电脑是我们离不开的工具之一,但有时难免会被病毒折磨到掉链子,计算机自带杀毒软件又无法解决这种顽固病毒。其实,只要选对杀毒软件,任何病毒都能被轻松清除,推荐大家使用360安全卫士,木马查杀功能更高效的帮你清除病毒。
什么是Ramnit病毒
说起最令人困扰的感染型病毒,莫过于Ramnit病毒,感染用户最多,影响范围最广,在信任区存量木马中占比超过20%。这种病毒最早于2010年被发现,通过感染可执行文件和html文件传播。后续的变种中被增加了与C&C通讯的功能,从而使攻击者可以控制Ramnit感染的僵尸网络。这种感染型病毒中,用户反馈最多的是变种Ramnit.X,通过分析发现,Ramnit会感染可执行文件和html文件,遍历磁盘,当发现可执行文件时,通过新增节区的方式,将恶意代码植入可执行文件中,并将程序入口点修改为病毒代码,关键逻辑如下:
此外,Ramnit会通过感染可移动设备将病毒传播到其他计算机上,当遍历到可移动设备时,会先通过判断autorun.inf文件的前三个字节是否为”RmN”来确定设备是否已经被感染,随之将病毒拷贝到可移动设备下,并添加autorun.inf自动运行病毒。用户在使用软件的过程中,一般不会感知到其他异常。这是因为被感染的文件执行时会判断病毒的互斥体是否已经存在,若不存在,则会释放感染源并执行,反之则不再执行病毒逻辑,还原原始程序的入口点并调用。
Ramnit病毒的危害
感染型病毒在感染可执行文件之后也会存在一些其他的安全问题。首先是将可执行文件感染坏,导致程序无法正常运行。其次,可执行文件会校验文件哈希等特征,然而感染之后这些特征会被改变,所以也会导致程序无法运行等等。常见的感染型病毒除了感染模块之外,还会携带一些其他的恶意载荷,包含后门,窃密等等的功能,会导致用户的敏感信息泄漏等风险。
360木马查杀彻底清除感染型病毒
由于感染型病毒特殊的感染机制,感染型病毒清除存在一定的挑战,处理过程中稍有不慎就可能导致程序被再次感染。建议使用360安全卫士并在检测到感染型病毒时启用防感染模式进行全盘查杀:
顽固型病毒只要选择针对性杀毒软件就能被清除,360安全卫士木马查杀能清除被感染程序体内的恶意代码,出手高效利落。