病毒Virus.Win32.Xorer.DR的感染、症状与杀除
这个病毒的感染方式主要有两种:
1、ARP欺骗,劫持HTTP会话,在其中插入frame
比如说,向受攻击机器正在浏览的网页插入框架:(切勿点击!)http://360.gxgxy.net/count11
典型特征为网页右下方打开了一个类似于QQ广告消息的窗口
2、通过U盘自动运行感染。
具体的说,是Autorun.inf和pagefile.pif两个文件。双击U盘时如果系统启用了Autorun功能,在pagefile.pif内的病毒将感染电脑。
接下来说说染毒的症状。
1、在每个磁盘根目录下生成Autorun.inf和pagefile
2、在启动项里(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)增加类似于~
3、生成文件C:\WINDOWS\system32\dnsq
C:\WINDOWS\system32\Com\lsass
C:\WINDOWS\system32\Com\netcfg
C:\WINDOWS\system32\Com\netcfg
C:\WINDOWS\system32\Com\smss
C:\037589.log
4、在任务管理器里分别有两个lsass.exe和smss
事实上,病毒也会感染系统的smss.exe进程,进一步通过smss感染系统的lsass.exe进程,这就是为什么杀毒软件无法杀除的一个原因。
5、在部分变种中,会定期开启IE浏览器并打开一个网络游戏宣传页
6、explorer.exe进程经常报内存非法读写错误,给出选择是或否。选否则结束该进程。
7、360安全卫士出现异常状况:常驻程序被退出、启动项被移除
8、各种杀毒软件无法正常使用,开启后会自动关闭或者导致内存错误
9、无法进入安全模式,进入后蓝屏重启。
10、有网友说会逐渐感染所有的exe文件,包括其他非系统盘内的
杀除病毒的办法:
由于病毒的以上特点,目前还没有杀毒软件能在原染毒系统下彻底杀除
有网友提出使用带杀毒软件的启动盘来杀除,笔者想到一个类似的方法
因此,目前来看比较合适的方法是重新安装系统。
重新安装系统以后应该做以下几件事情,请按步骤进行
1、在我的电脑上右键属性,在系统还原里选择"在所有驱动器上关闭
2、下载杀毒软件并升级,尽量不要使用U盘拷贝安装程序
3、在我的电脑上右键,打开资源管理器,在左边逐一点击除了系统盘
最后,有关安全方面的建议:
1、关闭U盘、移动硬盘、光盘的自动运行功能。就是关闭Autor
或者在360安全卫士里,选择"保护"菜单,在开启实时保护里
以后使用移动介质时在资源管理器里打开。
2、在重装一个干净的系统,装好系统补丁、驱动和常用软件后
3、系统补丁和杀毒软件升级应该及时做。
4、如果使用局域网共享上网,安装一个ARP防护软件
另外针对ARP欺骗+HTTP劫持+投放链接形式的攻击
另外一个小技巧:
使用MP4的朋友们可以使用机器自带的文件浏览器删除根目录下的A