关于极虎病毒的病毒防范大作.doc

关于极虎病毒的病毒防范大作业
关于极虎病毒的病毒防范大作业
目 录
第一章 极虎病毒的来源与爆发 3
3
3
第二章 传播途径和攻击表现 4
4
5
第三章 病毒分析 5
病毒组成和外观 5
5
第四章 病毒预防与清除 6
6
6
第一章 极虎病毒的来源与爆发

极虎病毒是金山毒霸云安全实验室国内首家发现的一款集合了磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒，由于该病毒可利用IE极光ODAY漏洞进行传播，又是虎年的第一个重大恶性病毒，因此得名“极虎”。

2010年1月 “极虎病毒”首次登场。
2010年2月7日“极虎病毒”强势爆发，引起网民注意。
2010年2月8日 金山云安全监测中心发布紧急病毒预警，确认"极虎"木马下载器已经全面爆发。
·····上图为病毒爆发走势······
第二章 传播途径和攻击表现

（1）网页挂马传播，会利用极光0day等系统漏洞传播
（2）局域网共享传播，通过弱口令在局域网内渗透
（3）通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播
（4）软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载
（5）感染网页格式的文件进行二次传播，如果不幸某网编中招，就可能造成网站的来访者中毒。
（6）（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式化，这样重装后，肯定会再次中毒）
（7）感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，，并且无法结束，或结束后重新生成)
（8）部分变种在系统文件夹

综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭。
开机提示系统文件丢失
系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪
（4） 和 无法结束，或结束后又会再起来。
（5）大量exe文件被感染，反复报毒
（6）桌面IE图标被修改，IE主页异常
第三章 病毒分析
病毒组成和外观
该病毒是由4个已知病毒综合形成的病毒。这四个病毒分别是：磁碟机、AV终结者、中华吸血鬼、猫癣下载器。极虎病毒综合了这4个病毒的优点，利用极光ODAY漏洞进行传播。
极虎的图标大多为形似快播，但又和快播有点区别。


极虎逃避杀毒软件的行为分析如下：
(1)删除如下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network。
从而破坏破坏安全模式。
（2）修改host文件屏蔽如下网站：
antivir- antivir-


sunbelt-.
于是电脑便不可访问以上网站，无法让杀毒软件的病毒库更新。
(3) 病毒入侵电脑后会取得权限，并每隔一秒半对系统进程进行一次扫描，扫描是否有指定杀毒软件进程，如果有则结束掉。
第四章 病毒预防与清除

1、关闭移动设备的自动播放功能，并且每次打开移动设备盘符不要双击，在地址栏中输入盘符和冒号再回车打开。
2、给计算机设密码，密码最好是字母数字组合，并且具有一定复杂度，不要少于8位。
3、关闭所有共享资源的写入权限。
4、运行陌生程序之前建议先进行扫描。

杀毒软件
　 金山毒霸、３６０安全卫士、卡巴斯基等（如今杀毒软件基本可以杀掉）。
手动杀毒
　　windows 、xp 环