Quiero descargar un virus
Sopla la brisa primaveral y suena el tambor. ¿Quién le teme hoy al virus?
Para obtener el título de "Poison Wei" este año, los miembros de élite de nuestras cuatro principales bandas de virus, incluidos Panda Burning Incense y AV Terminator, mostraron sus espadas una tras otra desde 2006 hasta el principio. mitad de 2007, diciendo que "se necesitan diez pasos para matar a una persona. Deja huellas a lo largo de miles de kilómetros".
¿Sabes por qué estamos tan locos? ¡Ja ja! Nuestras cuevas de escondite y métodos de ataque son únicos. Si no conocemos nuestros detalles y simplemente confiamos en la “defensa pasiva”, será difícil resistir los repetidos ataques de virus de nuestras cuatro bandas principales. A continuación, las élites de las cuatro bandas principales: "Webpage Gang", "Yimeier Gang", "LAN Club" y "Flash Organization" hablarán sobre dónde están las cuevas que solemos esconder y cómo infectar y controlar los sistemas informáticos.
Actualiza esta imagen desde la web.
El lema de la "Pandilla de la Página Web": Tú eres el que está en problemas.
Escondites: páginas de sitios web maliciosos y sitios web no saludables.
Índice de aceptación de escala y almacenamiento de contaminación: ★★★★★
Dirigido a: Usuarios de Internet que buscan información en línea con frecuencia y navegan por sitios web poco saludables.
Virus representativos: panda quemando incienso, nieve cayendo, caballo de Troya, Aini.
Características del virus: al ejecutar archivos de script de virus de páginas web y subprogramas JAVA integrados en páginas web o utilizar ASP, PHP, controles ActiveX, JavaScript, etc., el programa de código de virus se descarga automáticamente en el disco duro del usuario. y luego realizar actividades destructivas como infección de archivos, robo de varias cuentas de usuario y control remoto modificando el registro, incrustando procesos del sistema, cambiando el nombre, copiando, ocultando y disfrazando.
Líder de ayuda de la página web: Panda Burning Incense (gusano. WhBoy)
Índice de peligro: ★★★★★
Causa del ataque: Algunos sitios web con mucho tráfico El código del virus fue implantado después de ser atacado.
Síntomas del ataque: el archivo ejecutable del sistema se modifica en un patrón de panda quemando incienso, una gran cantidad de software de aplicación no se puede usar normalmente, el archivo de copia de seguridad de Ghost con la extensión GHO se pierde, el antivirus El software se cierra a la fuerza, lo que genera una pantalla azul y el sistema se reinicia con frecuencia.
Confesión del virus: Soy el jefe de la "Webpage Gang", el famoso Panda Quema Incienso. Primero atacaría un sitio web mal protegido y luego lo usaría como base para atacar la computadora del usuario.
Después de ingresar a la computadora del usuario, generalmente me copio en el directorio %SYSTEM32%\DRIVERS\, el nombre del archivo es: spoolsv.exe (tenga en cuenta la diferencia con spoolsv.exe) y luego lo creo en los elementos de inicio del registro, deshabilite los elementos ocultos de la carpeta, para que los archivos ocultos y los archivos del sistema no se puedan ver. Jeje, ¡el propósito es, por supuesto, esconderte!
También puedo ejecutar de forma aleatoria y simultánea varios subprocesos en la LAN, escanear computadoras con los puertos abiertos 139 o 445 y usar la lista de usuarios integrada y el diccionario de contraseñas para adivinar. Una vez que la invasión sea exitosa, me copiaré y activaré el virus mediante una tarea programada. Por lo tanto, los usuarios de LAN se sienten aún más como "la puerta de la ciudad está en llamas y los peces en el estanque se ven afectados". Por eso puedo infectar millones de computadoras en solo unos meses, causando enormes pérdidas económicas.
Asistente web: Trojan/PSW.GamePass
Índice de peligro: ★★★★
Causa del ataque: navegar por páginas web con virus o descargar y utilizar virus con complemento de juego viral.
Síntomas del ataque: Hay dos procesos winlogon en el sistema. Entre ellos, el virus genera un proceso disfrazado WINLOGON.EXE en mayúsculas, que genera alrededor de 14 archivos de virus con nombres diferentes en la computadora y dos en la computadora. Unidad D. Archivos por lotes Autorun.inf y pagefile.pif, los usuarios de juegos en línea pierden sus cuentas.
Confesión de virus: una vez que lo ejecute, se generarán alrededor de 14 archivos de virus como WINLOGON.EXE, regedit.com, msconfig.com, etc. en los archivos de programa de la unidad c y el directorio de Windows. Entonces obtuve la reputación de Luoxue. Descubrí que muchos usuarios tienen la costumbre de ingresar el comando Msconfig para ver los programas de inicio cargados por el sistema cuando encuentran anomalías en el sistema. Así que "seguí la tendencia" y simulé el nombre del archivo de virus en un nombre de herramienta normal del sistema, y luego. cambió la extensión del archivo Cambiar a . com.
Porque tiene prioridad el sistema operativo Windows. com archivo que. exe, cuando el usuario ingresa a Msconfig durante la operación, oye, lo que se ejecuta no es el programa Microsoft Msconfig.exe, sino el archivo de virus Msconfig.com.
Además, también creé un proceso llamado winlogon.exe y señalé la ruta de winlogon.exe a c:\windows\winlogon.exe (la ruta normal del proceso del sistema es C:\Windows\System32 \ winlogon.exe) para confundir a los usuarios.
Además de generar una gran cantidad de virus en la unidad C, también modificaré la asociación del archivo de registro. Cada vez que el usuario haga clic en el archivo HTML, el virus se ejecutará.
Además, también generé archivos pagefile.pif y Autorun.inf en la unidad D, de modo que incluso si se borran los archivos de virus en el directorio de la unidad C, el virus seguirá activado cuando el usuario abra la unidad D.
La principal protectora de la pandilla del sitio web: Ani
Índice de peligro: ★★★★☆.
Causa: La vulnerabilidad 0Day expuesta por Microsoft fue explotada por un fabricante de virus por primera vez.
Síntomas de epilepsia: Enviar automáticamente el tema "¿Con quién te has fotografiado?"? ¡Me estoy riendo de ti! "Los correos electrónicos de virus infectarán archivos EXE en la computadora, modificarán archivos con extensiones de ASP, JSP, PHP, HTM, ASPX y HTML, e implantarán código malicioso en ellos. Debido al ERROR del virus, al intentar acceder al A drive Al propagarse, el sistema generará un mensaje de error.
Confesión de virus: a finales de marzo de 2007, Microsoft acaba de exponer la "vulnerabilidad ANI" y me volví loco por usar los ataques Microsoft 0Day. se llevan a cabo en combinación con malware basado en web.
Consejos: Las vulnerabilidades 0Day se refieren a vulnerabilidades que Microsoft no ha descubierto ni publicado parches oficialmente porque los usuarios no pueden encontrar los más efectivos a la primera. El daño causado por las vulnerabilidades de 0Day es mucho mayor que el de las vulnerabilidades ordinarias del sistema. Generalmente, las funciones del sistema solo se pueden evitar o deshabilitar para reducir el daño causado por las vulnerabilidades.
Después de navegar por la página web que me contiene, los usuarios lo harán automáticamente. Cuando abro el archivo ANI del virus localmente, se activará la vulnerabilidad y se conectará automáticamente a la red para descargar una gran cantidad de virus y troyanos. Cuando encuentre una nueva versión del virus, también la actualizaré para evadir el antivirus. -software antivirus.
Mis habilidades son geniales. Puedo usar discos locales y directorios compartidos en red para infectar archivos EXE con tamaños de archivo entre 10 KB y 10 MB, con extensiones de ASP, JSP y PHP. . , HTM, ASPX, archivos de script HTML, modifica archivos HOSTS y bloquea el acceso a algunos sitios web de seguridad antivirus.
Software de uso común como QQ, MSN, clientes de correo electrónico, ACDSee, lectores de RSS y. casi todos los navegadores de Internet, todas las versiones de los sistemas operativos de Microsoft (incluido Vista) serán atacados y afectados por mí
Editar política
El virus "Web Gang" explota la seguridad de los servidores de sitios web y las vulnerabilidades atacan el sistema directa o indirectamente. Los usuarios sólo necesitan hacer lo siguiente:
1. Actualice su IE a la versión más alta y parchee todas las vulnerabilidades de seguridad publicadas. Además, cambie a una navegación más segura. Los servidores como Firefox y Opera también pueden reducir los ataques de vulnerabilidad en los navegadores IE hasta cierto punto.
2 No haga clic fácilmente en enlaces web enviados por QQ, MSN, correo electrónico, etc.
3. Las páginas web que explotan vulnerabilidades suelen ser archivos web ActiveX que contienen código dañino, por lo que todos los complementos y controles ActiveX, scripts Java, etc. también se pueden evitar en la configuración de IE (pero algunos efectos especiales de las páginas web también lo son). prohibido).
4. Desarrolle hábitos de Internet buenos y saludables y trate de evitar caer en algunas "trampas hermosas" al buscar información. Trate de evitar visitar algunos sitios web pequeños irregulares al descargar y consultar. información
5. No desactive las funciones de "Monitoreo de página web" y "Monitoreo de script" del software antivirus.
El lema de "Yimeier School": La tentación es irresistible.
Escondite: El correo electrónico es el principal escondite del virus "Yimeierpai". Algunos virus ocultan los cuerpos de los virus en los archivos adjuntos de los correos electrónicos; algunos virus pueden aprovechar las vulnerabilidades del correo electrónico para incrustarse en el cuerpo del correo electrónico de modo que los usuarios no puedan ver los archivos adjuntos, pero algunos virus utilizarán la brecha de vista previa del usuario para atacar, y el usuario solo necesita moverse; el mouse para El virus se activará en el correo electrónico.
Índice de almacenamiento y control de la contaminación ★★★★★☆.
Adecuado para: internautas nacionales que suelen utilizar Outlook y Foxmail para enviar y recibir correos electrónicos, especialmente internautas que no pueden soportar la tentación de agregar nombres.
Representa virus: águila malvada, bicho desagradable.
Características de los virus: Los virus del correo electrónico se denominan “virus del correo electrónico” porque su principal forma de propagación es a través del correo electrónico. Los virus de correo electrónico utilizan principalmente el motor de envío de correo electrónico proporcionado por el sistema para enviar una gran cantidad de correos electrónicos de virus. En el pasado, los virus a menudo aprovechaban las vulnerabilidades de los correos electrónicos para incrustarse en el cuerpo del correo electrónico. Ahora, los virus no sólo tienen la función de "activación de vista previa", sino que también utilizan el principio de "ingeniería social", como utilizar algunos "eventos noticiosos de actualidad" en la sociedad o aprovechar la curiosidad de las personas para crear una dirección de correo electrónico atractiva para usuario del señuelo.
Líder de la facción Yimeier: Evil Eagle Virus (Worm. Mail.Bagle).
Índice de peligro: ★★★★☆☆
Inducción de ataque: el ícono en el archivo adjunto del correo electrónico es similar al ícono en la calculadora de Windows para inducir a los usuarios a ejecutar programas de virus.
Síntomas de epilepsia: los recursos del sistema están ocupados. Al mismo tiempo, debido al envío continuo de correos electrónicos no deseados, la red queda gravemente bloqueada, afectando el trabajo normal de los usuarios empresariales.
Confesión de virus: Soy un virus gusano que puede ejecutarse en el sistema operativo Windows 9X/NT/2000/XP. Lo escondí en un archivo adjunto de un correo electrónico. Los usuarios que abran archivos adjuntos de correo electrónico serán envenenados (algunas vistas previas variantes también serán envenenadas). Luego recopilé direcciones de correo electrónico en las computadoras infectadas y envié una gran cantidad de correos electrónicos cargados de virus a estas direcciones. Debido a que los correos electrónicos que envío no tienen características de virus obvias, los usuarios a menudo los ignoran.
Después de ejecutar el virus, causará problemas como la carga anormal de archivos del sistema y la imposibilidad de que la computadora infectada ingrese al escritorio. En el proceso de recopilar direcciones de correo electrónico y enviarlos, consumiré seriamente los recursos del sistema, la computadora infectada puede ralentizarse y la proliferación de correos electrónicos con virus también puede ralentizar o incluso bloquear la red de área local.
Muto como otros virus. Algunas variantes pueden desactivar el software antivirus de su computadora y descargar automáticamente nuevas variantes de virus. Mis viriones generalmente se inyectan en Explorer.exe para ocultar el proceso al software antivirus.
I-Worm/Warezov Elder: Dirty Worm/Warezov
Índice de peligro: ★★★★☆☆
Causa del ataque: inducir a los usuarios a abrir correos electrónicos desconocidos para infectar el sistema.
Síntomas del ataque: el virus puede generar aleatoriamente un archivo de virus con la extensión EXE. El archivo puede copiarse al directorio del sistema y luego modificar el registro para lograr el inicio automático en el arranque y un mensaje falso. Aparecerá un cuadro que indica que la actualización se realizó correctamente.
Confesiones de virus: I, una variante del gusano sucio, i-worm/warezov.ja, es un gusano de red que se propaga mediante el envío masivo de correos electrónicos venenosos. Después de que se ejecuta la infección del sistema, me copio en el directorio del sistema. El nombre del archivo consta de 10 letras arbitrarias, con el sufijo . exe. También modificaré el registro para lograr el inicio automático al arrancar.
Puedo alterar la configuración del navegador IE, conectarme a sitios web designados para descargar archivos de virus, buscar en todos los discos duros de computadoras infectadas e intentar descargar archivos de virus. wab,. TXT,. htm y. html archivos de expansión y envían correos electrónicos venenosos a estas direcciones, lo que hace que el virus se propague a mayor escala.
Estrategia de edición
El virus "Yimeier School" ataca el sistema principalmente mediante el uso de archivos adjuntos tóxicos en los correos electrónicos y la función de vista previa de los correos electrónicos. Se recomienda que la mayoría de los usuarios de correo electrónico realicen las siguientes operaciones:
1. Los administradores de redes empresariales y los usuarios comunes de Internet deben estar preparados para el antivirus, instalar el software antivirus, actualizarlo a tiempo y habilitar el software antivirus. Función de seguimiento de correo electrónico al navegar por Internet. La "puerta de enlace antispam" implementada por la empresa también puede interceptar hasta cierto punto correos electrónicos que contienen virus.
2. No abras fácilmente archivos adjuntos en cartas de extraños. Cuando reciba un correo electrónico interesante de un extraño, ¡no lo abra apresuradamente! Especialmente para algunos archivos de programas ejecutables, como. exe, ¡ten más cuidado!
3. Si el correo electrónico con un archivo adjunto es un archivo ejecutable (.exe, .com) o un documento de Word, si debe abrirlo, primero puede guardar el archivo adjunto en el disco duro y luego usarlo. software antivirus para comprobarlo. Algunos virus altamente transmisibles y destructivos a menudo se infectan cuando se obtiene una vista previa del correo electrónico, sin abrirlo.
4. Si utiliza Outlook para enviar y recibir correos electrónicos, se recomienda que los usuarios desactiven la función "Vista previa" de OE y presten atención a actualizar los últimos parches de Microsoft de manera oportuna para evitar que Outlook sea dañado. infectado al recibir correos electrónicos. Si utiliza Foxmail, puede leer correos electrónicos en formato de "texto sin formato".
El lema del "LAN Club": Estamos todos juntos en problemas.
Escondite: Los ordenadores de la red de área local que no se actualizan frecuentemente con parches son los principales escondites del virus "LAN Club". Debido a que hay muchos dispositivos informáticos en la red de área local y hay muchos usuarios con niveles de operación de la computadora "desiguales", esto conducirá inevitablemente a diferencias en el nivel de mantenimiento de la seguridad del sistema informático. Los usuarios de ordenadores con poca conciencia de seguridad y bajos niveles de prevención suelen enfrentarse a los virus sin aplicar parches en el sistema. Sus ordenadores pronto serán derrotados por nuevos ataques de gusanos y se convertirán en una "fuente de veneno" en la red de área local.
Índice de aceptación de incrustaciones y almacenamiento de contaminación: ★★★★☆.
Dirigido a la multitud: usuarios de banda ancha de agencias gubernamentales, LAN de empresas e instituciones, redes de campus y LAN comunitarias que no actualizan parches con frecuencia.
Representando el virus: Wei Jin, Mo Bo.
Características del virus: Este tipo de virus se propaga principalmente dentro de la red de área local. Una vez que una computadora en una red de área local está infectada con un virus gusano, continuará atacando a otras computadoras. Si las computadoras atacadas también tienen vulnerabilidades del sistema que pueden ser aprovechadas por virus, estas computadoras se infectarán una tras otra, posiblemente infectando todas las computadoras de la red en un corto período de tiempo, causando un gran daño.
La "persona" número uno del LAN Club: Worm.Viking.
Índice de peligro: ★★★★★
Causa del ataque: después de que los usuarios individuales en la red de área local están infectados, el virus utiliza el * * * predeterminado del sistema para llevar a cabo Infecciones a gran escala.
Síntomas del ataque: el virus se inyecta en el proceso IE de la computadora del usuario. Muchos programas antivirus conocidos se ven obligados a cerrarse, conectarse automáticamente a sitios maliciosos designados y descargar troyanos que roban cuentas. u otros virus infecciosos que infecten el sistema informático del usuario.
Confesión viral: Mi nombre es Wei Jin y debuté antes que el famoso Panda Burning Incense. Puedes encontrar mi sombra en Panda Burning Incense. ¿Te acuerdas? "Mira, mis fotos recientes acaban de ser escaneadas en el álbum de fotos de QQ". Simplemente haga clic en ese sitio web y lo descargaré automáticamente a la computadora del usuario y lo ejecutaré.
Después de ejecutarlo, me copiaré en la carpeta de Windows. El nombre del archivo es % systemroot % \ rundl 132. exe, ¿qué tal? ¿Son similares "rundl132.exe" y "rundll32.exe"? Después de ejecutar el archivo de infección, copio el cuerpo del virus en el siguiente archivo: %systemroot%\logo_1.exe y generaré el "directorio de virus\vdll.dll" en la carpeta de virus.
Infectaré un archivo ejecutable con un tamaño de 27 KB ~ 10 MB y generaré un archivo _desktop.ini con atributos ocultos en la carpeta de infección. Además, también intentaré modificar el archivo %sysroot%\system32\drivers\etc\hosts y luego modificaré el registro para realizar el funcionamiento automático del cuerpo del virus.
Después de cerrar el proceso del software antivirus de uso común, escanearé los * * * hosts compartidos en la LAN e intentaré usar contraseñas débiles para conectarme a los * * * directorios compartidos predeterminados, como IPC$ y administrador$. Una vez que la conexión sea exitosa, infectaré el archivo EXE en la máquina del usuario objetivo a través de la red e inyectaré selectivamente la DLL del virus (vdll.dll) en el proceso Explorer o Iexplore.
El archivo DLL inyectado intenta descargar un programa de un sitio web y guardarlo como C C:\1.txt;;% SystemRoot%\0Sy.exe% SystemRoot%\1sy.exe;%SystemRoot%\ 2Sy.exe. Además, puedo descargar programas maliciosos que roban contraseñas de QQ y cuentas de juegos en línea para controlar aún más la computadora.
La “persona” número 2 de Lanshe: Worm_Mocbot. Respuesta
Índice de peligro: ★★★★☆.
Incentivos: Aprovechar el recién lanzado de Microsoft Parches de vulnerabilidad de alto riesgo y retraso en la actualización de parches para muchos usuarios de computadoras.
Síntomas: el virus utiliza principalmente la vulnerabilidad del búfer de Microsoft para propagarse. Una vez infectado el sistema, los piratas informáticos pueden controlarlo fácilmente de forma remota. Incluso provocó que el sistema se dañara. Algunos procesos fallaron y se produjo un error anormal desconocido en el software.
El virus confesó: "Aunque no soy tan famoso como Shockwave y Shockwave". Una vez que infecto a un usuario de computadora, generaré wgareg.exe en el directorio del sistema %system% y luego agregaré en secreto una clave de registro para permitir que se ejecute automáticamente cuando se inicie el sistema. wgareg.exe "en \ system \ current control set \ services \ wgareg para agregar el servicio de registro de ventajas genuinas de Windows, y su proceso de servicio es wgareg.exe
En la LAN, lo distribuyo principalmente a través del puerto TCP. 445. Utilicé el puerto TCP 445 de la computadora infectada para escanear. Una vez que encontré la vulnerabilidad del búfer anunciada por MS06-040 (una vulnerabilidad en el servicio del servidor que permite la ejecución remota de código arbitrario), mi código de virus se puede ejecutar en el. computadora remota.
Después de ejecutar exitosamente el programa de virus, me conectaré automáticamente al servidor de la sala de chat de Internet para recibir instrucciones de ataque malicioso y descargaré y ejecutaré programas maliciosos o iniciaré denegaciones de acuerdo con las instrucciones del atacante. Ataque al servicio.
Lanshe "persona No. 3": virus ARP
Índice de peligro: ★★★★★
Causa del ataque: Host envenenado a través de ARP. Suplantación de identidad en toda la LAN hace que se implante código malicioso en páginas web normales visitadas por otros usuarios de la LAN.
Síntomas de ataque: cuando el virus ARP ataca, la red generalmente se desconecta, pero la conexión de red es normal y. algunas computadoras en la intranet no pueden acceder a Internet, o todas las computadoras no pueden acceder a Internet, no pueden abrir páginas web o las páginas web se abren lentamente y la conexión LAN es intermitente. Algunos virus ARP también utilizan la suplantación de ARP para provocar que todos los usuarios de la LAN. tener páginas venenosas (código malicioso incrustado) sin importar qué sitio web visiten. Fenómeno
La red es "intermitente", ¿está desconectada nuevamente? Esto es lo que estoy haciendo y ARP la está falsificando. Programas de caballos de Troya (como el legendario caballo de Troya, el software de robo de cuentas QQ, etc.
).
Dado que la conversión de direcciones IP y direcciones MAC en la LAN se completa a través del protocolo ARP, puedo lograr la suplantación de ARP falsificando direcciones IP y direcciones MAC, y enviando respuestas ARP con direcciones MAC de origen falsificadas. .paquete, envía paquetes de suplantación de identidad ARP a todos los hosts en un determinado segmento de red en la LAN, afirmando falsamente ser el dispositivo de puerta de enlace del segmento de red, de modo que el tráfico que originalmente fluye hacia la puerta de enlace se desviará a mi host, lo que provocará que otros hosts. en la LAN que no puede funcionar normalmente El fenómeno de desconectarse repetidamente mientras navega por Internet.
También puedo utilizar las vulnerabilidades del sistema MS06-14 y MS07-17 de Microsoft para implantar un descargador de troyanos en la computadora y descargar múltiples troyanos de juegos en línea maliciosos. Si hay usuarios jugando juegos en línea en la LAN, entonces puedo usar la suplantación de identidad ARP para fingir la desconexión y obligar a los usuarios a iniciar sesión nuevamente en el servidor de juegos en línea. De esta manera, puedo aprovechar la oportunidad para robar el juego en línea del usuario. cuenta y contraseña. En casos severos, solo necesito infectar con éxito una computadora, y esto puede causar que toda la red de área local no pueda acceder a Internet, o incluso que toda la red quede paralizada.
Política de edición
Los ataques de virus al sistema en el "LAN Club" se llevan a cabo principalmente explotando vulnerabilidades de alto riesgo en el sistema y los * * * compartidos y débiles predeterminados de la LAN. contraseñas. Se recomienda que los usuarios de computadoras LAN tomen las siguientes medidas:
1. El administrador de la LAN primero debe implementar un software de administración de red para monitorear dinámicamente toda la LAN. Una vez que observe tráfico sospechoso o que un solo host realice más solicitudes de conexión de lo normal, esto suele ser una señal de un brote de gusano o abuso de la red. En el caso de huéspedes infectados con gusanos, intente detectarlos, aislarlos y eliminarlos lo antes posible.
2. Instale y utilice software de firewall de red, establezca reglas para los puertos 139 y 445 para interceptar virus de gusano y aplique los parches correspondientes. Desactive el * * * predeterminado y cambie las contraseñas débiles para las cuentas del sistema.
¿El eslogan "flash mob" necesita una razón para ser destruido?
Ubicación de ocultación: Este tipo de virus se oculta principalmente en medios de almacenamiento móviles representados por memorias flash.
Índice de aceptación de incrustaciones y almacenamiento de contaminación: ★★★★★
Público objetivo: trabajadores de oficina que suelen utilizar memorias flash y discos duros móviles, consumidores de cámaras digitales/videocámaras y MP3/ Propietario de productos digitales MP4.
Representa virus: terminador AV, destructor de unidades flash USB.
Características del virus: La mayor naturaleza y característica de este tipo de virus es que aprovecha la "popularidad" de las herramientas de almacenamiento móvil y productos digitales, así como la debilidad de la función "autoplay" del sistema operativo. sistemas representados por Windows XP que está activado de forma predeterminada.
Asesino de la medalla de oro de la organización de memoria flash: terminador AV
Índice de peligro: ★★★★★
Incentivo: el uso generalizado de dispositivos de almacenamiento móviles como " memoria flash", Y el desconocimiento del usuario sobre la prevención de este virus.
Síntomas del ataque: "secuestro" del software antivirus, dejando la computadora en un estado "rayado"; destruyendo el modo de seguridad del sistema, impidiendo que los usuarios ingresen normalmente a la página correspondiente cuando encuentren las palabras "; antivirus" y "seguridad"; Generar un archivo de programa de virus nombrado aleatoriamente por 8 números o letras para ocultarse; Destruir el sistema para mostrar todas las opciones de archivo.
Confesión de virus: Hola, soy el "AV Terminator" que ha causado mucho ruido últimamente. Normalmente los escondo en medios de almacenamiento móviles como memorias flash, MP3 y discos duros móviles. El nombre del archivo del programa principal de mi virus consta de letras o números aleatorios de 8 dígitos, por lo que también se le llama virus "aleatorio de 8 dígitos" (también conocido como "Papworm").
Después de ejecutarlo, cópiese en el directorio del sistema C:\program files\common files\Microsoft share\msinfo\generate dos archivos de números aleatorios de 8 bits con la extensión:. datos y. Además, se generará Autorun.inf y un archivo EXE aleatorio de 8 bits en el directorio raíz de cada partición del disco duro, de modo que el virus pueda activarse haciendo doble clic en el disco duro.
Así tengo la posibilidad de difundir automáticamente a través de dispositivos de almacenamiento extraíbles. Después de infectar con éxito el sistema, primero finalicé el proceso de software antivirus y herramientas antivirus de uso común, utilicé la "tecnología de secuestro de imágenes (IFEO)" para secuestrar el software antivirus y el software de administración de configuración del sistema de uso común y luego los reemplacé. , desactivó el Firewall de Windows y actualizó Windows automáticamente.
Para evitar que los usuarios limpien virus a través del modo seguro, también modifiqué la configuración del sistema para no permitir que el sistema se inicie en modo seguro. De esta forma, el sistema de envenenamiento pierde su capacidad de ser seguro y obediente.
El chico negro plateado de la organización de memoria flash: USB Disk Destroyer (Worm. VB.hy)
Índice de peligro: ★★★★☆.
Incentivos: La gran cantidad de aplicaciones de los dispositivos de almacenamiento móviles como las "memorias flash" y el "caos" de los cuerpos de los virus.
Síntomas del ataque: El icono "Mi PC" aparece en dispositivos de almacenamiento móviles como unidades flash y discos duros móviles. Después de que el usuario hace clic en él, el virus destruirá los datos del disco duro en segundo plano después de ejecutarse, lo que provocará que la computadora infectada falle por completo al reiniciarse y no pueda ingresar al sistema.
Confesión de virus: Mi nombre es "USB Disk Destroyer", que es anterior a "AV Terminator". Debido a que puede generar múltiples procesos Rose después de ejecutarlo, tengo el sobrenombre de "Black Rose".
Cuando hacemos doble clic en cualquier número de partición del sistema, se ejecutará el archivo de virus "rose.exe".
Después de mi brote, se generarán múltiples procesos "rose.exe", que ocuparán muchos recursos de la CPU y provocarán que el sistema funcione lentamente o incluso falle. Algunas de mis variantes también destruirán los datos del disco duro en segundo plano, lo que provocará que el sistema se reinicie continuamente y el usuario no pueda ingresar al sistema.
Editar política
Los virus en la "Organización de memoria flash" aprovechan principalmente la función de reproducción automática de los sistemas Windows y el "mal hábito" de los usuarios de hacer doble clic para abrir la memoria flash para atacar el sistema. . Se recomienda tomar las siguientes medidas al utilizar dispositivos de almacenamiento flash con frecuencia:
1. Intente no hacer doble clic para abrir la memoria flash, sino haga clic derecho y seleccione "Abrir".
2. Debido a que hay muchos elementos como "Reproducción automática", "Abrir", "Navegador" y otros elementos en el menú contextual del disco USB que contiene el virus, recomendamos "primer vistazo, Principio de "segundo asesinato, tercer abierto". Es decir, primero verifique si hay elementos sospechosos en el menú contextual cuando un dispositivo de almacenamiento móvil, como una memoria flash, está conectado al sistema, luego verifique habitualmente si hay virus en el dispositivo móvil conectado y finalmente ábralo con el clic derecho después confirmando que no hay virus.
3. Tome precauciones, como desactivar la función de ejecución automática del sistema, actualizar la base de datos de virus a tiempo y asegurarse de que todas las funciones de monitoreo del software antivirus estén activadas.
PD
En la actualidad, los virus de las cuatro pandillas principales se están volviendo cada vez más "tóxicos" y han aparecido virus híbridos entre pandillas, como Panda Burning Incense, AV. Terminador, etc. Además, más virus también utilizarán la "tecnología de secuestro de imágenes" y la "tecnología de suplantación de ARP". ¿Cómo prevenirlo?
El método de prevención más importante es actualizar rápidamente el software antivirus y los parches del sistema, lo que puede prevenir eficazmente la mayoría de los virus nuevos. Además, le recomendamos que desactive la función de reproducción automática del sistema y utilice la herramienta de reparación de secuestro de imágenes de IFEO para evitar que los virus se apropien del software antivirus a través de IFEO. También puede utilizar el firewall ARP, IE Security Guard, SREng y otras herramientas de seguridad para la prevención.