基本介紹
- 中文名:“硬碟殺手”病毒
- 類型:計算機病毒
- 病毒類型:蠕蟲病毒
- 發作時間:隨機
- 傳播方式:網路/郵件
概況,標籤,描述,特徵,傳播,原因,過程,後果,攻擊領域,破壞過程,破壞程度,對策,清除方法,預防修復,
概況
標籤
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
主病毒檔案大小:17,408位元組
破壞方式:毀壞硬碟數據
警惕程度:★★★★★
描述
特徵
這是一個可以通過網路傳播的蠕蟲病毒,使用PECompact壓縮過。病毒運行時把自身複製到系統目錄下,並修改註冊表。病毒利用了Win9X系統的一個漏洞,可以在區域網路內迅速傳播,即便共享的資料夾設有密碼,病毒也能訪問。如果是WinNT系統,病毒則通過已分享檔案夾傳播。
該病毒還會獲取系統當前時間,如果病毒運行超過兩天,則釋放病毒檔案到C糟根目錄下,並用這個檔案改寫硬碟分區表,當系統重啟時顯示病毒字元信息,破壞掉硬碟上的數據。
病毒運行後會有如下特徵:
1、修改系統檔案win.ini中[msappfont]節中value, font, style項(如果該節中不存在這些項,病毒會創建),並將自己執行的日期存在這些項里。
2、如果系統當前日期大於24日並小於31日,或者當前的年數大於2002年,病毒檢查自己是否已經有兩天未被執行,如果是,病毒接著檢查檔案c:\win.ini是否存在,如果存在該檔案,表示該病毒已經執行過感染區域網路的操作。
病毒運行後會有如下特徵:
1、修改系統檔案win.ini中[msappfont]節中value, font, style項(如果該節中不存在這些項,病毒會創建),並將自己執行的日期存在這些項里。
2、如果系統當前日期大於24日並小於31日,或者當前的年數大於2002年,病毒檢查自己是否已經有兩天未被執行,如果是,病毒接著檢查檔案c:\win.ini是否存在,如果存在該檔案,表示該病毒已經執行過感染區域網路的操作。
如果病毒找到該檔案,它會進行如下的破壞動作:
1、創建以下檔案:c:\Msdos.sys(19位元組),c:\Autoexec.bat(15位元組),c:\Mslicenf.com(1706位元組), c:\Boot.ini(88位元組),c:\Bootsect.dos(512位元組), c:\Boot.exe(4096位元組)。
1、創建以下檔案:c:\Msdos.sys(19位元組),c:\Autoexec.bat(15位元組),c:\Mslicenf.com(1706位元組), c:\Boot.ini(88位元組),c:\Bootsect.dos(512位元組), c:\Boot.exe(4096位元組)。
其中當c:\boot.exe執行的時候,它會強行重新啟動用戶機器。當c:\Mslicenf.com執行時,它會覆蓋掉硬碟的分區表,刪除掉CMOS和硬碟上的所有數據,並顯示一段信息。
當上述檔案被修改或創建後,而系統又重啟時,在Win95/98下,c:\Mslicenf.com被執行;在Windows Me下,則對c:\IO.sys, c:\Command,c:\windows\system\Regenv32.exe打補丁使其可以運行在DOS實模式下。
最後病毒運行Boot.exe重啟系統,運行破壞性程式,覆蓋掉硬碟的分區表,刪除掉CMOS和硬碟上的所有數據,並顯示如下信息:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
bsa
Business Software Alliance
Promoting a safe & legal online world.
當上述檔案被修改或創建後,而系統又重啟時,在Win95/98下,c:\Mslicenf.com被執行;在Windows Me下,則對c:\IO.sys, c:\Command,c:\windows\system\Regenv32.exe打補丁使其可以運行在DOS實模式下。
最後病毒運行Boot.exe重啟系統,運行破壞性程式,覆蓋掉硬碟的分區表,刪除掉CMOS和硬碟上的所有數據,並顯示如下信息:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
bsa
Business Software Alliance
Promoting a safe & legal online world.
3、如果不是所有的破壞活動都被執行,病毒會執行如下操作:
複製自己到windows目錄下,命名為Mqbkup.exe(變種則命名為mstask.exe),並註冊自動運行。它會在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加兩個鍵值:mqbkup = %windir%\mqbkup.exe和mqbkupdbs = %windir%\mqbkup.exe。
然後會搜尋區域網路中C:\被共享的機器,如果找到,複製自己到該機器的c:\windows\Mqbkup.exe,並修改該機器中c:\windows\win.ini目錄,修改run的值為c:\windows\mqbkup.exe。
傳播
原因
而且依靠網路的已分享資料夾感染計算機,傳播能力遠遠強於CIH。
其變種的危害範圍更是有所擴大,NT、XP等作業系統都會被攻擊。
Microsoft在2000年10月10日發布的第72號安全公告中,就提到了這個關於共享級密碼的漏洞,這個漏洞存在於Windows 95,Windows 98,Windows 98第二版以及Windows Me的系統中。Windows 9x/Me為已分享檔案和共享列印設備提供密碼保護的功能,但是已分享檔案的密碼並不安全,惡意的用戶可以利用一個有效的用戶名,不必知道完整的用戶密碼便可訪問共享級別的檔案。
雖然Windows的這個漏洞已經發布了兩年有餘,但隨著“硬碟殺手”的瘋狂傳播,應再次引起Windows 95/98/Me用戶的關注,儘快下載相應的補丁程式。
過程
它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到網路共享目錄就可以得到訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
特別是對於區域網路來說,該病毒能在數秒鐘之內感染所有機器。
因為該病毒進入計算機之後,會在記憶體中創建一個互斥體,不重複感染記憶體,所以病毒在傳播時用戶絲毫不會感到計算機有任何異常。
後果
攻擊領域
快訊:瑞星技術服務中心訊息:今天“硬碟殺手”病毒繼續作惡,已製造上百起用戶硬碟數據被毀事件。
瑞星公司統計顯示:被破壞的用戶多為企業用戶(區域網路用戶),大約占總數量的80%,個人用戶占少數,感染用戶為全國範圍。
南方某商業企業全網被感染,病毒發作導致營業網點癱瘓,破壞速度奇快,數據無法修復,只能重裝整個系統。
針對“硬碟殺手”病毒的瘋狂發作,瑞星公司高度重視,在向相關主管部門及時通報情況的同時,積極採取各種措施通知媒體和用戶,緊急調派技術人員為用戶提供支持服務。
值得注意的是:“硬碟殺手”的傳播方式,導致了區域網路用戶遭受巨大的威脅,而且“硬碟殺手”病毒對數據的破壞極為嚴重,用垃圾信息覆蓋硬碟內容,寫入速度很快,受損用戶硬碟數據無法恢復,導致信息永久性丟失、用戶損失慘重。
破壞過程
在利用被感染機器進行傳播的同時,該病毒釋放出一個COM型病毒檔案,將用戶的硬碟分區用該COM檔案進行覆蓋。
當用戶第二次啟動計算機時,硬碟便被鎖死,螢幕上則會顯示以下信息:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
on our website, at:
Business Software Alliance
Promoting a safe & legal online world.
此時用戶已經無法做任何操作,即使用普通DOS啟動盤也進入不了硬碟"。"
破壞程度
從瑞星全國反病毒服務網得到的最新訊息,已有近百位用戶的計算機被感染,其中大部分用戶的數據全部丟失。
今日從瑞星公司獲悉,該病毒又突現新變種(Worm.Opasoft.e)。瑞星反病毒工程師認為,“硬碟殺手”病毒的殺傷力和傳播能力都遠強於CIH,敬請用戶提高警惕!
用戶一旦被感染,該病毒會破壞主機上的所有硬碟數據。(如果用戶安裝了三塊硬碟,則三塊硬碟資料都被破壞);該病毒破壞速度驚人,一分鐘之內就可以破壞10G左右的數據,硬碟一旦被破壞,數據將不可恢復。
瑞星工程師認為,這個病毒的破壞力強於CIH,因為CIH病毒破壞的硬碟有90%恢復的可能性。CIH破壞速度比較慢,而且被感染計算機經常在破壞程式運行之中關機,因此能保留一部分硬碟數據。
“硬碟殺手”是通過Windows的系統漏洞進行破壞的,其變種的危害範圍更是有所擴大,除了9X之外,Winme、NT、XP等作業系統都會被攻擊。對於沒有下載微軟補丁程式的用戶來說,有可能被郵件感染,也有可能在上網的時候被感染。對於區域網路用戶來說,只要有一台機器被感染,病毒可以在數秒鐘之內通過已分享資料夾感染所有的機器,包括設定了共享密碼的計算機。
對策
清除方法
1、在DOS直接刪除C:\WINDOWS\mqbkup.exe此檔案,或者在WINDOWS系統中用防毒軟體進行記憶體防毒。
2、修改Windows安裝目錄下的Win.ini檔案,刪除其中加入的run=c:\windows\mqbkup.exe的內容。
3、刪除C糟根目錄下19個位元組的msdos.sys檔案、1706個位元組的Mslicenf檔案、88個位元組的Boot.ini檔案、4096個位元組的Boot.exe檔案、15個位元組的Autoexe.bat檔案
4、刪除註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入鍵值mqbkup或者mqbkupdbs。
預防修復
對“硬碟殺手”病毒的預防及修複方法:
1、由於此病毒利用Windows 95/98/ME的安全漏洞進行傳播,所以請到以下網址下載相應補丁程式,以防止被感染:
3、如果暫時無法下載瑞星防毒軟體的最新版本,而且不確定是否已經被感染,請檢查註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在鍵值mqbkup或者mqbkupdbs,如果存在請刪除此鍵值。
4、如果用戶的機器作業系統是Windows 9X,請用戶打開Windows系統目錄下的Win.ini檔案,刪除run=c:\windows\mqbkup.exe所在的行。
5、在程式任務列表中刪除mqbkup.exe。
6、如果系統已經重新啟動並顯示如下圖,請立即關閉機器,切斷電源,以免硬碟數據進一步丟失。
