極虎

極虎介紹

圖片/照片:極虎.jpg(放大)

參看：極光0Day漏洞|360後門。

極虎，一種網路木馬下載器病毒，其威力比「熊貓燒香」猛上數倍。「極虎」病毒，通過全國大學四、六級考試網等一些訪問量較大的網站進行掛馬傳播。據統計，2月7日，超過10萬台電腦感染該病毒。

2010年2月初，臨近春節，大量網友開機后發現，電腦「自動」提示系統文件丟失。進程中還出現rar.exe 和 ping.exe 等一些模名其妙的進程， 不僅佔用大量系統資源並無法結束進程。這就是中了「極虎」的表現。根據大批受害用戶的反映，感染「極虎」下載器的電腦系統速度明顯變慢，CPU佔用極高。部分用戶的電腦被「極虎」侵襲后，還會出現桌面IE圖標被修改、IE主頁異常、殺毒軟體無法打開、大量exe文件被感染，反覆報毒卻無法清除等各種癥狀，並會自動下載大量木馬病毒。

編輯以上介紹 我要留言

極虎網站

1. 金山：金山毒霸賀歲版說明：據金山官方稱，此版本可以防禦極虎病毒
2. 金山：金山急救箱說明：對病毒木馬活體進行"滅活"
3. 360安全論壇：虎年第一猛毒：極虎病毒詳解說明：解釋較詳細
4. 中國新聞網：惡性病毒「極虎」現身網路 危害猛於熊貓燒香
5. 科技資訊網：金山毒霸："極虎"大鬧虎年春節 危害超熊貓燒香

各類相關信息

極虎病毒

據金山安全實驗室反病毒專家李鐵軍介紹，「極虎」木馬下載器堪稱「毒中之毒」。在「極虎」病毒上體現了四最：

1. 傳播方式最多，網頁掛馬、U盤、區域網傳播、欺詐下載等多達近十種
2. 最難清除。感染系統文件讓普通的殺毒軟體「不敢」清除，比如該病毒會感染11餘種系統文件，而且手動清除也非常複雜
3. 下載其他病毒最多。感染了「極虎」病毒的電腦會自動下載近百種病毒，包含了IE主頁篡改類病毒、熱門遊戲盜號器、流氓軟體安裝器以及其他類型下載器，下載病毒數量之多實屬罕見。
4. 對用戶系統影響最大。

從用戶的搜索結果看，關於「ping」 病毒和 「rar 」病毒已經有相當高的搜索量。由於春節長假，一方面用戶對病毒放鬆了警惕，而一些安全軟體對它都無法監控、也不能處理，用戶遭受惡意代碼攻擊的機會因此大增。

金山安全實驗室反病毒專家針對「極虎」國內首家提出應急預案，未安裝金山毒霸的用戶可以免費下載金山毒霸賀歲版，可完全防禦極虎病毒;同時使用全功能永久免費的金山網盾防禦極虎侵襲。對於沒及時更新病毒庫或非毒霸用戶如果不小心感染「極虎」病毒，使用金山急救箱對病毒木馬活體進行"滅活"，並恢復病毒對系統的破壞，清除感染后的可執行文件和被感染的網頁。

360安全論壇「極虎」病毒詳解

據最近的研究分析表現，極虎病毒是目前為止，集成了各種病毒、木馬、木馬下載器、蠕蟲特徵的超強惡意軟體。差不多是若干知名病毒的混合體：傳播方式超越熊貓燒香；對殺毒軟體的破壞力相當於AV終結者、磁碟機；對系統的破壞力更是始無前例；攻擊者的目標極度貪婪，會下載各種盜號木馬、流氓軟體，偷帳號，彈廣告，刷流量，可謂無惡不作。

來分析一下極虎病毒創造的四個「之最」：

傳播方式「最」多樣：

1. 網頁掛馬傳播，會利用極光0day等系統漏洞傳播
2. 區域網共享傳播，通過弱口令在區域網內滲透
3. 通過U盤、數碼存儲卡、手機卡、移動硬碟等移動設備傳播
4. 軟體捆綁，欺騙下載，在盜版電影下載站、遊戲外掛下載站捆綁下載
5. 感染網頁格式的文件進行二次傳播（這招熊貓燒香用過）如果不幸某網編中招，就可能造成網站的來訪者中毒。
6. 感染可執行文件（很多人電腦中毒，沒辦法就會ghost，或格盤重裝，但一般不是全部格式化，這樣重裝后，很容易再次中毒）
7. 感染rar壓縮包內的可執行程序（這一招會令電腦運行變慢，進程中發現多個rar.exe在運行）
8. 在系統文件夾創建usp10.dll和lpk.dll（這是部分變種的特徵，和貓癬病毒的傳播手法一致）

下載的病毒「最」多樣

1. IE主頁篡改類病毒（綁架瀏覽器，為某些導航站刷流量）
2. 熱門遊戲盜號器
3. 流氓軟體安裝器（彈廣告，改系統配置）
4. 其他類型下載器

清除病毒修復系統最「難」搞

1. 感染系統文件讓殺毒軟體不敢清除，簡單的刪除這些文件，會損壞系統，比如該病毒會感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等10餘種系統文件
2. 感染所有壓縮包，手工清除難度大（幾乎是無法完成的）
3. 感染所有網頁文件，手工清除難度大
4. 區域網內傳播，全網查殺難度大（病毒總在查詢網路中其它有風險的計算機，會令網速下降）
5. 感染u盤等移動設備，一不小心可導致反覆感染。
6. 對抗殺毒軟體，主動防禦攔截容易被針對性繞過
7. 每日更新，殺毒軟體一不留神就不能防禦
8. 自保護驅動，攻擊驅動技術對抗殺毒軟體

中毒后，對系統的影響「最」大

1. 綜合使用多種手段令殺毒軟體失效，比如主動防禦無法打開，360打開即關閉
2. 開機提示系統文件丟失
3. 系統明顯變慢，CPU佔用極高，頻繁讀寫磁碟，可觀察到硬碟燈狂閃
4. 進程中莫名出現rar.exe 和 ping.exe 無法結束，或結束后又會再起來。
5. 大量exe文件被感染，反覆報毒
6. 桌面IE圖標被修改，IE主頁異常
7. 部分變種會在程序文件夾下創建usp10.dll和lpk.dll，手動無法刪除

以下是對」極虎「病毒的詳細分析：

概述:近期,毒霸捕獲到高危的感染型下載者病毒，以下是用戶的求助：

1. PING.EXE的進程在不停的跳動，無法結束
2. 準備裝殺軟，發現絕大部分殺軟網站都無法訪問
3. 裝360殺毒，安裝后無法啟動殺軟，雙擊無反應
4. 裝瑞星2010，能安裝，重新啟動后無法正常啟動，所有監控關閉
5. 裝費爾能殺，能檢測到註冊表異常，修復后一直報病毒，能刪除，但是一直在不停的刪除
6. 安全模式還沒載入完就自動重啟
7. 微點、瑞星主動防禦啟動失敗
8. 360：無法啟動，點后也沒反應（進程能看到）

監控系統發現部分殺毒軟體檢測到appmgmts.dll是病毒後會直接刪除，從而導致用戶的系統文件受損。

病毒危害

該病毒會感染用戶機器上的所有可執行文件，並聯網下載大量盜號、廣告類軟體，嚴重危害到系統的安全，同時該病毒非常隱蔽，沒有特定的進程，而採用"線程" 插入的方法，插入到正常的系統進程Svchost.exe中，只有在進程模塊中，才能看到病毒原體。

中毒后的現象: 用戶機器出現"很卡"的現象，因為此時病毒會調用WINRAR的解包模塊去查找解壓RAR文件，感染壓縮包中的其它程序文件后，再打包。如果清除病毒不徹底的話，用戶可能會在重新打開壓縮文件時再次中毒。同時由於該進程是SYSTEM許可權,導致用戶無法用任務管理器結束該進程。正常的系統文件appmgmts.dll被病毒替換：(正常的appmgmts.dll有版本信息等而病毒釋放的則沒有)　3.系統中一些EXE文件無故變大,例如：看圖軟體ACDSee被感染前後，文件大小雖改變，但是文件修改時間沒變，大部分用戶無法發現病毒的潛伏體，一旦點擊，後果不堪設想..文件被感染后,多出了一個".tc節"　該病毒還會感染html、htm、asp等網頁文件　感染後會在網頁文件的末尾插入一段惡意的掛馬網址　更猥瑣的事還在繼續,病毒體將rar文件解壓縮,並感染其內的正常文件后,在將文件打包回去: （盜用百度被黑時，李彥宏說的：始無前例啊，始無前例） 網路環境出現擁堵,病毒體會從網站上下載病毒到本地,並激活該病毒的新變種。利用$ipc查看區域網內的所有共享，並試圖感染區域網的其他機器。系統被載入由病毒體釋放的驅動文件，如果安裝的殺軟和該驅動有衝突，很容易造成用戶機器藍屏。操作系統會彈出提示，關鍵系統文件被替換　

修復建議：及時更新殺毒軟體和系統補丁，最好增加系統實時監控或HIPS等功能，對系統文件修改給出提示。