物格而后知至,知至而后意诚,意诚而后心正,心正而后身修,身修而后家齐,家齐而后国治,国治而后天下平 注册 | 登陆

病毒Virus.Win32.Xorer.DR的感染、症状与杀除

病毒Virus.Win32.Xorer.DR的感染、症状与杀除

这个病毒的感染方式主要有两种:

1、ARP欺骗,劫持HTTP会话,在其中插入frame,链接到挂载病毒的网站。

比如说,向受攻击机器正在浏览的网页插入框架:(切勿点击!)http://360.gxgxy.net/count11.htm

典型特征为网页右下方打开了一个类似于QQ广告消息的窗口,同时转换下载链接为病毒体:(切勿点击!)http://360.gxgxy.net/setup.exe。

2、通过U盘自动运行感染。

具体的说,是Autorun.inf和pagefile.pif两个文件。双击U盘时如果系统启用了Autorun功能,在pagefile.pif内的病毒将感染电脑。

 

接下来说说染毒的症状

1、在每个磁盘根目录下生成Autorun.inf和pagefile.pif两个文件,设置为系统隐藏属性。在文件夹选项的查看里面,找不到"隐藏受保护的操作系统文件"选项。

2、在启动项里(C:\Documents and Settings\All Users\「开始」菜单\程序\启动)增加类似于~.exe的可执行文件,设置为系统隐藏,在cmd下面可以看到但无法正常删除。

3、生成文件C:\WINDOWS\system32\dnsq.dll,NOD32将首先报这个文件内发现病毒。另外还会生成如下文件:
C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\037589.log

4、在任务管理器里分别有两个lsass.exe和smss.exe进程,其中一个是Windows操作系统的守护进程,另外一个是如上病毒文件在运行。杀毒软件(如NOD32)无法制止这两个进程,所以会一直报告发现病毒,但无法杀除。

事实上,病毒也会感染系统的smss.exe进程,进一步通过smss感染系统的lsass.exe进程,这就是为什么杀毒软件无法杀除的一个原因。

5、在部分变种中,会定期开启IE浏览器并打开一个网络游戏宣传页面。在断开网络后有可能产生无法再次拨号的状况。

6、explorer.exe进程经常报内存非法读写错误,给出选择是或否。选否则结束该进程。

7、360安全卫士出现异常状况:常驻程序被退出、启动项被移除、桌面快捷方式被移除,如果启动,则马上产生内存非法读写错误,并退出程序。另外任何包含"360安全卫士"的网页打开就会被立马关闭。

8、各种杀毒软件无法正常使用,开启后会自动关闭或者导致内存错误、系统死机等。特别值得一提的是,曾经有网友写到使用"金山清理专家"可以杀除,现在病毒已经改进,染毒后这个软件已经不能正常使用。

9、无法进入安全模式,进入后蓝屏重启。

10、有网友说会逐渐感染所有的exe文件,包括其他非系统盘内的,可能属于某些变种。不论如何杀毒软件是可以发现的(只是不能彻底清除罢了),因此应该完全扫描一次,如果所有exe都已经感染,那么整个系统已经没有保留的必要。

 

杀除病毒的办法

由于病毒的以上特点,目前还没有杀毒软件能在原染毒系统下彻底杀除该病毒,另外无法进入安全模式。

有网友提出使用带杀毒软件的启动盘来杀除,笔者想到一个类似的方法是使用Linux的LiveCD,例如Knoppix,但是这两个办法都是删除染毒的文件,病毒对系统所做的一些修改很难恢复,另外,已感染的系统文件smss.exe和lsass.exe删除的话系统也无法正常运行了。

因此,目前来看比较合适的方法是重新安装系统。

重新安装系统以后应该做以下几件事情,请按步骤进行,以免再次染毒:

1、在我的电脑上右键属性,在系统还原里选择"在所有驱动器上关闭系统还原"。

2、下载杀毒软件并升级,尽量不要使用U盘拷贝安装程序。比如可以临时安装NOD32的40天试用版。然后对全盘进行扫描(NOD32扫描速度非常快)。

3、在我的电脑上右键,打开资源管理器,在左边逐一点击除了系统盘以外的盘符。这一点非常重要,不要直接点击或者右键打开,避免自动运行导致再次感染。删除每个盘根目录下的Autorun.inf和pagefile.pif文件,如果有的话。

 

最后,有关安全方面的建议

1、关闭U盘、移动硬盘、光盘的自动运行功能。就是关闭Autorun功能,具体方法可以去google搜索一下。

或者在360安全卫士里,选择"保护"菜单,在开启实时保护里,开启"U盘病毒免疫",关闭自动运行。再去超级兔子里,选择"打造自己的系统",选择安全菜单,勾选"禁止.inf文件"。

以后使用移动介质时在资源管理器里打开。

2、在重装一个干净的系统,装好系统补丁、驱动和常用软件后,做一个GHOST镜像备份。由于当前有很多病毒可以破坏GHOSt镜像文件,因此有条件的话最好将镜像刻录到光盘上备份。

3、系统补丁和杀毒软件升级应该及时做。

4、如果使用局域网共享上网,安装一个ARP防护软件(虽然不大管用),尽量避免ARP攻击。
另外针对ARP欺骗+HTTP劫持+投放链接形式的攻击,不要下载陌生的文件,特别是可执行程序,无故看到弹出窗口应及时断网并杀毒。

 

另外一个小技巧
使用MP4的朋友们可以使用机器自带的文件浏览器删除根目录下的Autorun.inf文件和其他可疑文件,非常管用,要勤加查看。

标签: win32.xorer, 病毒, 杀除, dnsq.dll

« 上一篇 | 顶部 | 首页 | 底部 | 下一篇 »

引用本文

点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5

13条记录访客评论

1、在我的电脑上右键属性,在系统还原里选择"在所有驱动器上关闭系统还原"。

这一项在我的电脑上根本没有

Post by hans on 2008, February 25, 1:54 PM 引用此文发表评论 #1

高手,向你学习

Post by 稀里糊涂 on 2008, March 7, 3:58 PM 引用此文发表评论 #2

妈的,你只会说,不会杀啊?

Post by 121 on 2008, March 11, 8:27 PM 引用此文发表评论 #3

3楼吃错药了!会杀的还用你说?是高手就该记得你怎么过来的!

Post by 灌汤包 on 2008, March 12, 1:55 PM 引用此文发表评论 #4

我的机器也感染这个病毒了,我看过autorun.inf这个文件,如果你通过资源管理器打开的话,也是会重复感染病毒的

Post by tt on 2008, March 12, 4:36 PM 引用此文发表评论 #5

我中过这毒,确实很讨厌,楼主的解决办法太繁琐了,我的硬盘exe几乎全部被感染,最好的方法是直接重装系统,然后用360清除掉D盘的autorun文件,然后可以安全地进入d盘,删除pagefile.pif。到此为止告一段落,现在最好不要去点其他任何驱动器的任何文件,尽量避开exe文件(因为他们已经完全染毒,一旦看到它,那么你的系统已经再次着了它的当,最好的判断方法看你的360防护是否还在!),马上安装相应的杀毒软件,目前我所知道的有这么几款可以查杀到它,小红伞、驱逐舰、卡巴、avast、nod32等等其他的杀毒软件是查不到的,而且以上的还要交配使用,就是说要用他们中的2款以上分别扫描,不然还有些还是杀不掉的。到此为止几乎杀完了,你可以安全的用电脑了

Post by 是我啊 on 2008, March 12, 4:58 PM 引用此文发表评论 #6

不好意思,我在发布这个文章的时候所有的杀毒软件厂商对这个病毒都没有办法,这一点我在文中已经提到了。
我当时写这个资料一是为了让大家判断自己中的是不是这种病毒,另一个是为了搜集该病毒的特征来帮助杀毒软件厂商开发病毒库。
现在的状况我不是很清楚,但根据“是我啊”朋友的经验,还是重装比较合适。
给大家造成的不便,还请见谅。

Post by EricCRC on 2008, March 12, 5:13 PM 引用此文发表评论 #7

会不会杀毒只是知识或技能的积累问题,三楼的不文明用语却是个人修养和道德问题。希望能从提高基本素质做起,否则无论你在技术上有多牛,你都不会被人认可和尊敬。

Post by teacher on 2008, March 14, 12:42 PM 引用此文发表评论 #8

很早就有个简单的方法:各杀毒软件商的网站都有专杀和免疫工具。需要提醒一点:接触被感染的设备时,所有主分区都会留下那个讨厌的小爪印。尤其是对没有写保护的闪存用户建议先免疫...:-)

Post by 灌汤包 on 2008, March 20, 11:38 AM 引用此文发表评论 #9

可以感染.html文件 最新卡巴即可

Post by 游客 on 2008, March 21, 10:55 PM 引用此文发表评论 #10

感染电脑里面所有的.EXE文件 类似于威金病毒,我曾经染过,参照威金病毒的杀除方法,没准能得到好的解决办法

Post by atshmily on 2008, June 4, 2:05 PM 引用此文发表评论 #11

最简单的方法就是,用工具盘进入WinPE,删掉C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\windows\system32\dnsq.dll
C:\037589.log
C:\pagefile.pif
C:\autorun.inf
然后用nod32可以对系统进行彻底的杀毒。

Post by zxguo on 2008, August 19, 10:44 PM 引用此文发表评论 #12

现在卡巴斯基 能杀掉这类毒

Post by k on 2008, August 27, 2:35 PM 引用此文发表评论 #13


发表评论

评论内容 (必填):