网络安全 频道

2007第四奇毒 恶性蠕虫“IO下载者”现身

    2007网络中不太平的一年,仅仅几个月间就出现了三大病毒大闹互联网,闹的网民是闻毒皆兵,这不第四大病毒,恶性蠕虫“IO下载者”(io.pif)现世了。该病毒类似于熊猫烧香及AV终结者,都以感染文件的方式破坏系统,严重危及电脑系统及网络个人财产的安全,行为非常恶劣。

    病毒简介
    文件: IO.pif
    大小: 18944 bytes
    该恶性蠕虫病毒会在受感染的系统平台中进行多项危险操作,并强行关闭多个安全软件和windows自带防火墙的保护进程。完成病毒施放后,病毒自身将连接指定的http://qqgood.dns0755.net/down/页面并下载大量病毒,降低系统的安全性能。随后会在计算机各个盘符下释放Autorun.inf及病毒原体文件,一但系统平台被其感染,该病毒就会试图通过网络或第三方存储设备进行传播。

    病毒感染途径
    该恶性蠕虫病毒IO下载者,在感染一台计算机时会生成如下文件:
    C:\Program Files\Common Files\Services\svchost.exe
    C:\WINDOWS\system32\DirectX9.dll
    C:\Autorun.inf及io.pif 文件(注:各硬盘盘符下都会生成此文件),并删除位于C:\WINDOWS\system32\下的verclsid.exe文件,当完成上述步聚后,病毒在用户重启计算机后开始运行,并试图调用cmd命令net stop命令结束以下服务项目:
    norton antivirus auto protect service
    mcshield
    windows filewall/internet connection sharing(ics)
    system restore service
    windows security center
    随后将尝试结束或关闭以下进程:regedit.exe、taskmgr.exe、360tray.exe、msconfig.exe、wopticlean.exe、iparmor.exe、360safe.exe、eghost.exe、mailmon.exe、roguecleaner.exe、kavpfw.exe、木马克星 、噬菌体等安全类软件,病毒到此并没有住手,而是在生成病毒源体文件后,开始传播并感染系统分区外的exe文件,并跳过感染如下文件:flashget.exe、thunder5.exe、qq.exe、msmsgs.exe。

    危害升级
    系统被其控制后,IO下载者将自行连接网络并下载木马下载器到C盘,并将其命名为WINDOWS***.exe(注:***为随机产生的数字),木马下载器一但自动运行,程序将立即下载其他木马和病毒,并在系统中深深潜伏。如:在注册表中加入[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]中加入C:\Program Files\Common Files\Services\svchost.exe> 、C:WINDOWS\upxdnd.exe、C:WINDOWS\system32\RAV00B2.exe等自启动项目,在注册表健值[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows下生成AppInit_DLLs wgdpri.dll项目等。在进程中会运行所下载病毒的相关程序,有时会模仿系统进程,进行伪装。

    病毒防、杀法
    这里提醒用户,在网络中畅游时不要随意打开即时通信软件如:QQ、MSN发来的任意文件,如因工作需要非接不可,那只能等待对方认证后接收,并在接收完成后利用升级完成的杀毒软件进行扫描。(注:由于没有专杀工具,这里只能依靠更新完成的病毒库对其查杀),而由于病毒所造成的威胁太大,感染力度太强,所以这里建议用户在感染病毒后重装系统或镜像还原,并在新的系统平台中进行下列设置:(特别提示:新的系统完成后,切记不要双击任何盘符,及硬盘中的所有exe文件,以防病毒被激活运行)。

    第一步、依次打开:我的电脑(右击打开)-工具-文件夹选项-查看,单击选取[显示隐藏文件或文件夹]并取消[隐藏受保护的操作系统文件(推荐)]前面的勾,并确定退出。这样即可显视操作平台中被隐藏的文件。
    第二步、右击我的电脑-管理-存储-磁盘管理中进入各个硬盘盘符根目录,从其下查找并删除autorun.inf和Io.pif文件即可。
    第三步:用光盘在光驱中重新装入杀毒软件或利用第三方存储设备至干净的系统中下载无毒的杀毒软件,进行安装并升级至最新版本全盘杀毒,以达清除硬盘中所有被感染的EXE文件。

    束语:病毒虽然可以疯狂一时,但最终仍将败倒在杀毒软件与专杀工具之下。其实感染病毒并不可怕,可怕的是病毒制造者唯恐网络不乱的野心,总想在网络中制造点事,以此来达到自身目的,殊不知害人害己,最终必将受到法律的严惩。

0
相关文章