Y2K是病毒吗?

晕著名的磁盘驱动器,也就是你说的千足虫。它的破坏力超级强。

我在百度百科给你找了资料。这种病毒比熊猫烧香可怕多了。

这是一个用MFC写的传染性病毒。

病毒运行后,会先释放c盘根目录下的病毒驱动NetApi000.sys,用来恢复SSDT,去掉杀毒软件挂的所有钩子。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.000、netcfg.000和lsass.exe。

然后程序退出并运行新发布的lsass.exe。

lsass.exe运行后,刚刚释放的文件会在com文件夹下重新释放,在system32文件夹下会释放一个新的动态库文件dnsq.dll,然后会生成两个随机命名的日志文件。这些文件是lsass.exe和dnsq.dll的副本,然后将执行以下操作:

1.从以下网站下载script /data.gif,找到窗口“MCI程序Com应用”。如果窗口不存在,运行下载的程序。

9.这种病毒会裂成碎片并迅速繁殖,堵塞磁盘使其无法进入磁盘,导致其电脑死机、蓝屏、自动关机、启动文件删除。(启动152H)

[编辑本段]综合评价

这个病毒品种很多,而且在不断更新升级。可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、u盘感染、进程守护、关闭大部分杀毒软件和屏蔽常用安全工具、感染非系统分区的exe等文件(包括rar中的EXE文件)、关闭自动更新破坏安全模式、删除显示受保护隐藏系统文件选项、自动打开驱动器。

“磁盘驱动器”病毒最近在网上引起轩然大波。由于该病毒已经严重侵害了多家企业和个人用户的电脑系统,引起了全国电脑用户的一致谴责。越来越多的杀毒厂商加入了“磁盘驱动器”的行列,开始了又一场杀毒大战。

去年的“熊猫烧香”病毒大战人们记忆犹新,因为病毒在电脑中生成了许多手持三根香的熊猫图案,一度引起全国电脑用户的讨论和恐慌。不过“磁盘驱动器”病毒似乎不如“熊猫烧香”流行,但很多反病毒专家都认同“磁盘驱动器”的危害比“熊猫烧香”大十倍。为什么?

反病毒专家何功道最近对“磁盘驱动器”和“熊猫烧香”病毒做了对比分析,从中可以看出为什么“磁盘驱动器”病毒被推为“毒王”。

第一,传播途径

“熊猫烧香”病毒有多种传播途径。通过u盘和被感染的网页文件传播,通过局域网传播,突破一些大型网站,通过正常网页传播。“磁盘驱动器”病毒利用“ARP病毒”在局域网内传播。通过访问恶意网址,该病毒下载并自动运行20多种病毒。通过ARP病毒,“磁盘驱动器”可以瞬间遍布全网的电脑。

“u盘”也可以通过u盘和网页传播,但目前还没有病毒作者通过突破大型网站传播的案例,这也是为什么目前“u盘”的传播没有“熊猫烧香”那么大,但如果病毒作者通过这种方式大面积传播,后果将不堪设想。

第二,反击杀毒软件的能力

“熊猫烧香”和“磁盘驱动器”病毒都具有反击杀毒软件的能力,但不同的是,“熊猫烧香”只是通过发送关机消息来关闭杀毒软件,而“磁盘驱动器”则是通过生成一个具有内核权限的驱动程序来破坏杀毒软件的监控功能,进而关闭杀毒软件,阻止杀毒软件升级,屏蔽主流杀毒软件网页。

在这一点上,“磁盘驱动”远远超过了“熊猫烧香”病毒,导致一些主动防御功能较弱的杀毒软件被关闭。目前“磁盘驱动器”可以关闭一些主流的杀毒软件,这也是为什么很多企业遇到“磁盘驱动器”病毒时,整个局域网几乎没有一台电脑能幸免于病毒的原因。

第三,自我保护和隐蔽能力

《熊猫烧香》采用工艺保护。该病毒首先生成一个系统服务程序,以保护其进程不被关闭。只要清除了病毒产生的系统服务,就可以轻松关闭其进程。

“磁盘驱动器”在自我保护和隐藏技术上几乎无所不能,通过十余项技术达到自我保护的目的。例如,使用进程守护程序技术,如果发现病毒文件被删除或关闭,就会立即生成并重新运行。病毒程序以系统级权限运行,DLL组件会被插入到系统中几乎所有的进程中来加载运行(包括具有系统级权限的)。利用断电回写技术,在电脑关机时将病毒的主程序体保存在[startup]文件夹中,实现了开机自启动。系统启动后,会删除【启动】文件夹中的病毒主题,这样可以隐藏启动,不被用户发现。利用反HIPS技术绕过一些主动防御程序“HIPS”的监控。利用光纤接入服务器高速升级病毒体,快速更新,避免杀毒软件查杀。

四、病毒变种和自我更新速度

因为“熊猫烧香”的技术比“磁盘驱动”简单,而且源代码可能泄露,所以病毒变种很多。但由于“磁盘驱动器”的病毒程序复杂,且目前可以确定其源代码并未泄露到网上,一周只出现两三个变种,达到一天最多两个变种的速度。虽然在变种数量上略逊于《熊猫烧香》,但它是“盘驱”。

反病毒专家甚至怀疑,“磁盘驱动器”病毒使用的是带光纤接入的升级服务器,可以实现病毒体在下载量较大的情况下,瞬间自动完成更新。

动词 (verb的缩写)病毒的破坏性

破坏性的是,“熊猫烧香”和“磁盘驱动器”都能感染电脑中的可执行文件和web文件,导致系统运行缓慢。不同的是,“磁盘驱动器”在感染文件的过程中会对感染文件进行加密存储,增加了清除病毒的难度。两者都可以链接到恶意网页下载特洛伊病毒,但“磁盘驱动”下载的特洛伊病毒数量远远超过“熊猫烧香”,“磁盘驱动”可以下载20多个特洛伊病毒,而“熊猫烧香”只能下载一个或几个木马。

然而,“磁盘驱动器”借助ARP病毒给企业局域网的用户带来了巨大的灾难性事故。由于“磁盘驱动器”在ARP的帮助下可以瞬间感染局域网内的所有电脑,导致很多单位的工作中断,造成不可估量的损失。

六、病毒的表现形式

在表现形式上,“熊猫烧香”的表现非常明显,非常容易判断出“熊猫烧香”的模式是通过感染可执行文件生成的。“磁盘驱动器”的感染非常低调和隐蔽。他尽力隐藏自己的行踪。从表面上看,普通用户很难发现中毒的痕迹。很多使用者中毒后并不知道,除了感觉系统似乎变慢之外,并没有其他明显的异常症状。

正是在这种刻意的低调伪装下,“磁盘驱动器”病毒伺机窃取用户的隐私敏感信息,包括游戏账号、网上银行、网上证券交易等账号的密码,这比“熊猫烧香”的公然抢劫更可怕。