最近,江民反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,该病毒主要特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作及其困难。 而且该病毒还会在每个硬盘分区根目录下生成Autorun.inf和随机8位的EXE,达到双击硬盘激活病毒,此外,该病毒还会通过U盘,MP3,移动硬盘等移动储存传播,这样就大大增加了病毒的传播速度。
江民反病毒专家建议,日常操作电脑时请注意以下几点防范措施:
1. 保管好自己的U盘,MP3,移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4. 安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
对于未安装杀毒软件或者杀毒软件失效的情况下,建议使用以下办法手动清除:
1. 请先到网上下载IceSword工具,并将该工具该名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2. 利用IceSword的文件管理功能,展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下,删除2个8位随机数字的文件,其扩展名分别为:dat 和 dll 。再到%windir%help目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法察看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4、利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
删除里面的IFEO劫持项。
此时就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,全盘杀毒。
