簡介
“硬碟殺手”病毒下載瑞星“硬碟殺手”專殺工具 http://app.wx88.net/virus_new/bdgg/old/viruskiller.exe 下載微軟補丁程式 http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
==========================================================================
能夠毀壞硬碟所有數據的“硬碟殺手”病毒
這是全球第一個可以覆蓋硬碟分區的蠕蟲病毒,沒有採取防護措施的計算機,一旦被感染,硬碟分區將被覆蓋,導致硬碟被鎖死,硬碟無法使用、所有數據全部被封存。
瑞星權威反病毒工程師鄭重告知廣大用戶:由越來越多的多項權威數據和近百塊受害用戶硬碟的受損情況來看,“硬碟殺手”的破壞力是有史以來最兇狠的,對用戶數據的破壞程度更是致命的。
特性
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
主病毒檔案大小:17,408位元組
破壞方式:毀壞硬碟數據
警惕程度:★★★★★
病毒介紹:
12月27日凌晨,瑞星全球反病毒監測網於國內率先截獲一全新的惡性蠕蟲病毒,並將它命名為“硬碟殺手”(Worm.OpaSoft)。這個病毒的破壞力全面超越了臭名昭著的CIH:它可以在Windows95以上的所有版本的作業系統中運行,將用戶計算機上的所有硬碟里的所有資料瞬間清除並且無法恢復。另外該病毒還可以利用網路漏洞和已分享資料夾進行網路感染,傳播能力遠遠強於CIH!
“硬碟殺手”病毒運行時會首先將自己複製到系統目錄下,然後修改註冊表進行自啟動。病毒會通過9X系統的漏洞和已分享檔案夾進行瘋狂網路傳播,即使網路已分享檔案夾有共享密碼,病毒也能傳染。如果是NT系列系統,則病毒會通過已分享檔案夾感染網路。病毒會獲取當前時間,如果病毒已經運行兩天,則病毒會在C糟下寫入病毒檔案,該病毒檔案會改寫硬碟分區表,當系統重啟時,會出現病毒信息,並將硬碟上所有數據都破壞掉,並且不可恢復。
病毒發現與清除:
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
一、病毒運行時會將自己複製到WINDOWS安裝目錄下(如果是默認安裝則病毒拷貝病毒的目錄為:C:\WINDOWS),命名為:mqbkup.exe。可以用DOS盤引導系統,在DOS直接刪除此檔案,或者在WINDOWS系統中用防毒軟體進行記憶體防毒。
二、病毒會改寫Windows安裝目錄下的Win.ini檔案,在其中加入run=c:\windows\mqbkup.exe的內容,用戶可以用編輯軟體直接編輯此檔案,將此內容刪除。
三、病毒會在C糟創建19個位元組的MSDOS.SYS檔案、1706個位元組的Mslicenf.com檔案、88個位元組的Boot.ini檔案、4096個位元組的boot.exe檔案、15個位元組的Autoexe.bat檔案,用戶可以直接將這五個檔案刪除。
四、病毒會在註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入鍵值mqbkup或者mqbkupdbs,用戶可以用註冊表編輯工具直接將該鍵值直接刪除。
五、用戶如果中了該病毒,則重啟時螢幕上會出現以下內容的信息:NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org Business Software Alliance
Promoting a safe & legal online world.
不過當用戶看到此信息後,則硬碟數據已經被破壞,無法恢復。
===============================================================
“硬碟殺手”病毒預防和修復
對“硬碟殺手”病毒的預防及修複方法:
1、由於此病毒利用Windows 95/98/ME的安全漏洞進行傳播,所以請到以下網址下載相應補丁程式,以防止被感染:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
2、由於該病毒在區域網路內發播速度極快,所以區域網路用戶最好使用網路版防毒軟體,並進行全網查殺。瑞星防毒軟體(網路版、單機版)版本15.15.01以上可以查殺此病毒。
3、如果暫時無法下載瑞星防毒軟體的最新版本,而且不確定是否已經被感染,請檢查註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在鍵值mqbkup或者mqbkupdbs,如果存在請刪除此鍵值。
4、如果用戶的機器作業系統是Windows 9X,請用戶打開Windows系統目錄下的Win.ini檔案,刪除run=c:\windows\mqbkup.exe所在的行。
5、在程式任務列表中刪除mqbkup.exe。
6、如果系統已經重新啟動並顯示如下圖,請立即關閉機器,切斷電源,以免硬碟數據進一步丟失。
=================================================================
“硬碟殺手”廣泛傳播 源於Windows 9x/ME的漏洞
12月27日凌晨,被瑞星全球反病毒監測網於國內首次截獲的惡性蠕蟲病毒“硬碟殺手”(Worm.OpaSoft)近日大面積爆發。這個病毒的破壞力直逼臭名昭著的CIH,而且依靠網路的已分享資料夾感染計算機,傳播能力遠遠強於CIH。
“硬碟殺手”病毒的感染對象是作業系統為Windows 95/98/Me的計算機,該病毒進入計算機之後,會利用95/98/Me系統的一個漏洞進行網路傳播,其變種的危害範圍更是有所擴大,NT、XP等作業系統都會被攻擊。
Microsoft在2000年10月10日發布的第72號安全公告中,就提到了這個關於共享級密碼的漏洞,這個漏洞存在於Windows 95,Windows 98,Windows 98第二版以及Windows Me的系統中。Windows 9x/Me為已分享檔案和共享列印設備提供密碼保護的功能,但是已分享檔案的密碼並不安全,惡意的用戶可以利用一個有效的用戶名,不必知道完整的用戶密碼便可訪問共享級別的檔案。
“硬碟殺手”正是利用Windows的這個系統漏洞大量傳播的,它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到網路已分享資料夾就可以得到已分享資料夾的訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
雖然Windows的這個漏洞已經發布了兩年有餘,但隨著“硬碟殺手”的瘋狂傳播,應再次引起Windows 95/98/Me用戶的關注,儘快下載相應的補丁程式。
補丁下載網址:
Microsoft Windows 95
http://download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXE
Microsoft Windows 98 and 98 Second Edition
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE
Microsoft Windows Me
http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE
==================================================================
“硬碟殺手”主攻區域網路用戶
快訊:瑞星技術服務中心訊息:今天“硬碟殺手”病毒繼續作惡,已製造上百起用戶硬碟數據被毀事件。
瑞星公司統計顯示:被破壞的用戶多為企業用戶(區域網路用戶),大約占總數量的80%,個人用戶占少數,感染用戶為全國範圍,目前感染破壞電腦數量尚無法統計。
南方某商業企業全網被感染,病毒發作導致營業網點癱瘓,破壞速度奇快,數據無法修復,只能重裝整個系統。
針對“硬碟殺手”病毒的瘋狂發作,瑞星公司高度重視,在向相關主管部門及時通報情況的同時,積極採取各種措施通知媒體和用戶,緊急調派技術人員為用戶提供支持服務。
值得注意的是:“硬碟殺手”的傳播方式,導致了區域網路用戶遭受巨大的威脅,就目前企業、事業單位的套用現狀,對數據的備份和應急處理措施都不完善,而且“硬碟殺手”病毒對數據的破壞極為嚴重,用垃圾信息覆蓋硬碟內容,寫入速度很快,受損用戶硬碟數據無法恢復,導致信息永久性丟失、用戶損失慘重。
更為嚴重的是,目前大多數企業級用戶並沒有配備網路版防毒軟體,僅僅依靠單機版防毒軟體逐台電腦清除病毒,遠遠趕不上該病毒在網路中的蔓延速度。瑞星防毒軟體網路版可以進行全網同時防毒操作,保障每台計算機都被掃描清除病毒,能夠有效對抗這種網路病毒的肆意泛濫。
===================================================
“硬碟殺手”已破壞上百用戶硬碟
從瑞星全國反病毒服務網得到的最新訊息,已有近百位用戶的計算機被感染,其中大部分用戶的數據全部丟失,而且目前國內外所有的反病毒公司都無法恢復被攻擊的硬碟。
今日從瑞星公司獲悉,該病毒又突現新變種(Worm.Opasoft.e)。瑞星反病毒工程師認為,“硬碟殺手”病毒的殺傷力和傳播能力都遠強於CIH,敬請用戶提高警惕!
用戶一旦被感染,該病毒會破壞主機上的所有硬碟數據。(如果用戶安裝了三塊硬碟,則三塊硬碟資料都被破壞);該病毒破壞速度驚人,一分鐘之內就可以破壞10G左右的數據,硬碟一旦被破壞,數據將不可恢復。
瑞星工程師認為,這個病毒的破壞力強於CIH,因為CIH病毒破壞的硬碟有90%恢復的可能性。CIH破壞速度比較慢,而且被感染計算機經常在破壞程式運行之中關機,因此能保留一部分硬碟數據。
“硬碟殺手”是通過Windows的系統漏洞進行破壞的,其變種的危害範圍更是有所擴大,除了9X之外,Winme、NT、XP等作業系統都會被攻擊。對於沒有下載微軟補丁程式的用戶來說,有可能被郵件感染,也有可能在上網的時候被感染。對於區域網路用戶來說,只要有一台機器被感染,病毒可以在數秒鐘之內通過已分享資料夾感染所有的機器,包括設定了共享密碼的計算機。
===============================================================================================
“硬碟殺手”驚現 破壞力直逼CIH
【快訊】 12月27日凌晨,瑞星全球反病毒監測網於國內首次截獲一個新的惡性蠕蟲病毒,並將它命名為“硬碟殺手”(Worm.OpaSoft.d)。這個病毒的破壞力直逼臭名昭著的CIH,而且依靠網路的已分享資料夾感染計算機,傳播能力遠遠強於CIH。
這是全球第一個可以覆蓋硬碟分區的蠕蟲病毒,沒有採取防護措施的計算機,一旦被感染,硬碟分區將被覆蓋,導致硬碟被鎖死,硬碟無法使用、所有數據全部被封存。
傳播過程:隱蔽、迅速
“硬碟殺手”病毒的感染對象是作業系統為Windows 95/98/Me的計算機,該病毒進入計算機之後,會利用95/98/Me系統的一個漏洞進行網路傳播。它無需知道已分享資料夾的整個密碼,只要傳送多個單個字元的密碼到網路已分享資料夾就可以得到已分享資料夾的訪問許可權,然後將自身拷入對方電腦中,完成網路感染。
特別是對於區域網路來說,該病毒能在數秒鐘之內感染所有機器。
因為該病毒進入計算機之後,會在記憶體中創建一個互斥體,不重複感染記憶體,所以病毒在傳播時用戶絲毫不會感到計算機有任何異常。
破壞過程:一刀斃命
在利用被感染機器進行傳播的同時,該病毒釋放出一個COM型病毒檔案,將用戶的硬碟分區用該COM檔案進行覆蓋。
當用戶第二次啟動計算機時,硬碟便被鎖死,螢幕上則會顯示以下信息:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.
此時用戶已經無法做任何操作,即使用普通DOS啟動盤也進入不了硬碟。
