电脑报论坛上看到一个病毒样本,叫“中华黑豹”,在卡饭论坛上这个病毒被称为“很搞笑”,到底有什么地方“搞笑”呢,对很多人来说,可能是“恐怖”的,不过至少目前还不算很难清除,哪怕是增强版,但以后就难说了。
运行这个病毒样本,首先会更改你的桌面背景,在桌面上显示“中华黑豹病毒已经侵入”字样,不断弹出窗口,关也关不掉,并显示一个关机倒计时,还有改图标的爱好,同时在桌面上大量生成文件夹,文件夹名是“病毒1.”、“病毒2.”、“病毒3.”、……“病毒89.”……,都是带一个点的文件夹,用普通方法无法删除,不过冰刃、XueTr等工具可以强制删除。其它行为还有,禁用注册表、任务管理器,删除gpedit.msc(组策略程序),还有一点现在制毒中比较没有人用的就是格式化除C盘以外的分区,直接在批处理里使用format命令(当然如果该分区正在使用中,比如把虚拟内存设在D盘,format命令是拿它没办法的,由此可见,把虚拟内存放在其它分区有时也是有用的)。另外该病毒还设置一启动项,把一个批处理文件放到开始菜单启动文件夹,同时设置启动文件夹为隐藏属性,让我们看不见它^_^。
中华黑豹增强版与中华黑豹的差别就是后者的样本在运行时,先释放自己的文件(是一个“改造”的RAR自解压包)到C:\GYF\,而增强版是释放文件到c:\windows\system\chinaheibao\,同时增强版的vbs、bat文件中的内容是加密的,不能直接看到里面所用的指令。
目前大致就这些,如果要手动清除的话,有点麻烦(那堆桌面文件夹),不过还好,就那些禁用注册表、任务管理器什么的,现在的工具软件都能代劳,一键修复,删除的文件可以从其它电脑上拷,不过格式化就比较讨厌了,有人真拿实机测试,结果……,所以别只看“搞笑”,“搞笑”是有代价的。最佳方案是在运行前拦截,据测试的情况看,大部分杀毒软件可以直接拦截,所以及时升级杀毒软件还是必要的,不要等病毒发作后再去收拾残局。
有兴趣测试的:卡饭样本;电脑报论坛样本(增强版)。注意病毒样本是文件夹图标,不要误以为是文件夹,直接双击运行了,建议在虚拟机中测试,据说,要先装 NET.framework,如果不能运行的话。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1076.html
