硬碟殺手病毒

硬碟殺手病毒

病毒類型：蠕蟲病毒
發作時間：隨機
傳播方式：網路/郵件
感染對象：網路
主病毒檔案大小：17,408位元組
破壞方式：毀壞硬碟數據
警惕程度：★★★★★

病毒介紹

硬碟殺手病毒

硬碟殺手病毒運行時會首先將自己複製到系統目錄下，然後修改註冊表進行自啟動。病毒會通過9X系統的漏洞和已分享檔案夾進行瘋狂網路傳播，即使網路已分享檔案夾有共享密碼，病毒也能傳染。如果是NT系列系統，則病毒會通過已分享檔案夾感染網路。病毒會獲取當前時間，如果病毒已經運行兩天，則病毒會在C糟下寫入病毒檔案，該病毒檔案會改寫硬碟分區表，當系統重啟時，會出現病毒信息，並將硬碟上所有數據都破壞掉,並且不可恢復。

病毒特徵

這是一個可以通過網路傳播的蠕蟲病毒，使用PECompact壓縮過。病毒運行時把自身複製到系統目錄下，並修改註冊表。病毒利用了Win9X系統的一個漏洞，可以在區域網路內迅速傳播，即便共享的資料夾設有密碼，病毒也能訪問。如果是WinNT系統，病毒則通過已分享檔案夾傳播。

該病毒還會獲取系統當前時間，如果病毒運行超過兩天，則釋放病毒檔案到C糟根目錄下，並用這個檔案改寫硬碟分區表，當系統重啟時顯示病毒字元信息，破壞掉硬碟上的數據。

病毒運行後會有如下特徵：

1、修改系統檔案win.ini中[msappfont]節中value, font, style項（如果該節中不存在這些項，病毒會創建），並將自己執行的日期存在這些項里。

2、如果系統當前日期大於24日並小於31日，或者當前的年數大於2002年，病毒檢查自己是否已經有兩天未被執行，如果是，病毒接著檢查檔案c:\win.ini是否存在，如果存在該檔案，表示該病毒已經執行過感染區域網路的操作。

如果病毒找到該檔案，它會進行如下的破壞動作：

1> 創建以下檔案：

當上述檔案被修改或創建後，而系統又重啟時，在Win95/98下，c:\Mslicenf.com被執行；在Windows Me下，則對c:\IO.sys， c:\Command.com，c:\windows\system\Regenv32.exe打補丁使其可以運行在DOS實模式下。

最後病毒運行Boot.exe重啟系統，運行破壞性程式，覆蓋掉硬碟的分區表，刪除掉CMOS和硬碟上的所有數據，並顯示如下信息：

2> 如果不是所有的破壞活動都被執行，病毒會執行如下操作：

複製自己到windows目錄下，命名為Mqbkup.exe(變種則命名為mstask.exe)，並註冊自動運行。它會在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加兩個鍵值：mqbkup = %windir%\mqbkup.exe和mqbkupdbs = %windir%\mqbkup.exe。

然後會搜尋區域網路中C:\被共享的機器，如果找到，複製自己到該機器的c:\windows\Mqbkup.exe，並修改該機器中c:\windows\win.ini目錄，修改run的值為c:\windows\mqbkup.exe。

預防和修復

對“硬碟殺手”病毒的預防及修複方法：

1、由於此病毒利用Windows 95/98/ME的安全漏洞進行傳播，所以請到以下網址下載相應補丁程式，以防止被感染：
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

2、由於該病毒在區域網路內發播速度極快，所以區域網路用戶最好使用網路版防毒軟體，並進行全網查殺。瑞星防毒軟體（網路版、單機版）版本15.15.01以上可以查殺此病毒。

3、如果暫時無法下載瑞星防毒軟體的最新版本，而且不確定是否已經被感染，請檢查註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否存在鍵值mqbkup或者mqbkupdbs，如果存在請刪除此鍵值。

4、如果用戶的機器作業系統是Windows 9X，請用戶打開Windows系統目錄下的Win.ini檔案，刪除run=c:\windows\mqbkup.exe所在的行。

5、在程式任務列表中刪除mqbkup.exe。

6、如果系統已經重新啟動並顯示如下圖，請立即關閉機器，切斷電源，以免硬碟數據進一步丟失。

硬碟殺手病毒

手工清除方法

1、在DOS直接刪除C:\WINDOWS\mqbkup.exe此檔案，或者在WINDOWS系統中用防毒軟體進行記憶體防毒。

2、修改Windows安裝目錄下的Win.ini檔案，刪除其中加入的run=c:\windows\mqbkup.exe的內容。

3、刪除C糟根目錄下19個位元組的msdos.sys檔案、1706個位元組的Mslicenf.com檔案、88個位元組的Boot.ini檔案、4096個位元組的Boot.exe檔案、15個位元組的Autoexe.bat檔案

4、刪除註冊表的自啟動項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入鍵值mqbkup或者mqbkupdbs。

病毒變種介紹——Worm/Opaserv.q

該變種病毒可刪除原來流行的硬碟殺手病毒，而且還會自動從一個指定的網站進行自身升級，以躲避反病毒軟體的查殺。

江民反病毒專家介紹，該變種病毒可以通過網路共享以及邏輯C糟，在所有的Windows平台下運行傳播感染，並象其他蠕蟲病毒一樣修改系統註冊表，使得每次啟動系統時都能自動運行。

硬碟殺手病毒

該變種病毒刪除原“螢幕保護”病毒的步驟如下：

該網路蠕蟲病毒一旦被執行，就會首先檢查電腦系統是否感染了硬碟殺手病毒，如發現電腦中存在硬碟殺手病毒，則立刻進行刪除，被刪除的程式中包含Windows目錄下的三個執行檔scrsvr.exe、alevir.exe 以及brasil.exe。

隨後該變種病毒則連續產生感染、查找以及自動升級三個執行緒：

第一個執行緒是感染執行緒，由該變種病毒自身創建，感染的對象是同一個域中的其他機器，只要有寫許可權的機器，該病毒都能感染。該病毒之所以能感染主要是利用了共享級別的Windows密碼口令的漏洞來感染其他機器，正是由於有此安全漏洞，使得Windows/95/98/ME的系統即使已分享資料夾被密碼保護也能感染該病毒。

第二個執行緒是查找執行緒：主要功能是查找網路共享的C糟的根目錄。該執行緒反覆搜尋同一域裡的C糟的根目錄，並反覆搜尋。一旦搜尋到共享定址的回響，該變種病毒的第一執行緒啟動，利用Windows可能存在的漏洞進行傳播、感染。

第三個執行緒就是升級執行緒：和許多的“殺病毒程式”一樣，該執行緒可以自動從一個指定的網站上來升級網路蠕蟲自身，以躲避反病毒軟體對其的查殺。

相關報導

首個“硬碟”蠕蟲病毒昨被截獲

昨天，瑞星全球反病毒監測網於國內首次截獲一個新的惡性蠕蟲病毒，並將它命名為“硬碟殺手”(worm.opasoft.d)蠕蟲病毒，破壞力直逼CIH。

硬碟殺手病毒

“硬碟殺手”全面爆發 一分鐘能破壞10G數據

中國青年報訊息，已有近百位用戶的計算機被一種名叫“硬碟殺手”的病毒感染。其中大部分用戶的數據全部丟失，而且目前國內外所有的反病毒公司都無法恢復被攻擊的硬碟。

“硬碟殺手”是2002年12月27日被首次發現的，如今又出現新變種(Worm.Opasoft.e)。瑞星反病毒工程師認為，“硬碟殺手”病毒的殺傷力和傳播能力都遠強於CIH。而且，“硬碟殺手”會破壞主機上的所有硬碟數據，一分鐘之內就可以破壞10G左右的數據。

據悉，“硬碟殺手”是通過Windows的系統漏洞進行破壞的，其變種的危害範圍更是有所擴大，除了9×之外，Winme、NT、XP等作業系統都會被攻擊。目前，瑞星反病毒技術工程師已“緊急總動員”，升級後的瑞星防毒軟體可以有效防範“硬碟殺手”及其變種。

相關下載

補丁下載網址：

Microsoft Windows 95
http://download.microsoft.com/download/win95/Update/11958/W95/EN-US/273991USA5.EXE

Microsoft Windows 98 and 98 Second Edition
http://download.microsoft.com/download/win98SE/Update/11958/W98/EN-US/273991USA8.EXE

Microsoft Windows Me
http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE

金山毒霸硬碟殺手病毒專殺工具 http://zhuansha.duba.net/24.shtml

常見計算機病毒