新萄京ag65609com

通知公告
       

关于防治多媒体教室病毒问题的通知

发布日期:2008-12-10    来源:教学技术服务中心     点击数:

各教学单位:

近日,主教学楼出现一种通过局域网传播,对计算机系统文件进行攻击的计算机病毒。经查,是由授课过程中使用的移动存储设备带入。由于此病毒攻击方式恶劣,能绕过计算机的硬件保护卡进行攻击。新萄京ag65609com将对主教学楼设备进行病毒清除,同时提供此病毒发作后的症状和处理方法。提醒各位授课教师根据此方法对自己携带的计算机和移动存储设备进行病毒清除与防范。

一、 病毒名称:system.dll Trojan.Win32.KillAV.axs

此病毒为结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下病毒。

二、 病毒传播方式

每隔15分钟启动一次本机的lanmanserver与Browser服务,扫描本网段内的其他机器,打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件(?代表随机数字),并写入一些代码,利用批处理和debug将其“重组”成dll文件,利用rundll32.exe加载,并利用MS08-067漏洞攻击其他机器,同时将该病毒文件复制过去。

三、 中毒后症状

1. 中毒后会自动锁定隐藏移动存储设备中的文件夹。

2. 创建多个线程执行不同操作,导致系统速度变慢直至崩溃死机。

3. 映像劫持进程:导致个别杀毒软件(如诺顿、瑞星),系统优化工具(如优化大师),操作系统主要进程,任务管理器,office等加载失败。

4. 读取一个txt格式的下载列表,将木马和病毒下载到%temp%文件夹中。

5. 修改hosts文件屏蔽常见安全网站(如360、瑞星、诺顿、卡巴斯基、江民、金山毒霸等)

6. 向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll),

autorun.inf内容如下:

[autorun]

shell\open\command=rundll32 system.dll,explore

shell\explore\command=rundll32 system.dll,explore

利用rundll32.exe加载该dll

7. 替换输入法程序以及桌面程序。

四、 处理方法

1. 重启计算机,打开“新萄京ag65609com的电脑>>菜单栏>>工具>>文件夹选项>>查看”选择显示所有文件和文件夹,并把隐藏受保护的操作系统文件的钩去掉。

2. 及时为系统打补丁,尤其是MS08067漏洞。

3. 购买正版杀毒软件并升级病毒库为最新,用杀毒软件进行全盘查杀。

如有疑问请与多媒体部联系,咨询电话62288029。

教学技术服务中心多媒体部

2008年12月10日

[编辑]:孙颖

返回到列表页

学院南路校区地址:北京市海淀区学院南路39号
邮编:100081

沙河校区地址:北京市昌平区沙河高教园区
邮编:102206

XML 地图 | Sitemap 地图