Última versión del virus de la unidad de disco
Después de ejecutar el virus, primero liberará el controlador de virus NetApi000.sys en el directorio raíz de la unidad C, que se utiliza para restaurar SSDT y desinstalar todos los ganchos colgados por el software antivirus. Luego, los archivos de virus smss.exe, netcfg.dll, netcfg.000,
Luego, el programa sale y ejecuta el archivo lsass.exe que acaba de descargar.
Después de ejecutar lsass.exe, elimina los archivos de virus eliminados. Después de ejecutar el exe, liberará el archivo recién publicado en la carpeta com y un nuevo archivo de biblioteca de vínculos dinámicos dnsq.dll en la carpeta system32, y luego generará dos archivos de registro con nombres aleatorios, a saber, lsass.exe y Copia de dnsq.dll. y luego haga lo siguiente:
1. Descargue script/data.gif desde la siguiente URL y busque la ventana "Programas MCI". Si la ventana "Aplicación MCI Program Com" no existe, se ejecuta el programa descargado.
9. Este virus se fragmentará, se multiplicará rápidamente, bloqueará el disco y lo hará inaccesible, lo que provocará que la computadora se congele, aparezca una pantalla azul, se apague automáticamente y elimine los archivos de arranque. (
Evaluación completa
[editar]
Este virus tiene muchas variantes y se actualiza y actualiza constantemente. Puede evitar la tecnología de defensa activa, Hips y Byshell. , monitorear archivos y ventanas, destruir políticas de grupo/IFEO, infección de disco U, protección de procesos, cerrar la mayoría del software antivirus y bloquear herramientas de seguridad comunes, infectar EXE y otros archivos en particiones que no son del sistema (incluidos archivos exe en rar), cerrar Las actualizaciones automáticas para destruir el modo seguro, eliminar la opción de mostrar archivos ocultos protegidos del sistema, activar la reproducción y ejecución automática de la unidad, los anuncios emergentes del navegador, el uso de suplantación de identidad ARP y otros malos comportamientos han dificultado la resistencia de los usuarios comunes. durante días.
Recientemente, el virus de la "unidad de disco" ha causado un gran revuelo en Internet. Debido a que el virus ha dañado gravemente los sistemas informáticos de muchas empresas y usuarios individuales, ha provocado la condena unánime de los usuarios de computadoras. En todo el país, cada vez más fabricantes de antivirus se han unido al virus de la "unidad de disco", y ha comenzado otra guerra antivirus.
La guerra del virus "Panda Burning Incense" del año pasado todavía está fresca. La mente de la gente, porque el virus produjo una gran cantidad de imágenes de pandas sosteniendo tres varitas de incienso en las computadoras. El patrón alguna vez causó acaloradas discusiones y pánico entre los usuarios de computadoras en todo el país. Sin embargo, el virus "Disk Drive" no parece ser tan así. popular como "Panda Burning Incense", pero muchos expertos en antivirus coinciden en que "Disk Drive" es diez veces más dañino que "Panda Burning Incense".
Experto en antivirus: es "Drive Letter". ¿Diez veces más dañino que "Panda Burning Incense"?
El experto en antivirus, Sr. He Gongdao, analizó recientemente el virus de la "unidad de disco" y se analizó comparativamente el virus "Panda Burning Incense", a partir del cual nosotros. Puede ver por qué el virus "Disk Drive"
El virus "Panda Burning Incense" se propaga más rápido que el virus "Disk Drive", mientras que el virus "Disk Drive" se propaga más rápido El virus de la máquina se propaga más lentamente que el " Virus "Panda Burning Incense".
1. Métodos de transmisión
El virus "Panda Burning Incense" se propaga de varias maneras. A través de discos U y El virus de la "unidad de disco" infectado utiliza "ARP virus" se propaga dentro de la red de área local ingresando a algunos sitios web grandes y utilizando métodos normales de montaje de páginas web. Y ejecuta automáticamente más de 20 virus. A través de estos virus, el virus de la "unidad de disco" puede propagarse instantáneamente por toda la red.
El virus de la "unidad de disco" puede propagarse instantáneamente por toda la red informática.
p>La "unidad de disco" también se puede propagar a través de discos U y soportes de páginas web, pero actualmente existen. No hay casos de autores de virus que irrumpan en sitios web grandes para aumentar la propagación. Por eso "Disk Drive" no es tan bueno como "Panda Burning Incense" en términos de propagación.
Esta es también la razón por la que la propagación actual de "Disk Drive" no es tan amplia como la de "Panda Burning Incense", pero si el autor del virus lo propaga a gran escala de esta manera, las consecuencias serán desastrosas.
2. La capacidad de contraatacar al software antivirus
Tanto el virus "Panda Burning Incense" como el "Disk Drive" tienen la capacidad de contraatacar al software antivirus, pero la diferencia es Ese "Panda Burning Incense" solo puede defenderse enviando un mensaje de cierre. "Panda Burning Incense" solo apaga el software antivirus enviando un mensaje de apagado, mientras que "Disk Drive" destruye el monitoreo del software antivirus generando un controlador accesible al kernel, deshabilitando la función de monitoreo del antivirus. software y luego apaga el software antivirus y evita que el software antivirus se actualice y bloquea la corriente principal. Esta es también la primera vez que "Panda Burning Incense" instala software antivirus en una página web.
En este punto, "Disk Drive" es mucho mejor que el virus "Panda Burning Incense". El virus "Panda Burning Incense" una vez provocó el cierre de algún software antivirus con débiles capacidades de defensa activa. La "unidad de disco" puede desactivar algunos programas antivirus convencionales, razón por la cual, después de que muchas empresas se encuentran con el virus de la "unidad de disco", casi ninguna computadora en toda la LAN puede sobrevivir al desastre del virus.
3. Fuertes capacidades de autoprotección y ocultación
"Panda Burning Incense" tiene protección de proceso. El virus primero genera un programa de servicio del sistema para proteger su proceso para que no se cierre. como el virus Una vez que se genera un servicio del sistema, su proceso se puede cerrar fácilmente.
"Driver" utiliza casi todos los medios posibles de autoprotección y técnicas de ocultamiento, utilizando más de una docena de técnicas para lograr el propósito de autoprotección. Por ejemplo, al utilizar la tecnología de demonio de proceso, si se descubre que un archivo de virus se elimina o se cierra, se generará una nueva ejecución inmediatamente. El programa de virus se ejecuta con permisos a nivel del sistema y el componente DLL se insertará en casi todos los procesos del sistema para cargar y ejecutar (incluidos los procesos con permisos a nivel del sistema). Utilice la tecnología de reescritura de apagado para guardar el cuerpo principal del programa de virus en la carpeta [Inicio] cuando la computadora esté apagada para permitir el inicio. Después de que se inicie el sistema, elimine el cuerpo del virus en la carpeta [inicio] para lograr el propósito de ocultar el inicio y no ser descubierto por los usuarios. Utilice tecnología anti-HIPS para evitar el seguimiento de algunos programas de defensa activos "HIPS".
3. Utilice el servidor con acceso a fibra para actualizar rápidamente el virus y luego actualícelo rápidamente para evitar la detección por parte del software antivirus.
4. Hay muchas variantes de virus y una rápida velocidad de actualización automática
Porque la tecnología de "Panda Burning Incense" es más simple que la de la "unidad de disco" y el código fuente puede filtrarse, el virus Hay muchas variantes, y "unidad de disco" se debe al programa de virus, y "unidad de disco" se debe a la complejidad del programa de virus, y su código fuente no debe haberse filtrado en línea, por lo que sólo hay dos o tres variantes por semana, como máximo un día. La velocidad de las dos variantes, aunque en comparación con "Panda Burning Incense", es ligeramente inferior en el número de variantes, "Disk Drive" es la máxima prioridad. "Disk Drive" tiene actualizaciones en línea muy rápidas.
Los expertos en antivirus incluso sospechan que el virus de la "unidad de disco" utiliza fibra óptica para acceder al servidor de actualización, lo que puede lograr descargas a gran escala, y el virus también puede completar automáticamente las actualizaciones en un instante.
5. Capacidad destructiva de los virus
En términos de destructividad, tanto "Panda Burning Incense" como "Disk Drive" pueden infectar archivos ejecutables del ordenador y páginas web, provocando que el sistema funcione lentamente. La diferencia con "Unidad de disco" es que "Unidad de disco" cifra los archivos infectados durante el proceso de infección, lo que dificulta la eliminación del virus. Ambos pueden vincularse a páginas web maliciosas para descargar troyanos, pero en términos de número de troyanos descargados, "Disk Drive" supera con creces a "Panda Burning Incense". "Panda Burning Incense" puede descargar más de 20 tipos de troyanos y "Disk Drive" también puede descargar más de 20 tipos.
"Panda Burning Incense" puede descargar más de 20 tipos de troyanos y "Disk Drive" puede descargar más de 20 tipos de troyanos. "Panda Burning Incense" puede descargar más de 20 tipos de troyanos.
La "unidad de disco" utiliza virus ARP para provocar enormes accidentes catastróficos a los usuarios de LAN corporativas.
Dado que la "unidad de disco" puede infectar instantáneamente todos los ordenadores de la LAN con la ayuda de virus ARP, interrumpe el funcionamiento de muchas unidades y provoca pérdidas inconmensurables.
En quinto lugar, el virus de la "unidad de disco" se propaga extremadamente rápido en la LAN y puede infectar todas las computadoras de la LAN en un corto período de tiempo.
6. Manifestación del virus
En términos de expresión, el rendimiento de "Panda Burning Incense" es muy obvio. Después de infectar el archivo ejecutable, el patrón "Panda Burning Incense". se genera, lo cual es muy fácil de juzgar. La infección de la "unidad de disco" es muy discreta y encubierta. Intentó todos los medios para ocultar sus rastros. Es difícil para los usuarios comunes encontrar rastros de envenenamiento en la superficie. Muchos usuarios aún no saben que han sido envenenados, simplemente sienten que el sistema parece estar desacelerando. otros síntomas anormales obvios.
El virus de la "unidad de disco" también se disfraza deliberadamente como un virus discreto, esperando oportunidades para robar la privacidad y la información confidencial de los usuarios, incluidas cuentas de juegos y contraseñas de cuentas para banca y comercio de valores en línea. Esto es más descarado que el virus "Panda Burning Incense". Es más aterrador que el descarado robo de cuentas de "Panda Burning Incense".