“硬盘杀手”(Worm.OpaSoft)病毒解决方案
知识库编号: RSV0511064
内容分类: 蠕虫病毒
关键词: 硬盘杀手;Worm.OpaSoft
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
计算机感染了“硬盘杀手”(Worm.OpaSoft)病毒,如何解决?
【病毒介绍】
这是全球第一个可以覆盖硬盘分区的蠕虫病毒,没有采取防护措施的计算机,一旦被感染,硬盘分区将被覆盖,导致硬盘被锁死,硬盘无法使用、所有数据全部被封存。这个病毒的破坏力全面超越了臭名昭著的CIH:它可以在Windows95以上的所有版本的操作系统中运行,将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染,传播能力远远强于CIH!
“硬盘杀手”病毒运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,该病毒文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉,并且不可恢复。
【病毒的发现与清除】
如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、病毒运行时会将自己复制到WINDOWS安装目录下(如果是默认安装则病毒拷贝病毒的目录为:C:WINDOWS),命名为:mqbkup.exe。可以用DOS盘引导系统,在DOS直接删除此文件,或者在WINDOWS系统中用杀毒软件进行内存杀毒。
二、病毒会改写Windows安装目录下的Win.ini文件,在其中加入run=c:windowsmqbkup.exe的内容,用户可以用编辑软件直接编辑此文件,将此内容删除。
三、病毒会在C盘创建19个字节的msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件,用户可以直接将这五个文件删除。
四、病毒会在注册表的自启动项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加入键值mqbkup或者mqbkupdbs,用户可以用注册表编辑工具直接将该键值直接删除。
五、用户如果中了该病毒,则重启时屏幕上会出现以下内容的信息:NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.
不过当用户看到此信息后,则硬盘数据已经被破坏,无法恢复。
【病毒利用的漏洞】
硬盘杀手”病毒的感染对象是操作系统为Windows 95/98/Me的计算机,该病毒进入计算机之后,会利用95/98/Me系统的一个漏洞进行网络传播,其变种的危害范围更是有所扩大,NT、XP等操作系统都会被攻击。
Microsoft在2000年10月10日发布的第72号安全公告中,就提到了这个关于共享级密码的漏洞,这个┒创嬖谟赪indows 95,Windows 98,Windows 98第二版以及Windows Me的系统中。Windows 9x/Me为共享文件和共享打印设备提供密码保护的功能,但是共享文件的密码并不安全,恶意的用户可以利用一个有效的用户名,不必知道完整的用户密码便可访问共享级别的文件。
“硬盘杀手”正是利用Windows的这个系统漏洞大量传播的,它无需知道共享目录的整个密码,只要发送多个单个字符的密码到网络共享目录就可以得到共享目录的访问权限,然后将自身拷入对方电脑中,完成网络感染。
虽然Windows的这个漏洞已经发布了两年有余,但随着“硬盘杀手”的疯狂传播,应再次引起Windows 95/98/Me用户的关注,尽快下载相应的补丁程序。
补丁下载网址:
Microsoft Windows 95
http://download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXE
Microsoft Windows 98 and 98 Second Edition
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE
Microsoft Windows Me
http://download.microsoft.com/download/winme/Update/11958
【预防及修复方法】
1、由于此病毒利用Windows 95/98/ME的安全漏洞进行传播,所以请到以下网址下载相应补丁程序,以防止被感染:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
2、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。瑞星杀毒软件(网络版、单机版)版本15.15.01以上可以查杀此病毒。
3、如果暂时无法下载瑞星杀毒软件的最新版本,而且不确定是否已经被感染,请检查注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。
4、如果用户的机器操作系统是Windows 9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:windowsmqbkup.exe所在的行。
5、在程序任务列表中删除mqbkup.exe。
6、如果系统已经重新启动并显示如下图,请立即关闭机器,切断电源,以免硬盘数据进一步丢失。
【相关链接】
“硬盘杀手”(Worm.OpaSoft)病毒专杀工具(Windows版):
http://it.rising.com.cn/service/technology/Opasoft_download.htm
