关于极虎病毒的病毒防范大作业.doc

关于极虎病毒的病毒防范大作业目 录第一章 极虎病毒的来源与爆发31.1病毒来源31.2爆发日期3第二章 传播途径和攻击表现42.1传播途径42.2被攻击的表现5第三章 病毒分析53.1 病毒组成和外观53.2病毒样本分析5第四章 病毒预防与清除64.1预防64.2杀毒6第一章 极虎病毒的来源与爆发 1.1病毒来源极虎病毒是金山毒霸云安全实验室国内首家发现的一款集合了磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒，由于该病毒可利用IE极光ODAY漏洞进行传播，又是虎年的第一个重大恶性病毒，因此得名“极虎”。1.2爆发日期2010年1月 “极虎病毒”首次登场。2010年2月7日“极虎病毒”强势爆发，引起网民注意。2010年2月8日 金山云安全监测中心发布紧急病毒预警，确认极虎木马下载器已经全面爆发。上图为病毒爆发走势第二章 传播途径和攻击表现 2.1传播途径（1）网页挂马传播，会利用极光0day等系统漏洞传播（2）局域网共享传播，通过弱口令在局域网内渗透（3）通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播（4）软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载（5）感染网页格式的文件进行二次传播，如果不幸某网编中招，就可能造成网站的来访者中毒。（6）感染可执行.exe文件（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式化，这样重装后，肯定会再次中毒）（7）感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，进程中发现多个rar.exe在运行，并且无法结束，或结束后重新生成)（8）部分变种在系统文件夹创建usp10.dll和lpk.dll（猫癣病毒的传播手法一致）2.2被攻击的表现（1） 综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭。（2） 开机提示系统文件丢失（3） 系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪（4）进程中莫名出现rar.exe 和 ping.exe 无法结束，或结束后又会再起来。（5）大量exe文件被感染，反复报毒（6）桌面IE图标被修改，IE主页异常（7）部分变种会在程序文件夹下创建usp10.dll和lpk.dll，手动无法删除第三章 病毒分析 3.1 病毒组成和外观该病毒是由4个已知病毒综合形成的病毒。这四个病毒分别是：磁碟机、AV终结者、中华吸血鬼、猫癣下载器。极虎病毒综合了这4个病毒的优点，利用极光ODAY漏洞进行传播。极虎的图标大多为形似快播，但又和快播有点区别。 3.2病毒样本分析极虎逃避杀毒软件的行为分析如下： (1)删除如下注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork。从而破坏破坏安全模式。（2）修改host文件屏蔽如下网站：D 360 antivir-pe.deS 366I 360.cn S . A D 于是电脑便不可访问以上网站，无法让杀毒软件的病毒库更新。(3) 病毒入侵电脑后会取得权限，并每隔一秒半对系统进程进行一次扫描，扫描是否有指定杀毒软件进程，如果有则结束掉。第四章 病毒预防与清除4.1预防1、关闭移动设备的自动播放功能，并且每次打开移动设备盘符不要双击，在地址栏中输入盘符和冒号再回车打开。2、给计算机设密码，密码最好是字母数字组合，并且具有一定复杂度，不要少于8位。3、关闭所有共享资源的写入权限。4、运行陌生程序之前建议先进行扫描。4.2杀毒、 杀毒软件 金山毒霸、安全卫士、卡巴斯基等（如今杀毒软件基本可以杀掉）。、 手动杀毒windows 、xp 环境下重装系统，ctrl+F搜索打开 在文件中搜索 nba1001 然后把含有nba1001的文件用记事本打开然后删除nba1001，保存。然后把其他盘所有exe文件全部删除。 -以下章节格式同上-得分情况序号评分细则得分1XX发展历史（10分）2XX样本分析（20分