電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵。對于bsmain.exe ，這是一個模仿瑞星殺毒軟件的惡意程序，使用VB編寫，包括版本信息，文件圖標均和瑞星的文件一致，并試圖卸載瑞星殺毒軟件，覆蓋感染可執(zhí)行文件。因此可以把它叫做“瑞星仇恨者”

　　病毒具體分析如下：

　　Quote:

　　File: bsmain.exe

　　Size: 131072 bytes

　　File Version: 20.00

　　Modified: 2008年3月7日, 22:18:04

　　MD5: 1EFE96D8D20513351DB5C1681D7BBAFE

　　SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D

　　1.病毒初始化，試圖卸載瑞星殺毒軟件，首先嘗試直接啟動C:\Program Files\Rising\Rav\update\setup.exe,如果找不到則在注冊表中查找SOFTWARE\rising\Rav鍵，并利用RegQueryValueEx函數(shù)獲得該鍵下面的installpath信息，即瑞星的安裝路徑。之后會在后臺啟動瑞星安裝目錄下Update\Setup.exe的卸載程序，成功啟動后，會查找類名為Button，窗口為卸載(&U)的窗口，然后PostMessage發(fā)送消息，接著查找名為“下一步(&N)”的窗口，再PostMessage模擬用戶按鍵發(fā)送消息，這樣就完成了模擬卸載的過程。

　　2.釋放如下文件或者副本：

　　C:\Windows\system32\bsmain.exe(病毒文件)

　　不斷的遍歷A-Z盤 查找可移動存儲設備，如果有則在其中生成bsmain.exe和autorun.inf達到隨移動存儲傳播的目的。

　　3.在注冊表中添加如下啟動項目

　　Quote:

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的

　　[Beijing Rising Technology Co., Ltd.]

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的

　　[Beijing Rising Technology Co., Ltd.]

　　以此達到開機啟動自身的目的

　　4.添加映像劫持項目劫持如下常見殺毒軟件

　　Quote:

　　360Safe.exe

　　360tray.exe

　　adam.exe

　　AgentSvr.exe

　　AppSvc32.exe

　　ArSwp.exe

　　AST.exe

　　autoruns.exe

　　avconsol.exe

　　avgrssvc.exe

　　AvMonitor.exe

　　avp.com

　　avp.exe

　　ccSvcHst.exe

　　ceSword.exe

　　EGHOST.exe

　　FileDsty.exe

　　FTCleanerShell.exe

　　FYFireWall.exe

　　HijackThis.exe

　　IceSword.exe

　　iparmo.exe

　　Iparmor.exe

　　isPwdSvc.exe

　　kabaload.exe

　　KaScrScn.SCR

　　KASMain.exe

　　KASTask.exe

　　KAV32.exe

　　KAVDX.exe

　　KAVPF.exe

　　KAVPFW.exe

　　KAVSetup.exe

　　KAVStart.exe

　　KISLnchr.exe

　　KMailMon.exe

　　KMFilter.exe

　　KPFW32.exe

　　KPFW32X.exe

　　KPfwSvc.exe

　　KRegEx.exe

　　KRepair.com

　　KsLoader.exe

　　KVCenter.kxp

　　KvDetect.exe

　　KvfwMcl.exe

　　KVMonXP.kxp

　　KVMonXP_1.kxp

　　kvol.exe

　　kvolself.exe

　　KvReport.kxp

　　KVScan.kxp

　　KVSrvXP.exe

　　KVStub.kxp

　　kvupload.exe

　　kvwsc.exe

　　KvXP.kxp

　　KvXP_1.kxp

　　KWatch.exe

　　KWatch9x.exe

　　KWatchX.exe

　　loaddll.exe

　　MagicSet.exe

　　mcconsol.exe

　　mmqczj.exe

　　mmsk.exe

　　Navapsvc.exe

　　Navapw32.exe

　　nod32.exe

　　nod32krn.exe

　　nod32kui.exe

　　NPFMntor.exe

　　PFW.exe

　　PFWLiveUpdate.exe

　　QHSET.exe

　　QQDoctor.exe

　　QQKav.exe

　　Ras.exe

　　RsAgent.exe

　　Rsaupd.exe

　　rstrui.exe

　　runiep.exe

　　safelive.exe

　　shcfg32.exe

　　SmartUp.exe

　　SREng.EXE

　　symlcsvc.exe

　　SysSafe.exe

　　TrojanDetector.exe

　　Trojanwall.exe

　　TrojDie.kxp

　　UIHost.exe

　　UmxAgent.exe

　　UmxAttachment.exe

　　UmxCfg.exe

　　UmxFwHlp.exe

　　UmxPol.exe

　　upiea.exe

　　UpLive.exe

　　USBCleaner.exe

　　vsstat.exe

　　webscanx.exe

　　WoptiClean.exe

　　劫持到C:\Windows\system32\bsmain.exe

　　5.遍歷非系統(tǒng)分區(qū)，覆蓋感染exe文件，被感染的文件無法修復。由于病毒本體采用瑞星殺毒軟件的圖標，所以被感染的文件也全變成瑞星殺毒軟件的模樣...

　　6.修改txt文件關聯(lián)指向C:\Windows\system32\bsmain.exe

　　解決辦法：

　　下載sreng：

　　1.打開sreng，啟動項目 注冊表 刪除如下項目

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的

　　[Beijing Rising Technology Co., Ltd.]

　　把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的

　　shell值改為explorer.exe

　　并刪除所有紅色的IFEO項目

　　系統(tǒng)修復-文件關聯(lián) 點擊修復

　　2.雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護的操作系統(tǒng)文件(推薦)"前面的鉤。在提示確定更改時，單擊“是” 然后確定

　　刪除C:\WINDOWS\system32\bsmain.exe

　　3.對于被覆蓋感染的exe文件，就只能全部刪除了...默哀吧...

　　相關閱讀：2018網(wǎng)絡安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內，幾乎近20年發(fā)售的所有設備都受到影響，受影響的設備包括手機、電腦、服務器以及云計算產品。這些漏洞允許惡意程序從其它程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務器進行攻擊。網(wǎng)絡安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設施運營技術網(wǎng)絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU，致歐洲廢水處理服務器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關鍵基礎設施運營商的運營技術網(wǎng)絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統(tǒng)癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

病毒查殺方法是什么相關文章：

1.CAD病毒查殺方法教程怎么手動殺毒

2.電腦病毒殺掉有什么辦法

3.如何去深度查殺電腦病毒

4.電腦病毒如何查殺

5.怎么用360安全衛(wèi)士查殺電腦病毒