能够毁坏硬盘所有数据的“硬盘杀手”病毒
12月27日凌晨,瑞星全球反病毒监测网于国内率先截获一全新的恶性蠕虫病毒,并将它命名为“硬盘杀手”(Worm.OpaSoft)。这个病毒的破坏力全面超越了臭名昭著的CIH:它可以在Windows95以上的所有版本的操作系统中运行,将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染,传播能力远远强于CIH!
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
主病毒文件大小:17,408字节
破坏方式:毁坏硬盘数据
警惕程度:★★★★★
病毒介绍:
“硬盘杀手”病毒运行时会首先将自己复制到系统目录下,然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播,即使网络共享文件夹有共享密码,病毒也能传染。如果是NT系列系统,则病毒会通过共享文件夹感染网络。病毒会获取当前时间,如果病毒已经运行两天,则病毒会在C盘下写入病毒文件,该病毒文件会改写硬盘分区表,当系统重启时,会出现病毒信息,并将硬盘上所有数据都破坏掉,并且不可恢复。
病毒发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、病毒运行时会将自己复制到WINDOWS安装目录下(如果是默认安装则病毒拷贝病毒的目录为:C:WINDOWS),命名为:mqbkup.exe。可以用DOS盘引导系统,在DOS直接删除此文件,或者在WINDOWS系统中用杀毒软件进行内存杀毒。
二、病毒会改写Windows安装目录下的Win.ini文件,在其中加入run=c:windowsmqbkup.exe的内容,用户可以用编辑软件直接编辑此文件,将此内容删除。
三、病毒会在C盘创建19个字节的msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件,用户可以直接将这五个文件删除。
四、病毒会在注册表的自启动项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中加入键值mqbkup或者mqbkupdbs,用户可以用注册表编辑工具直接将该键值直接删除。
五、用户如果中了该病毒,则重启时屏幕上会出现以下内容的信息:NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.
不过当用户看到此信息后,则硬盘数据已经被破坏,无法恢复。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“硬盘杀手(Worm.Opasoft)”病毒。但如果要想完全清除该病毒造成的影响,最好还是选用杀毒软件进行清除。用《瑞星杀毒软件2003版》的最新版本可以彻底清除此病毒。
为避免用户遭受损失,瑞星公司已于截获此病毒当晚就进行了紧急升级,瑞星杀毒软件15.15.01及以上的版本可以自动截获并清除此病毒,望广大用户及时升级。目前瑞星用户只需及时升级手中的软件即可彻底拦截“硬盘杀手(Worm.Opasoft)”病毒。
如遇到异常情况,可随时拨打瑞星反病毒急救电话:010-86243236或登陆瑞星反病毒网http://www.rising.com.cn,瑞星反病毒专家将为您提供全方位的技术支持与服务!