ARP映射就从缓冲中被删除了。那么下一次计算机向这个IP地址发送数据包的时候必须来一次新的查询。
本地网络IP 查找的原理
事实上Windows 本身就用ARP来确定自己的IP地址是否与网络上的另一台计算机发生了冲突。当一个ARP包到来时,Windows 如果检查到其中的IP地址与本机上的相同,而物理地址不同,这时Windows 就会向用户报告这个IP地址已经被别人占用。非常有意思的时,Windows 对待IP地址是以先来后到的顺序分配,如果已经有人先占了,那么本机的网络接口就会被禁用。这也是非常恼人的“特色”因为一旦开机后有了第一次冲突,以后的任何网络操作就都无效了。Windows XP 有了一定的进步,它在发现冲突以后并不禁用接口,而是允许用户进行修复。其实用sniffer可以看到所谓的“修复”也不过是发了几个ARP包出去,把IP“抢”回来。
在以前的文章中我描述了一个用ICMP 回送请求(类似PING)进行IP查找的程序。这个程序用并发的几十个线程同时PING网络上的多台计算机,如果回送请求被正确的应答了,那么可以认为这个IP地址已经被占用,如果没有,我们就宣称它是空闲的。然而它有优点也有缺点,其优点是能够PING很远的计算机,即使不在同一个物理网段上,缺点是当目标计算机上安装了防火墙并禁止了ICMP包,或者采用了防ICMP flood 攻击的规则以后都有可能让ICMP回送请求得不到应答。
ARP的优点与缺点正好与ICMP相反。它无法跨物理网段进行IP查找,但是由于没有防火墙禁止ARP包的通过(想想看,如果禁止了ARP包,也就等于不让人家知道你的物理地址,那么实际上也就是将自己的计算机同网络断开了),所以ARP包的IP查找结果一定是非常精准的。
在实现了一个原始的ARP IP查找版本以后,我发现其结果并不准确,有些已经没有人使用的IP地址被错误的报成有人占用了,难道我的判断是错误的?当然不,这种错误的原因是在Windows 的ARP缓冲中。实际上,在发送一个ARP报文的时候,Windows会首先检查本机的ARP缓冲,如果发现了已经有对应的ARP表项,而且还没有过期的话,Windows 并不会发送这个报文,而是直接返回给调用者这个ARP表项的内容。这样一来,假设有计算机中途掉网,而它的ARP表项还没有过期,那么这个程序仍然能够得到它的IP到MAC的映射,自然也就会错误的宣称这个IP地址还在使用中了。在运行这个程序前,我使用arp –d(事实上,在看了本文以后,你就可以实现一个这样的arp程序了)这个命令来删除缓冲中所有的ARP表项,然后得到的结果就非常准确了。IP Helper API 提供了管理ARP缓冲的过程,所以我修改了这个程序,把arp –d的功能集成到了自己的程序中来。如果看看《使用TCP/IP协议实际网际互连(第二卷)》你就会明白ARP协议软件中的诸多问题。
IP Helper API
GetIpNetTable 函数能够提取出本机上的所有ARP表项。使用它的方法与上一篇文章中使用的函数相当的类似,你也必须两次使用它,第一次获得缓冲的大小,而第二次获得实际的ARP表。这个映射表是以数组的方式指出的。其结构如下:
typedef struct _MIB_IPNETTABLE {
DWORD dwNumEntries; //数组的大小
MIB_IPNETROW table[ANY_SIZE]; //数组本身
} MIB_IPNETTABLE, *PMIB_IPNETTABLE;
而MIB_IPNETROW 的定义:
typedef struct _MIB_IPNETROW {
DWORD dwIndex; // 网络接口的索引号
DWORD dwPhysAddrLen; // 物理地址长度
BYTE bPhysAddr[MAXLEN_PHYSADDR]; // 物理地址
DWORD dwAddr; // IP地址
DWORD dwType; // ARP表项类型
} MIB_IPNETROW, *PMIB_IPNETROW;
其中dwType 即ARP表项类型是比较重要的东西,因为某些ARP表项一但设定就不再改变,比方本机地址的ARP表项和默认网关的地址表项等等,这些ARP表项并不会“过期”,除非网络故障或者设置改变了以后,会重新生成一次ARP查询。这种表项被称为“静态”的。此时dwType的值为4。在程序中,我们不必删除这类表项(虽然删了它们也不会造成什么后果)。
然而在实际的程序中,我使用了FlushIPNetTable这个函数来删除特定网卡上的ARP缓冲。
然后是删除一个表项的DeleteIpNetEntry,修改表项的SetIpNetEntry 和添加表项的CreateIpNetEntry 。还有两个管理代理ARP表项的函数,关于代理ARP,可以看看《使用TCP/IP 协议实现网际互连(第一卷)》关于ARP代理的部分,由于与我们的程序无关,就不做介绍了。
最后需要详述的函数是SendARP。它的原型如下:
DWORD SendARP(
IPAddr DestIP, // 目的IP 地址
IPAddr SrcIP, // 源IP地址,可选参数,把它填成0不会有问题
PULONG pMacAddr, // 返回的物理地址
PULONG PhyAddrLen // 物理地址的长度
);
对于我们的这个程序来说,返回了什么样的值并不重要,只要它成功的返回了,就说明这个IP被占用了。
回复 举报
回复 举报