IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

再谈“菜鸟级用户应对磁碟机中招”问题

2008年03月26日
IXPUB社区/

  以前发过帖子,谈过菜鸟也能暂时解决磁碟机中招问题。但多数人按照那个流程做不下来。还有人说不能彻底解决感染文件的问题。
是的。这个办法只是去除系统分区的病毒文件。单分区系统,这样就能搞掂了(磁碟机不感染系统分区文件)。
多分区系统的非系统分区依然有被病毒感染的文件;用户运行这些被感染文件,依然会完全激活磁碟机病毒。
被感染文件数目的多寡,取决于每个用户非系统分区存放的文件类型及数量。总之,非系统分区的被感染文件要靠杀软或专杀工具解决,因为数量较大,且去除被感染文件中的病毒代码也不是手工操作能胜任的。
此外,搞掂系统分区的所有病毒文件后,只要暂时不进非系统分区,不会再次激活此毒。

为了说明问题,如下图所示,彻底让我的系统中了这个2008-02-25新出的磁碟机变种。然后,再用更改系统文件名的办法搞掂系统分区的病毒。详细过程如下(仅供有实际动手能力者参考):

1、(图最下部棕色框):彻底关闭所有安全软件。
2、(图中部粉色框):去掉先前定义的预防“磁碟机”的“软件限制策略。
以上两步的目的是确保磁碟机病毒能实机完整运行。
3、运行磁碟机样本setup.exe。
4、(图下部三个绿色框):按照I386、dllcache、system32的顺序,依次去除这三个文件夹中cmd.exe、cacls.exe的后缀。此过程中,“WINDOWS文件保护机制”被触发,操作过程中会出现系统报警:WINDOWS系统程序被替换为不可识别的版本。这是我们改动cmd.exe和cacls.exe文件名的结果。依次在提示框中点击“取消”、“是”即可。
5、重启系统。
6、(图上部红色框):重启系统后,因为无cmd.exe和cacls.exe可用,磁碟机病毒无法完整运行。IceSword、SRENG等常用工具已可正常使用。手工删除系统分区的所有病毒文件即可。
非系统分区根目录下的autorun.inf和pagefile.pif也可手工删除。至于非系统分区的被感染文件————等待杀软更新后或找管用的专杀工具处理。

 

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

UTM安全革命:谁说鱼与熊掌不能兼得?
UTM安全革命:谁说鱼与熊掌不能兼得?随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀仅限于单功...
UTM革命:“一键配置”轻松搞定网关安全
UTM革命:“一键配置”轻松搞定网关安全发布时间:2009-9-14 15:09:33 UTM 革命:一键配置搞定网关安全 摘要:联想网御 P...

本类热点