喜欢下载些小东西玩的MM请注意：这个病毒发作后硬盘上的数据是不可修复的[

☆欣★ · 发表于 2003-1-27 19:22:01

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？注册

x

硬盘杀手(Worm.Opasoft.d/e) 病毒档案

文章出处：瑞星公司作者：
警惕程度：★★★★★
发作时间：随机

病毒类型：蠕虫病毒

传播方式：网络/邮件

感染对象：网络

破坏方式：毁坏硬盘数据

主病毒文件大小：17,408字节

病毒介绍：

12月27日凌晨，瑞星全球反病毒监测网于国内率先截获一全新的恶性蠕虫病毒，并将它命名为“硬盘杀手”（Worm.OpaSoft）。这个病毒的破坏力全面超越了臭名昭著的CIH：它可以在Windows95以上的所有版本的操作系统中运行，将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染，传播能力远远强于CIH！

“硬盘杀手”病毒运行时会首先将自己复制到系统目录下，然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播，即使网络共享文件夹有共享密码，病毒也能传染。如果是NT系列系统，则病毒会通过共享文件夹感染网络。病毒会获取当前时间，如果病毒已经运行两天，则病毒会在C盘下写入病毒文件，该病毒文件会改写硬盘分区表，当系统重启时，会出现病毒信息，并将硬盘上所有数据都破坏掉,并且不可恢复。

病毒发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

一、病毒运行时会将自己复制到WINDOWS安装目录下（如果是默认安装则病毒拷贝病毒的目录为：C:\\WINDOWS），命名为：mqbkup.exe。可以用DOS盘引导系统，在DOS直接删除此文件，或者在WINDOWS系统中用杀毒软件进行内存杀毒。

二、病毒会改写Windows安装目录下的Win.ini文件，在其中加入run=c:\\windows\\mqbkup.exe的内容，用户可以用编辑软件直接编辑此文件，将此内容删除。

三、病毒会在C盘创建19个字节的\\msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件，用户可以直接将这五个文件删除。

四、病毒会在注册表的自启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中加入键值mqbkup或者mqbkupdbs，用户可以用注册表编辑工具直接将该键值直接删除。

五、用户如果中了该病毒，则重启时屏幕上会出现以下内容的信息：

NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.

不过当用户看到此信息后，则硬盘数据已经被破坏，无法恢复。

--------------------------------------------------------------------------------——————————————————