0
2011/03/28 
22:04 
35536
最近单位的电脑被“1KB文件夹快捷方式”病毒搞的鸡犬不宁,好几台电脑被感染,昨天领导找我去看,比较厉害,所有的文件都被隐藏了,当时无工具无法处理,今天才全部搞定,下面把自己从网上收集的资料贴出来,希望可以帮到受此病毒危害的网友。
这病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
这病毒是这样运行的。 通过AutoRun.inf指向*********.vbs这个脚本文件,来自动运行病毒,感染全部磁盘根目录,这些目录变成快捷方式,再指向那个vbs文件,以后要预防这种病毒 就是要禁用系统的自动运行功能。
此毒中招后的一个显著特征是:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后,病毒被激活。这是个.vbs+数据流双料病毒。此.vbs比较有个性:运行一次后,其MD5发生改变。RIS2010便不再认识它了(据网友反馈:KIS也是一样——杀旧不杀新);但病毒行为不变。
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
在Windows XP中,往往会因各种原因导致无法共享打印机,这个时候你是不是束手无策了?解决问题需要对症下药,让我们来了解一下在Windows XP中共享打印机时最容易出现的种种问题以及解决办法。
总体思路:
1、启用guest账户。
2、添加“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”协议。
3、设置“tcp/ip 协议的属性,"启用TCP/IP上的netBIOS""。tcp/cip--高级---wins---netbios设置。
4、设置组策略,windows设置--本地策略---安全选项--网络访问:可以匿名访问的共享,加入printe$,或者共享的打印机名称。
5、设置家庭或者小型办公网络。
6、其他的内容参考一下网络上的文档。
现象一:网上邻居无法正常浏览
在Windows XP中共享打印机,首先要做的并不是直接在工作站中安装网络打印机,而是应该先看看“网上邻居”中的“查看工作组计算机”项是否能正常浏览、是否出现安装有打印机的计算机(下称打印服务器)。如果能够找到打印服务器,则表示共享打印机的基本条件已经具备,如果出现错误,则应首先解决这个问题。
解决办法:在确认局域网工作组名称一致的前提下,进入“本地连接”属性窗口,点击“安装”按钮添加“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”协议,现在不用重启即可解决无法查看工作组计算机或是单击“查看工作组计算机”项后出现的“没有权限浏览某某工作组……”之类的问题。
总体思路:
1、启用guest账户。
2、添加“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”协议。
3、设置“tcp/ip 协议的属性,"启用TCP/IP上的netBIOS""。tcp/cip--高级---wins---netbios设置。
4、设置组策略,windows设置--本地策略---安全选项--网络访问:可以匿名访问的共享,加入printe$,或者共享的打印机名称。
5、设置家庭或者小型办公网络。
6、其他的内容参考一下网络上的文档。
现象一:网上邻居无法正常浏览
在Windows XP中共享打印机,首先要做的并不是直接在工作站中安装网络打印机,而是应该先看看“网上邻居”中的“查看工作组计算机”项是否能正常浏览、是否出现安装有打印机的计算机(下称打印服务器)。如果能够找到打印服务器,则表示共享打印机的基本条件已经具备,如果出现错误,则应首先解决这个问题。
解决办法:在确认局域网工作组名称一致的前提下,进入“本地连接”属性窗口,点击“安装”按钮添加“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”协议,现在不用重启即可解决无法查看工作组计算机或是单击“查看工作组计算机”项后出现的“没有权限浏览某某工作组……”之类的问题。
灰太狼:老婆.你不讲理!
红太狼:和你我从来就没讲过理,家就不是讲理的地方。再说你是男的,还比我大28个月呢,你就得让着我。
关于钱
灰太狼:以后我抓的羊,按比例给你吧,我抓的多时留得也多一点,这样我较会有积极性。
红太狼:好。
灰太狼:那我给你百分之多少?
红太狼:百分之一百二。
灰太狼: 额....
关于主意
红太狼:咱们出去玩吧。
灰太狼:好,你说去哪就去哪。
红太狼:我要有主意还和你说!
灰太狼:我出的主意你从来都不同意呀。
红太狼:我不同意的那叫什么主意啊,那叫敷衍!你得不停的有主意,直到我满意为止
灰太狼: 额....
红太狼:和你我从来就没讲过理,家就不是讲理的地方。再说你是男的,还比我大28个月呢,你就得让着我。
关于钱
灰太狼:以后我抓的羊,按比例给你吧,我抓的多时留得也多一点,这样我较会有积极性。
红太狼:好。
灰太狼:那我给你百分之多少?
红太狼:百分之一百二。
灰太狼: 额....
关于主意
红太狼:咱们出去玩吧。
灰太狼:好,你说去哪就去哪。
红太狼:我要有主意还和你说!
灰太狼:我出的主意你从来都不同意呀。
红太狼:我不同意的那叫什么主意啊,那叫敷衍!你得不停的有主意,直到我满意为止
灰太狼: 额....
说起来还是自己疏忽才导致小博被关了三月之久,主机到期空间提供商没有任何的提醒,不知道那段时间都干嘛去了,只记得都冷落它很长时间了,自从上次被google封杀后,每天习惯的登陆看看正常就干自己的事,到期后一直也是可以访问的,有次收邮件收到信息产业部的邮件说是备案信息中的接入点错误,让联系空间商修改审核,当时也没在意想着周末了再搞,没想到没几天就挂了,刚开始是以为主机挂了,去论坛问好像也没什么,后来联系了客服才知道是备案被注销而关闭了,当然去邮箱一看这也是真的。
汗一个,以前国家对网站的备案管的不是太严格,不备案的站照样可以开,现在可真是不一样了,没办法只好速度的申请备案,前提是先主机续费,不续费一样没的接入商审核还是通不过,更何况站也没办法访问呀。备案申请了接下来的等待是相当漫长的,因为我上次备案了好几次才成功的,是见识过国家公务员的办事效率的,不然为什么现在社会有个公务员追捧热呢,清闲不说还收入高。再也没别的办法只好等了,大概过了20多天收到一封备案拒绝的邮件,说是办公电话未填写,真是麻烦,现在没成家,座机又不方便,哪来的什么座机,最后没办法只好联系接入商帮忙修改,接下来再等......
说实话什么都是一样的,天天面对习惯了,一下子失去了还真是觉得有种不舍。又是漫长的等待,今天想起备案是不是有信息了,一查邮件果然到了就是电子证书还没生成,不管他,先申请开通服务,下午下班打开就发现那熟悉的页面已经出现在了面前,
想想过去的很长一段时间自己好像也不怎么写那些生活的琐碎,好像在技术上也没以前那么上心了,而这些都将在失去一次后重新重视起来,不管有没有华丽的词语,本来它就是记录生活的点滴,没必要觉得平庸。坚持!以后这将是我对生活的一种回顾,本来就觉得自己到这上班两年多颓废了很多,整天安于现状,虽然每天都想着怎么怎么去努力,但是在实际行动上还欠缺很多,直到9.13购房的那天才知道自己是如何的无能,这一切只能靠父母,虽然这是大多数人的生活,但是想着在家辛苦节俭的父母,自己却拿着那个80后独有的消费观念堂而皇之的玩到了现在,把这一切的负担都重重的压在了父母头上,怎么对得起父母这么多年的养育之恩呢,自己读完大学参加工作了,却还是不能给父母跟爱的人带来好的生活,我还有什么理由继续逍遥。
算了,废话不说了,重开纪念,为了所有的一切努力!!!
汗一个,以前国家对网站的备案管的不是太严格,不备案的站照样可以开,现在可真是不一样了,没办法只好速度的申请备案,前提是先主机续费,不续费一样没的接入商审核还是通不过,更何况站也没办法访问呀。备案申请了接下来的等待是相当漫长的,因为我上次备案了好几次才成功的,是见识过国家公务员的办事效率的,不然为什么现在社会有个公务员追捧热呢,清闲不说还收入高。再也没别的办法只好等了,大概过了20多天收到一封备案拒绝的邮件,说是办公电话未填写,真是麻烦,现在没成家,座机又不方便,哪来的什么座机,最后没办法只好联系接入商帮忙修改,接下来再等......
说实话什么都是一样的,天天面对习惯了,一下子失去了还真是觉得有种不舍。又是漫长的等待,今天想起备案是不是有信息了,一查邮件果然到了就是电子证书还没生成,不管他,先申请开通服务,下午下班打开就发现那熟悉的页面已经出现在了面前,
想想过去的很长一段时间自己好像也不怎么写那些生活的琐碎,好像在技术上也没以前那么上心了,而这些都将在失去一次后重新重视起来,不管有没有华丽的词语,本来它就是记录生活的点滴,没必要觉得平庸。坚持!以后这将是我对生活的一种回顾,本来就觉得自己到这上班两年多颓废了很多,整天安于现状,虽然每天都想着怎么怎么去努力,但是在实际行动上还欠缺很多,直到9.13购房的那天才知道自己是如何的无能,这一切只能靠父母,虽然这是大多数人的生活,但是想着在家辛苦节俭的父母,自己却拿着那个80后独有的消费观念堂而皇之的玩到了现在,把这一切的负担都重重的压在了父母头上,怎么对得起父母这么多年的养育之恩呢,自己读完大学参加工作了,却还是不能给父母跟爱的人带来好的生活,我还有什么理由继续逍遥。算了,废话不说了,重开纪念,为了所有的一切努力!!!
