[心得分享] 電腦病毒最新隱身趨勢及應對方法
·電腦病毒最新隱身趨勢及應對方法
目前病毒的反殺毒技術有了新動向,主要是採用了隱身方法。病毒採用的隱身方法據稱有下列兩種:一是頻繁自我刪除啟動項和檔案,就是開機後刪除,關機前再創建,例如Backdoor/Byshell.a;二是隱藏進程、檔案名(只能在安全模式下看到)和服務,例如灰鴿子病毒最新變種Backdoor/Huigezi.2005。過去手工殺毒的三步方法就是,停止病毒進程,刪除病毒檔案,刪除病毒啟動項。現在這些方法將不好使了。
那麼,現在應該如何對付這種新病毒呢?其實辦法還是有的。對付第一種病毒的方法非常簡單,就是非正常關機(突然停電)。這種方法過去我就用過,例如新浪網站偷偷安裝的一個遊戲插件,其啟動項無法去掉,因為找不到它的進程,無法停止它,所以刪除了啟動項後關機時它又創建了啟動項(簡直就是「准病毒」),後來就是用突然停電的方式解決的。順便說一句,非正常關機對硬碟不利,所以不到迫不得已就別這樣幹。
對付第二種病毒較難,需要在安全模式下才能發現並刪除它。因此,首先必須知道病毒入侵了才好採取措施。已知病毒可以被殺毒軟體發現,而未知病毒是無法被殺毒軟體發現的,但可以被防火牆發現,這是因為病毒往往要連通網路。你先禁止它連通網路(同時選中類似「以後也同樣處理」這樣的選項),下一步就到安全模式下查找今天剛創建的exe、dll檔案,刪除即可。
·電腦病毒最新隱身趨勢及應對方法
以下供參考。鉤子函數具體調用方法我未試過。
Backdoor/Huigezi.2005 技術分析報告
江民反病毒中心截獲灰鴿子病毒最新變種Backdoor/Huigezi.2005。該變種通過hook系統函數可以隱藏病毒自身檔案和進程。
具體技術特徵如下:
1.病毒運行後,將創建下列檔案:
病毒運行後,將創建下列檔案(安全模式下查看):
%WinDir%IExplorer.exe,病毒程序
%WinDir%IExplorer.dll、病毒程序
%WinDir%IExplorer_Hook.dll、病毒程序
2.通過修改如下註冊表項,將病毒自身添加為服務
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPower supply management]
3.將IExplorer_Hook.dll注入到系統每個進程中,通過hook系統函數來達到隱藏自身的目的。
(1)隱藏病毒自身進程,通過任務管理器無法查找到病毒進程。
(2)隱藏病毒自身檔案,正常模式下查看不到病毒檔案。
(3)隱藏自身添加的服務,使自己從服務列表中消失。
幫忙繁體化..不然看得很吃力的...@@ 
