電腦病毒看不見(jiàn)，卻無(wú)處不在，有時(shí)防護(hù)措施不夠或者不當(dāng)操作都會(huì)導(dǎo)致病毒入侵。對(duì)于bsmain.exe ，這是一個(gè)模仿瑞星殺毒軟件的惡意程序，使用VB編寫(xiě)，包括版本信息，文件圖標(biāo)均和瑞星的文件一致，并試圖卸載瑞星殺毒軟件，覆蓋感染可執(zhí)行文件。因此可以把它叫做“瑞星仇恨者”

　　病毒具體分析如下：

　　Quote:

　　File: bsmain.exe

　　Size: 131072 bytes

　　File Version: 20.00

　　Modified: 2008年3月7日, 22:18:04

　　MD5: 1EFE96D8D20513351DB5C1681D7BBAFE

　　SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D

　　1.病毒初始化，試圖卸載瑞星殺毒軟件，首先嘗試直接啟動(dòng)C:\Program Files\Rising\Rav\update\setup.exe,如果找不到則在注冊(cè)表中查找SOFTWARE\rising\Rav鍵，并利用RegQueryValueEx函數(shù)獲得該鍵下面的installpath信息，即瑞星的安裝路徑。之后會(huì)在后臺(tái)啟動(dòng)瑞星安裝目錄下Update\Setup.exe的卸載程序，成功啟動(dòng)后，會(huì)查找類(lèi)名為Button，窗口為卸載(&U)的窗口，然后PostMessage發(fā)送消息，接著查找名為“下一步(&N)”的窗口，再PostMessage模擬用戶(hù)按鍵發(fā)送消息，這樣就完成了模擬卸載的過(guò)程。

　　2.釋放如下文件或者副本：

　　C:\Windows\system32\bsmain.exe(病毒文件)

　　不斷的遍歷A-Z盤(pán) 查找可移動(dòng)存儲(chǔ)設(shè)備，如果有則在其中生成bsmain.exe和autorun.inf達(dá)到隨移動(dòng)存儲(chǔ)傳播的目的。

　　3.在注冊(cè)表中添加如下啟動(dòng)項(xiàng)目

　　Quote:

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的

　　[Beijing Rising Technology Co., Ltd.]

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的

　　[Beijing Rising Technology Co., Ltd.]

　　以此達(dá)到開(kāi)機(jī)啟動(dòng)自身的目的

　　4.添加映像劫持項(xiàng)目劫持如下常見(jiàn)殺毒軟件

　　Quote:

　　360Safe.exe

　　360tray.exe

　　adam.exe

　　AgentSvr.exe

　　AppSvc32.exe

　　ArSwp.exe

　　AST.exe

　　autoruns.exe

　　avconsol.exe

　　avgrssvc.exe

　　AvMonitor.exe

　　avp.com

　　avp.exe

　　ccSvcHst.exe

　　ceSword.exe

　　EGHOST.exe

　　FileDsty.exe

　　FTCleanerShell.exe

　　FYFireWall.exe

　　HijackThis.exe

　　IceSword.exe

　　iparmo.exe

　　Iparmor.exe

　　isPwdSvc.exe

　　kabaload.exe

　　KaScrScn.SCR

　　KASMain.exe

　　KASTask.exe

　　KAV32.exe

　　KAVDX.exe

　　KAVPF.exe

　　KAVPFW.exe

　　KAVSetup.exe

　　KAVStart.exe

　　KISLnchr.exe

　　KMailMon.exe

　　KMFilter.exe

　　KPFW32.exe

　　KPFW32X.exe

　　KPfwSvc.exe

　　KRegEx.exe

　　KRepair.com

　　KsLoader.exe

　　KVCenter.kxp

　　KvDetect.exe

　　KvfwMcl.exe

　　KVMonXP.kxp

　　KVMonXP_1.kxp

　　kvol.exe

　　kvolself.exe

　　KvReport.kxp

　　KVScan.kxp

　　KVSrvXP.exe

　　KVStub.kxp

　　kvupload.exe

　　kvwsc.exe

　　KvXP.kxp

　　KvXP_1.kxp

　　KWatch.exe

　　KWatch9x.exe

　　KWatchX.exe

　　loaddll.exe

　　MagicSet.exe

　　mcconsol.exe

　　mmqczj.exe

　　mmsk.exe

　　Navapsvc.exe

　　Navapw32.exe

　　nod32.exe

　　nod32krn.exe

　　nod32kui.exe

　　NPFMntor.exe

　　PFW.exe

　　PFWLiveUpdate.exe

　　QHSET.exe

　　QQDoctor.exe

　　QQKav.exe

　　Ras.exe

　　RsAgent.exe

　　Rsaupd.exe

　　rstrui.exe

　　runiep.exe

　　safelive.exe

　　shcfg32.exe

　　SmartUp.exe

　　SREng.EXE

　　symlcsvc.exe

　　SysSafe.exe

　　TrojanDetector.exe

　　Trojanwall.exe

　　TrojDie.kxp

　　UIHost.exe

　　UmxAgent.exe

　　UmxAttachment.exe

　　UmxCfg.exe

　　UmxFwHlp.exe

　　UmxPol.exe

　　upiea.exe

　　UpLive.exe

　　USBCleaner.exe

　　vsstat.exe

　　webscanx.exe

　　WoptiClean.exe

　　劫持到C:\Windows\system32\bsmain.exe

　　5.遍歷非系統(tǒng)分區(qū)，覆蓋感染exe文件，被感染的文件無(wú)法修復(fù)。由于病毒本體采用瑞星殺毒軟件的圖標(biāo)，所以被感染的文件也全變成瑞星殺毒軟件的模樣...

　　6.修改txt文件關(guān)聯(lián)指向C:\Windows\system32\bsmain.exe

　　解決辦法：

　　下載sreng：

　　1.打開(kāi)sreng，啟動(dòng)項(xiàng)目 注冊(cè)表 刪除如下項(xiàng)目

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的

　　[Beijing Rising Technology Co., Ltd.]

　　把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的

　　shell值改為explorer.exe

　　并刪除所有紅色的IFEO項(xiàng)目

　　系統(tǒng)修復(fù)-文件關(guān)聯(lián) 點(diǎn)擊修復(fù)

　　2.雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件(推薦)"前面的鉤。在提示確定更改時(shí)，單擊“是” 然后確定

　　刪除C:\WINDOWS\system32\bsmain.exe

　　3.對(duì)于被覆蓋感染的exe文件，就只能全部刪除了...默哀吧...

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶(hù)信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達(dá)1.35 Tbps。然而，事情才過(guò)去五天，DDoS攻擊再次刷新紀(jì)錄，美國(guó)一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國(guó)有2.5萬(wàn) Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋(píng)果 iOS iBoot源碼泄露

　　2018年2月，開(kāi)源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺(tái))上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以?xún)|計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開(kāi)發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。

　　四、韓國(guó)平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊

　　2018年2月，韓國(guó)平昌冬季奧運(yùn)會(huì)開(kāi)幕式當(dāng)天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會(huì)官網(wǎng)均無(wú)法正常運(yùn)作，許多觀眾無(wú)法打印開(kāi)幕式門(mén)票，最終未能正常入場(chǎng)。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱(chēng)，此次事故是加密貨幣惡意軟件首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)展開(kāi)攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡(jiǎn)稱(chēng)HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因?yàn)檫@種惡意軟件會(huì)嚴(yán)重降低 HMI 的運(yùn)行速度。

病毒查殺方法是什么相關(guān)文章：

1.CAD病毒查殺方法教程怎么手動(dòng)殺毒

2.電腦病毒殺掉有什么辦法

3.如何去深度查殺電腦病毒

4.電腦病毒如何查殺

5.怎么用360安全衛(wèi)士查殺電腦病毒