所谓的“伪装系统文件(Camouflage system files )”是指:病毒文件具有伪装系统文件的属性。一种和某个系统文件类似的恶意文件,一般为病毒和木马文件,从而破坏系统的安全环境,达到发布者的某些利益。
目录
相关背景:“净蓝丝带”含义系统文件:伪装系统文件:传播网络传播:计算机硬件传播:被伪装系统文件侵袭症状病毒运行原理病毒举例伪装系统文件木马V系列查杀建议
相关背景:“净蓝丝带”中国互联网协会、违法和不良信息举报中心、反垃圾邮件中心、中国晚报协会记者编辑学会、奇虎公司共同正式宣布,首个互联网公益品牌“净蓝丝带”正式启动。“净蓝丝带”是首个互联网领域的公益品牌,它代表共同抵抗网络恶意行为,象征着国家对互联网行业健康发展的关心和支持,象征着网民对互联网热爱和对纯净互联网空间的渴望,象征着互联网企业关注网民感受,恪守自律的承诺。相信通过这种公益活动的大面积普及和落地,反恶意软件的势头或将掀起新一轮高潮。
含义系统文件:系统文件指的是存放操作系统主要文件的文件夹,一般在安装操作系统过程中自动创建并将相关文件放在对应的文件夹中,这里面的文件直接影响系统的正常运行,多数都不允许随意改变。它的存在对维护计算机系统的稳定具有重要作用。伪装系统文件:“伪”字打头的恶意软件已经成为最近一段时间恶意软件的标准动作,为用户的自主判断增加了更多的难度。同时,一批小集团运作的恶意软件在技术层面进行了针对性操作,反恶意软件查杀效果出现不稳定现象。
传播伪装系统文件的传播方式和普通的病毒、木马的传播方式类似,大致分为两类:网络传播和计算机硬件传播。网络传播:网络传播,又分为因特网传播和局域网传播两种。
因特网传播可以把电子邮件、浏览网页、下载软件、即时通讯、网络游戏作为媒介进行大范围的传播。局域网传播一般通过局域网资源共享进行传播。计算机硬件传播:这类传播方式包括“通过不可移动的计算机硬件设备传播、通过移动存储设备传播、无线设备传播”。
被伪装系统文件侵袭症状计算机被伪装系统文件侵袭后经常有以下表现:
1)杀毒软件被禁止启动;
2)无法打开任务管理器;
3)无法运行regedit.exe打开注册表;
4)ghost备份文件被删除;
5)无法查看隐藏文件,文件夹选项中没有“不显示隐藏的文件和文件夹”这一项,只能通过搜索获得;
6)无法进入dos和安全模式;
7)windows 自动更新被禁用;
8)系统时间被改;
9)系统运行速度变慢;
10)CPU、内存使用率暴高;
11)伪装系统文件启动其他病毒进程,计算机出现“被关闭→自启”不断循环的病毒进程;
12)可疑系统重装后仍然可能被执行,因为该病毒在每个磁盘根目录复制了执行文件nx.exe和autorun.inf,双击就会运行病毒,但点击磁盘右键看不到自动运行项;
13)在c:/windows/system32目录下有文件RxpMoN.exe。删除该文件后,若病毒被执行则会重新生成 ;
病毒运行原理当我们操作计算机时某些工作需要调用某个系统文件,若此系统文件有相应的伪装文件,我们所调用此系统文件时,对应的伪装文件随之启用。大部分伪装系统文件的进程开启后,这个进程又会开启其他病毒、木马的进程。特别是带有自启动属性的伪装系统文件。
有些伪装系统文件的病毒自动运行并调用执行reg.exe,磁盘双击即会激活该病毒,如果未删除病毒文件,则会开机自动运行。它实际原理是映像劫持,就是杀毒软件、注册表、任务管理器等都被病毒劫持了,当运行杀毒软件、注册表程序时,实际执行的都是病毒进程。 这类病毒伪装成系统文件,所以查杀比普通病毒有难度。
病毒举例伪装者go"(Win32.Troj.Autorun.go.15173)威胁级别:中
病毒特征:该病毒具有伪装性,会伪装成系统的svchost.exe文件,进行替换。结束毒霸反间谍和漏洞修复的功能。信息盗窃者"(Win32.Hack.Unknown.81920)威胁级别:低
病毒特征:该病毒是后门程序,会通过获得用户键盘输入的信息回传到黑客的服务器中,从而达到盗取用户信息的目的。伪装系统文件木马V系列伪装系统文件木马V系列就是reg.exe病毒。AUTO类病毒,可以说是AUto病毒的变种。
感染该病毒的机器运行缓慢,进程中出现很多reg.exe,system32目录下有文件Systom.exe病毒,每个盘符下有nx.exe和 autorun.inf也无法查看到隐藏文件,无法打开任务管理器,regedit.exe册表无法打开,reg.exe病毒一般是在浏览网页时中的,它自动运行并调用执行reg.exe,磁盘双击即会激活该病毒,如果未删除病毒文件,则会开机自动运行。
查杀对于伪装系统文件,正确的杀毒方法是重新装系统后,不要联网,也不要执行其他任务。先安装正版的杀毒软件,进入安全模式杀毒。由于其他盘符下可能也有病毒所以执行全盘查杀。如果知道所中病毒的类型,下载其专杀工具进行查杀,效果还是比较理想的。
reg.exe 病毒清除办法:(特别注意操作过程中右键打开各个本地磁盘,勿用双击打开本地磁盘)
1、结束所有reg.exe和Systom.exe及iexplore.exe进程,在system32下删除Systom.exe,记住先不要双击磁盘。
2、搜索磁盘里的autorun.inf文件及nx.exe病毒,记得搜索包括隐藏文件,全部删除。
3、搜索auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起删除。
4、用auto专杀病毒工具 杀一下。
建议建议广大网民建立良好的网站浏览习惯,进俩个通过正规网站获取所需要的学习;养成良好的软件安装习惯,安装下载软件时尽量到官方网站和正规下载站下载;及时给系统打安全补丁;定期使用电脑体检、修复软件对电脑进行检测、修复。
最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级,将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。
进入暑期,玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
