【正文】 的 文件夾中釋放病毒文件 、 、 、 。 ? 五、病毒的破壞性 ? 在破壞性上，“熊貓燒香”和“磁碟機”都能夠感染電腦內(nèi)的可執(zhí)行文件和網(wǎng)頁文件，導致系統(tǒng)運行緩慢，不同的是，“磁碟機”在感染文件過程中對感染文件進行了加密存放，使得清除病毒難度更大。例如：利用進程守護技術(shù)，發(fā)現(xiàn)病毒文件被刪除或被關(guān)閉，會馬上生成重新運行。 ? 一、傳播途徑 ? “熊貓燒香”病毒有多種傳播方式。 每隔一段時間會檢測自己破壞過的顯示文件、安全模式、 Ifeo、病毒文件等項，如被修改則重新破壞。 ? IceSword的注冊表管理功能，展開注冊表項到： ? [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，刪除里面的 IFEO劫持項。以清除木馬下載器下載的其它病毒。 ? ，避免軟件安裝包被捆綁進木馬病毒。 ? ? ? 最后，要限制 SAFEBOOT的讀寫權(quán)，達到限制“ AV終極者”修改或刪除 Drives， 保護安全模式正常運行的目的。 ? 二、徹底清楚“ AV終結(jié)者” ? 運行“任務管理器”，結(jié)束“ ”進程，單擊“任務管理器的”文件菜單，選擇“新建任務”，輸入“ regedit”， 找到 HEKEYLOCALMACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,將 Checkedvalue的的鍵值改為“ 1”。 ? “映象劫持”會在注冊表的“ HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一個以殺毒軟件和安全工具程序名稱命名的項。 ? 一、什么是“ AV終結(jié)者” ? “ AV終結(jié)者”病毒運行后會在系統(tǒng)中生成如下幾個文件：C:\program files\mon files\microsoft shared\msinfo\隨機生成病毒名 .dat、 C:\program files\mon files\microsoft shared\msinfo\隨機生成病毒名 .dll、 C:\windows\隨機生成病毒名 .chm ? “AV終結(jié)者”的病毒名是由大寫字母 +數(shù)字隨機組合而成 ，其長度為 8位，可以說生成同名病毒的概率是很低的。此外 ,它還會造成電腦無法進入 安全模式 ,并可通過可移動磁盤傳播。同時它會下載并運行其他盜號病毒和 惡意程序 ,嚴重威脅到用戶的網(wǎng)絡個人財產(chǎn)。 ? “ AV終結(jié)者”是由隨機 8位數(shù)字和字母組合而成的病毒 ,是閃存寄生病毒，它是通過閃存等存儲介質(zhì)或者注入服務器來實現(xiàn)的。當殺毒軟件暫時失去作用時，病毒就會乘勝追擊，通過一種“映象劫持”技術(shù)將殺毒軟件徹底打入死牢。最重要的是，病毒會從網(wǎng)絡上下載大量盜號木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。操作方法如下：開始 ——運行，輸入 regedit32，找到 HEKEYLOCALMACHINE\software\microsoft\windows NT\currentversion\image file execution options， 右擊此選項，在彈出的菜單中選擇“權(quán)限”，然后把 administrors用戶組和 users用戶組的權(quán)限全部取消即可。 1. 生成很多 8位數(shù)字或字母隨機命名的病毒程序文件，并在電腦開機時自動運行。為該病毒的下一步破壞打開方便之門。這里要注意的是，很多用戶格式化系統(tǒng)分區(qū)后重裝，訪問其它磁盤，立即再次中毒，用戶會感覺這病毒格式化也不管用。 ? 3. 即時更新殺毒軟件病毒庫，做到定時 升級 ，定時殺毒。） ? 4. 不要立即重啟電腦，然后啟動殺毒軟件，升級 病毒庫 ，進行全盤掃描。有時電腦中毒后可能無法查看隱藏文件，這時可以利用WinRar軟件的文件管理功能來瀏覽文件和進行刪除操作。 病毒在每個磁盤下生成 文件，并每隔幾秒檢測文件是否存在，修改注冊表鍵值，破壞“顯示系統(tǒng)文件”功能。由于該病毒編寫存在一些問題，可能會造成用戶安裝的軟件被損壞，無法使用。 ? 而“磁碟機”在自我保護和隱藏技術(shù)上幾乎無所不用其極，通過十余種技術(shù)來達到自我保護的目的。 ? 反病毒專家甚至懷疑，“磁碟機”病毒使用了光纖接入的升級服務器，能夠?qū)崿F(xiàn)在下載量很大的情況下，病毒體也可以瞬間自動完成更新。 ? 病毒運行原理 ? 病毒運行后首先會在 C盤根目錄下釋放病毒驅(qū)動 ， 該驅(qū)動用來恢復 SSDT， 把殺毒軟件掛的鉤子全部卸掉。 ? 7． 通過 calcs命令啟動病毒進程得到完全控制權(quán)限，使得其他進程無法訪問該進程。動態(tài)庫被加載后會進行以下操作： ? 1． 判斷自己所在進程是否是 、 、 ， 如果是則退出。 ? 防范措施 ? 免疫方法 】 使用 360安全衛(wèi)士“清理惡評插件”功能先進行檢測，在彈出的免疫提示框中選擇確定 下載 360磁碟機病毒專殺工具，選擇“開啟免疫” 【 免疫原理 】 通過 host表屏蔽磁碟機病毒升級及下載站點 通過免疫文件保護防止磁碟機病毒文件創(chuàng)建 ? 解決辦法 ? 在某些沒有任何防御措施的電腦上，可能磁碟機專殺工具一運行就會被刪除。 ? 用 WinRAR的資源管理功能改名 ? 重啟系統(tǒng)，檢查 system32和 dllcache目