“无极杀手”的意思、由来-中文百科全书

概况

击败杀毒软件概况

据报道，该病毒能够关闭目前市场上几乎所有主流的杀毒软件或安全软件（包括免费软件）（首次截获该病毒的江民杀毒软件主防可截杀该病毒），而国外的几款杀毒软件以及利用国外杀毒引擎的免费杀毒软件，在这个病毒面前更是毫无抵抗之力，开启所有监控后，还是可以被病毒轻松结束进程。

病毒动作

病毒运行后，生成qmgr.dll病毒文件，加载sfc_os.dll并查找其5号导出函数，使得系统的文件保护对于其要修改的qmgr.dll失效，然后病毒从资源中读取数据写到qmgr.dll，修改该文件时间，并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。

病毒检查当前模块所在进程是否为360tray.exe，如果是则创建一个名为"360SpShadow0"的设备，通过发送IO控制码的方式控制绕过360tray.exe的检测，完成后，退出程序。

查找当前系统中是否存在进程"360tray.exe"，如果有，则

将%SystemRoot%\\system32\\qmgr.dll复制为%SystemRoot%\\system32\\1l1.dll,将%SystemRoot%\\system32\\1l1.dll注入到目标进程空间，从而第一步的内容得到执行，完成后，删除%SystemRoot%\\system32\\1l1.dll，同时清空hosts文件。

完成以上动作后，病毒会创建多个线程执行不同操作：

将qmgr.dll对应的BITS服务启动类型设置为自动。

删除如下HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork破坏安全模式

然后在临时文件夹内创建一个名为LiTdi.sys的驱动，创建名为LiTdi服务，并启动服务。查找相关杀毒软件或安全软件进程，并向驱动发送IO控制码的方式结束相关进程。

病毒还会调用IE访问某网页做感染统计。从表项中依次选择下载十几种恶意程序，其中多数为盗号木马。

病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件，对于扩展名为.rar的文件，病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件，病毒会在其尾部加上恶意代码，使得这些网页文件成为病毒的二次传播源，用户一旦点击这些被感染文件，则会被病毒感染。

病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf，建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹，把%SystemRoot%\\system32\\dllcache\\lsasvc.dll复制到该目录下为Ghost.exe。

通过自带的弱密钥列表对网上邻居进行猜解，被猜解成功的管理员账户密码的计算机将受到感染；如果连接成功，则将C:\\WINDOWS\\system32\\dllcache\\lsasvc.dll拷贝到对方机器的C:\\cm.exe，同时创建计划任务以激活该病毒。

针对该病毒，建议网民开启杀毒软件的主动防御和实时监控，以防御病毒，免遭“无极杀手”病毒侵害，确保电脑数据安全。

无极杀手病毒的爆发，无疑给目前热衷于炒作的杀毒厂商当头棒喝，在无极杀手面前，什么云安全、永久免费都毫无意思可言。事实上，目前一些比较激进的杀毒厂商，号称截获数千万病毒，事实给用户遭成最大损害的，也只是极其少数的恶性病毒，在病毒造成的巨大损害面前，任何免费的噱头都无任何意思，毕竟对于许多电脑中存在许多重要数据的用户来讲，他们宁愿花费一百元左右的价格买一款保护能力强大的杀毒软件，而不愿因为这区区一百元，让自己电脑中重要的数据得不到任何安全保障。

“无极杀手”同时暴露了另一个重要的问题，那就是国外杀毒软件的自我保护能力普遍薄弱。毕竟在国外，病毒比较温和，主要以蠕虫病毒为主，而象“无极杀手”这样厉害的驱动级病毒，在国外根本就没有出现过，而在国内已经十分普遍，所以国外的杀毒软件缺少对付驱动级病毒的经验，国内厂商则轻车熟路，所以在“无极杀手”面前的表现相对较好。值得注意的是，国内一款号称永远免费的杀毒软件，核心引擎用的正是国外的产品，所以在无极杀手面前同样束手无策。

“无极杀手”病毒揭开了行业存在的内幕，揭开了重重谎言下的真象，相信以后电脑用户在选购杀毒软件时，一定要多问一句，能杀“无极杀手”这样的驱动病毒吗？能防止被病毒关闭吗？缺少这两点，别的说的再好也白费，自身都不保还谈保护别人吗？

词条	无极杀手
释义	概况(爆发概况击败杀毒软件概况) 病毒动作影响(暴露问题评论) 概况爆发概况近日，有媒体报道，无极杀手病毒年终爆发，每天有超过一万台电脑感染该病毒。击败杀毒软件概况据报道，该病毒能够关闭目前市场上几乎所有主流的杀毒软件或安全软件（包括免费软件）（首次截获该病毒的江民杀毒软件主防可截杀该病毒），而国外的几款杀毒软件以及利用国外杀毒引擎的免费杀毒软件，在这个病毒面前更是毫无抵抗之力，开启所有监控后，还是可以被病毒轻松结束进程。病毒动作病毒运行后，生成qmgr.dll病毒文件，加载sfc_os.dll并查找其5号导出函数，使得系统的文件保护对于其要修改的qmgr.dll失效，然后病毒从资源中读取数据写到qmgr.dll，修改该文件时间，并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。病毒检查当前模块所在进程是否为360tray.exe，如果是则创建一个名为"360SpShadow0"的设备，通过发送IO控制码的方式控制绕过360tray.exe的检测，完成后，退出程序。查找当前系统中是否存在进程"360tray.exe"，如果有，则将%SystemRoot%\\system32\\qmgr.dll复制为%SystemRoot%\\system32\\1l1.dll,将%SystemRoot%\\system32\\1l1.dll注入到目标进程空间，从而第一步的内容得到执行，完成后，删除%SystemRoot%\\system32\\1l1.dll，同时清空hosts文件。完成以上动作后，病毒会创建多个线程执行不同操作：将qmgr.dll对应的BITS服务启动类型设置为自动。删除如下HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork破坏安全模式然后在临时文件夹内创建一个名为LiTdi.sys的驱动，创建名为LiTdi服务，并启动服务。查找相关杀毒软件或安全软件进程，并向驱动发送IO控制码的方式结束相关进程。病毒还会调用IE访问某网页做感染统计。从表项中依次选择下载十几种恶意程序，其中多数为盗号木马。病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件，对于扩展名为.rar的文件，病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件，病毒会在其尾部加上恶意代码，使得这些网页文件成为病毒的二次传播源，用户一旦点击这些被感染文件，则会被病毒感染。病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf，建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹，把%SystemRoot%\\system32\\dllcache\\lsasvc.dll复制到该目录下为Ghost.exe。通过自带的弱密钥列表对网上邻居进行猜解，被猜解成功的管理员账户密码的计算机将受到感染；如果连接成功，则将C:\\WINDOWS\\system32\\dllcache\\lsasvc.dll拷贝到对方机器的C:\\cm.exe，同时创建计划任务以激活该病毒。针对该病毒，建议网民开启杀毒软件的主动防御和实时监控，以防御病毒，免遭“无极杀手”病毒侵害，确保电脑数据安全。影响暴露问题无极杀手病毒的爆发，无疑给目前热衷于炒作的杀毒厂商当头棒喝，在无极杀手面前，什么云安全、永久免费都毫无意思可言。事实上，目前一些比较激进的杀毒厂商，号称截获数千万病毒，事实给用户遭成最大损害的，也只是极其少数的恶性病毒，在病毒造成的巨大损害面前，任何免费的噱头都无任何意思，毕竟对于许多电脑中存在许多重要数据的用户来讲，他们宁愿花费一百元左右的价格买一款保护能力强大的杀毒软件，而不愿因为这区区一百元，让自己电脑中重要的数据得不到任何安全保障。 “无极杀手”同时暴露了另一个重要的问题，那就是国外杀毒软件的自我保护能力普遍薄弱。毕竟在国外，病毒比较温和，主要以蠕虫病毒为主，而象“无极杀手”这样厉害的驱动级病毒，在国外根本就没有出现过，而在国内已经十分普遍，所以国外的杀毒软件缺少对付驱动级病毒的经验，国内厂商则轻车熟路，所以在“无极杀手”面前的表现相对较好。值得注意的是，国内一款号称永远免费的杀毒软件，核心引擎用的正是国外的产品，所以在无极杀手面前同样束手无策。评论 “无极杀手”病毒揭开了行业存在的内幕，揭开了重重谎言下的真象，相信以后电脑用户在选购杀毒软件时，一定要多问一句，能杀“无极杀手”这样的驱动病毒吗？能防止被病毒关闭吗？缺少这两点，别的说的再好也白费，自身都不保还谈保护别人吗？
随便看	卧龙海卧龙湖卧龙湖风景区卧龙湖国际社区卧龙湖煤矿卧龙科技卧龙控股集团有限公司卧龙里小学卧龙丽景湾卧龙绿茶卧龙农资网卧龙坡卧龙桥卧龙区卧龙区第一人民医院卧龙区人民法院卧龙泉镇卧龙山卧龙山风景区卧龙山佛教文化旅游园区卧龙山佛祖洞卧龙山旅游度假区卧龙山旅游风景区卧龙山名胜风景区卧龙山寺

概况

爆发概况

击败杀毒软件概况

病毒动作

影响

暴露问题

评论