爱华网2002年12月27日凌晨,瑞星全球反病毒监测网于国内率先截获一全新的恶性蠕虫病毒,并将它命名为“硬盘杀手”(Worm.OpaSoft)。这个病毒的破坏力全面超越了臭名昭著的CIH病毒:它可以在Windows95以上的所有版本的操作系统中运行,将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染,传播能力远远强于CIH病毒。
硬盘杀手病毒
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
主病毒文件大小:17,408字节
破坏方式:毁坏硬盘数据
警惕程度:★★★★★
病毒杀手_硬盘杀手病毒 -病毒介绍
硬盘杀手病毒
硬盘杀手病毒运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,该病毒文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉,并且不可恢复。
病毒杀手_硬盘杀手病毒 -病毒特征
这是一个可以通过网络传播的蠕虫病毒,使用PECompact压缩过。病毒运行时把自身复制到系统目录下,并修改注册表。病毒利用了Win9X系统的一个漏洞,可以在局域网内迅速传播,即便共享的文件夹设有密码,病毒也能访问。如果是WinNT系统,病毒则通过共享文件夹传播。
该病毒还会获取系统当前时间,如果病毒运行超过两天,则释放病毒文件到C盘根目录下,并用这个文件改写硬盘分区表,当系统重启时显示病毒字符信息,破坏掉硬盘上的数据。
病毒运行后会有如下特征:
1、修改系统文件win.ini中[msappfont]节中value, font, style项(如果该节中不存在这些项,病毒会创建),并将自己执行的日期存在这些项里。
2、如果系统当前日期大于24日并小于31日,或者当前的年数大于2002年,病毒检查自己是否已经有两天未被执行,如果是,病毒接着检查文件c:win.ini是否存在,如果存在该文件,表示该病毒已经执行过感染局域网络的操作。
如果病毒找到该文件,它会进行如下的破坏动作:
1> 创建以下文件:
c:Msdos.sys(19字节)c:Autoexec.bat(15字节)c:Mslicef.com(1706字节)c:Boot.ini(88字节)c:Bootsect.dos(512字节)c:boot.exe(4096字节)
其中当c:boot.exe执行的时候,它会强行重新启动用户机器。当c:Mslicenf.com执行时,它会覆盖掉硬盘的分区表,删除掉CMOS和硬盘上的所有数据,并显示一段信息。
当上述文件被修改或创建后,而系统又重启时,在Win95/98下,c:Mslicenf.com被执行;在Windows Me下,则对c:IO.sys, c:Command.com,c:windowssystemRegenv32.exe打补丁使其可以运行在DOS实模式下。
最后病毒运行Boot.exe重启系统,运行破坏性程序,覆盖掉硬盘的分区表,删除掉CMOS和硬盘上的所有数据,并显示如下信息:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
bsa.org
Business Software Alliance
Promoting a safe & legal online world.
2> 如果不是所有的破坏活动都被执行,病毒会执行如下操作:
复制自己到windows目录下,命名为Mqbkup.exe(变种则命名为mstask.exe),并注册自动运行。它会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加两个键值:mqbkup = %windir%mqbkup.exe和mqbkupdbs = %windir%mqbkup.exe。
然后会搜索局域网中C:被共享的机器,如果找到,复制自己到该机器的c:windowsMqbkup.exe,并修改该机器中c:windowswin.ini目录,修改run的值为c:windowsmqbkup.exe。
病毒杀手_硬盘杀手病毒 -预防和修复
对“硬盘杀手”病毒的预防及修复方法:
1、由于此病毒利用Windows 95/98/ME的安全漏洞进行传播,所以请到以下网址下载相应补丁程序,以防止被感染:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
2、由于该病毒在局域网内发播速度极快,所以局域网用户最好使用网络版杀毒软件,并进行全网查杀。瑞星杀毒软件(网络版、单机版)版本15.15.01以上可以查杀此病毒。
3、如果暂时无法下载瑞星杀毒软件的最新版本,而且不确定是否已经被感染,请检查注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在键值mqbkup或者mqbkupdbs,如果存在请删除此键值。
4、如果用户的机器操作系统是Windows 9X,请用户打开Windows系统目录下的Win.ini文件,删除run=c:windowsmqbkup.exe所在的行。
5、在程序任务列表中删除mqbkup.exe。
6、如果系统已经重新启动并显示如下图,请立即关闭机器,切断电源,以免硬盘数据进一步丢失。
硬盘杀手病毒
病毒杀手_硬盘杀手病毒 -手工清除方法
1、在DOS直接删除C:WINDOWSmqbkup.exe此文件,或者在WINDOWS系统中用杀毒软件进行内存杀毒。
2、修改Windows安装目录下的Win.ini文件,删除其中加入的run=c:windowsmqbkup.exe的内容。
3、删除C盘根目录下19个字节的msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件
4、删除注册表的自启动项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加入键值mqbkup或者mqbkupdbs。
病毒杀手_硬盘杀手病毒 -病毒变种介绍――Worm/Opaserv.q
该变种病毒可删除原来流行的硬盘杀手病毒,而且还会自动从一个指定的网站进行自身升级,以躲避反病毒软件的查杀。
江民反病毒专家介绍,该变种病毒可以通过网络共享以及逻辑C盘,在所有的Windows平台下运行传播感染,并象其他蠕虫病毒一样修改系统注册表,使得每次启动系统时都能自动运行。
硬盘杀手病毒
该变种病毒删除原“屏幕保护”病毒的步骤如下:
该网络蠕虫病毒一旦被执行,就会首先检查电脑系统是否感染了硬盘杀手病毒,如发现电脑中存在硬盘杀手病毒,则立刻进行删除,被删除的程序中包含Windows目录下的三个可执行文件scrsvr.exe、alevir.exe 以及brasil.exe。
随后该变种病毒则连续产生感染、查找以及自动升级三个线程:
第一个线程是感染线程,由该变种病毒自身创建,感染的对象是同一个域中的其他机器,只要有写权限的机器,该病毒都能感染。该病毒之所以能感染主要是利用了共享级别的Windows密码口令的漏洞来感染其他机器,正是由于有此安全漏洞,使得Windows/95/98/ME的系统即使共享目录被密码保护也能感染该病毒。
第二个线程是查找线程:主要功能是查找网络共享的C盘的根目录。该线程反复搜索同一域里的C盘的根目录,并反复搜索。一旦搜索到共享寻址的响应,该变种病毒的第一线程启动,利用Windows可能存在的漏洞进行传播、感染。
第三个线程就是升级线程:和许多的“杀病毒程序”一样,该线程可以自动从一个指定的网站上来升级网络蠕虫自身,以躲避反病毒软件对其的查杀。
病毒杀手_硬盘杀手病毒 -相关报道
首个“硬盘”蠕虫病毒昨被截获
昨天,瑞星全球反病毒监测网于国内首次截获一个新的恶性蠕虫病毒,并将它命名为“硬盘杀手”(worm.opasoft.d)蠕虫病毒,破坏力直逼CIH。
硬盘杀手病毒
据悉,没有采取防护措施的计算机,一旦被感染,硬盘分区将被覆盖,导致硬盘被锁死,除非求助于专业厂商的数据恢复业务,否则计算机的硬盘将无法使用、所有数据全部被封存。“硬盘杀手”病毒的感染对象是操作系统为windows 95/98/Me的计算机,该病毒进入计算机之后,会利用95/98/Me系统的一个漏洞进行网络传播。特别是对于局域网来说,该病毒能在数秒钟之内感染所有机器。
“硬盘杀手”全面爆发 一分钟能破坏10G数据
中国青年报消息,已有近百位用户的计算机被一种名叫“硬盘杀手”的病毒感染。其中大部分用户的数据全部丢失,而且目前国内外所有的反病毒公司都无法恢复被攻击的硬盘。
“硬盘杀手”是2002年12月27日被首次发现的,如今又出现新变种(Worm.Opasoft.e)。瑞星反病毒工程师认为,“硬盘杀手”病毒的杀伤力和传播能力都远强于CIH。而且,“硬盘杀手”会破坏主机上的所有硬盘数据,一分钟之内就可以破坏10G左右的数据。
据悉,“硬盘杀手”是通过Windows的系统漏洞进行破坏的,其变种的危害范围更是有所扩大,除了9×之外,Winme、NT、XP等操作系统都会被攻击。目前,瑞星反病毒技术工程师已“紧急总动员”,升级后的瑞星杀毒软件可以有效防范“硬盘杀手”及其变种。
病毒杀手_硬盘杀手病毒 -相关下载
补丁下载网址:
Microsoft Windows 95
http://download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXE
Microsoft Windows 98 and 98 Second Edition
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE
Microsoft Windows Me
http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE
金山毒霸硬盘杀手病毒专杀工具 http://zhuansha.duba.net/24.shtml
