-
偽裝系統文件
鎖定
- 中文名
- 偽裝系統文件
- 外文名
- Camouflage system files
偽裝系統文件相關背景
“淨藍絲帶”
中國互聯網協會、違法和不良信息舉報中心、反垃圾郵件中心、中國晚報協會記者編輯學會、奇虎公司共同正式宣佈,首個互聯網公益品牌“淨藍絲帶”正式啓動。“淨藍絲帶”是首個互聯網領域的公益品牌,它代表共同抵抗網絡惡意行為,象徵着國家對互聯網行業健康發展的關心和支持,象徵着網民對互聯網熱愛和對純淨互聯網空間的渴望,象徵着互聯網企業關注網民感受,恪守自律的承諾。相信通過這種公益活動的大面積普及和落地,反惡意軟件的勢頭或將掀起新一輪高潮。
系統文件:
系統文件指的是存放操作系統主要文件的文件夾,一般在安裝操作系統過程中自動創建並將相關文件放在對應的文件夾中,這裏面的文件直接影響系統的正常運行,多數都不允許隨意改變。它的存在對維護計算機系統的穩定具有重要作用。
偽裝系統文件:
“偽”字打頭的惡意軟件已經成為最近一段時間惡意軟件的標準動作,為用户的自主判斷增加了更多的難度。同時,一批小集團運作的惡意軟件在技術層面進行了針對性操作,反惡意軟件查殺效果出現不穩定現象。
傳播
網絡傳播:
網絡傳播,又分為因特網傳播和局域網傳播兩種。
計算機硬件傳播:
這類傳播方式包括“通過不可移動的計算機硬件設備傳播、通過移動存儲設備傳播、無線設備傳播”。
被偽裝系統文件侵襲症狀
計算機被偽裝系統文件侵襲後經常有以下表現:
(1)殺毒軟件被禁止啓動;
(2)無法打開任務管理器;
(3)無法運行regedit.exe打開註冊表;
(4)ghost備份文件被刪除;
(6)無法進入dos和安全模式;
(7)windows 自動更新被禁用;
(8)系統時間被改;
(9)系統運行速度變慢;
(11)偽裝系統文件啓動其他病毒進程,計算機出現“被關閉→自啓”不斷循環的病毒進程;
(12)可疑係統重裝後仍然可能被執行,因為該病毒在每個磁盤根目錄複製了執行文件nx.exe和autorun.inf,雙擊就會運行病毒,但點擊磁盤右鍵看不到自動運行項;
(13)在c:/windows/system32目錄下有文件RxpMoN.exe。刪除該文件後,若病毒被執行則會重新生成 ;
病毒運行原理
當我們操作計算機時某些工作需要調用某個系統文件,若此係統文件有相應的偽裝文件,我們所調用此係統文件時,對應的偽裝文件隨之啓用。大部分偽裝系統文件的進程開啓後,這個進程又會開啓其他病毒、木馬的進程。特別是帶有自啓動屬性的偽裝系統文件。
有些偽裝系統文件的病毒自動運行並調用執行reg.exe,磁盤雙擊即會激活該病毒,如果未刪除病毒文件,則會開機自動運行。它實際原理是映像劫持,就是殺毒軟件、註冊表、任務管理器等都被病毒劫持了,當運行殺毒軟件、註冊表程序時,實際執行的都是病毒進程。 這類病毒偽裝成系統文件,所以查殺比普通病毒有難度。
偽裝系統文件病毒舉例
“偽裝者go”(Win32.Troj.Autorun.go.15173)
威脅級別:中
“信息盜竊者”(Win32.Hack.Unknown.81920)
威脅級別:低
偽裝系統文件木馬V系列
感染該病毒的機器運行緩慢,進程中出現很多reg.exe,system32目錄下有文件Systom.exe病毒,每個盤符下有nx.exe和autorun.inf也無法查看到隱藏文件,無法打開任務管理器,regedit.exe冊表無法打開,reg.exe病毒一般是在瀏覽網頁時中的,它自動運行並調用執行reg.exe,磁盤雙擊即會激活該病毒,如果未刪除病毒文件,則會開機自動運行。
查殺
對於偽裝系統文件,正確的殺毒方法是重新裝系統後,不要聯網,也不要執行其他任務。先安裝正版的殺毒軟件,進入安全模式殺毒。由於其他盤符下可能也有病毒所以執行全盤查殺。如果知道所中病毒的類型,下載其專殺工具進行查殺,效果還是比較理想的。
reg.exe 病毒清除辦法:(特別注意操作過程中右鍵打開各個本地磁盤,勿用雙擊打開本地磁盤)
1、結束所有reg.exe和Systom.exe及iexplore.exe進程,在system32下刪除Systom.exe,記住先不要雙擊磁盤。
2、搜索磁盤裏的autorun.inf文件及nx.exe病毒,記得搜索包括隱藏文件,全部刪除。
3、搜索auto.exe、xp.exe、RxpMoN.Exeupxdnd.exe、455373L.exe也一起刪除。
4、用auto專殺病毒工具 殺一下。
建議
建議廣大網民建立良好的網站瀏覽習慣,進倆個通過正規網站獲取所需要的學習;養成良好的軟件安裝習慣,安裝下載軟件時儘量到官方網站和正規下載站下載;及時給系統打安全補丁;定期使用電腦體檢、修復軟件對電腦進行檢測、修復。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:13次歷史版本
- 最近更新: canguanxihu