极虎

这是人工搜索“极虎”的结果，整理出下列的摘要介绍、精选网站、图片照片、各类资料和用户留言。

极虎介绍

极虎

参看：极光0Day漏洞|360后门。

极虎，一种网络木马下载器病毒，其威力比“熊猫烧香”猛上数倍。“极虎”病毒，通过全国大学四、六级考试网等一些访问量较大的网站进行挂马传播。据统计，2月7日，超过10万台电脑感染该病毒。

2010年2月初，临近春节，大量网友开机后发现，电脑“自动”提示系统文件丢失。进程中还出现rar.exe 和 ping.exe 等一些模名其妙的进程， 不仅占用大量系统资源并无法结束进程。这就是中了“极虎”的表现。根据大批受害用户的反映，感染“极虎”下载器的电脑系统速度明显变慢，CPU占用极高。部分用户的电脑被“极虎”侵袭后，还会出现桌面IE图标被修改、IE主页异常、杀毒软件无法打开、大量exe文件被感染，反复报毒却无法清除等各种症状，并会自动下载大量木马病毒。

各类相关信息

极虎病毒

据金山安全实验室反病毒专家李铁军介绍，“极虎”木马下载器堪称“毒中之毒”。在“极虎”病毒上体现了四最：

1. 传播方式最多，网页挂马、U盘、局域网传播、欺诈下载等多达近十种
2. 最难清除。感染系统文件让普通的杀毒软件“不敢”清除，比如该病毒会感染11余种系统文件，而且手动清除也非常复杂
3. 下载其他病毒最多。感染了“极虎”病毒的电脑会自动下载近百种病毒，包含了IE主页篡改类病毒、热门游戏盗号器、流氓软件安装器以及其他类型下载器，下载病毒数量之多实属罕见。
4. 对用户系统影响最大。

从用户的搜索结果看，关于“ping” 病毒和 “rar ”病毒已经有相当高的搜索量。由于春节长假，一方面用户对病毒放松了警惕，而一些安全软件对它都无法监控、也不能处理，用户遭受恶意代码攻击的机会因此大增。

金山安全实验室反病毒专家针对“极虎”国内首家提出应急预案，未安装金山毒霸的用户可以免费下载金山毒霸贺岁版，可完全防御极虎病毒;同时使用全功能永久免费的金山网盾防御极虎侵袭。对于没及时更新病毒库或非毒霸用户如果不小心感染“极虎”病毒，使用金山急救箱对病毒木马活体进行"灭活"，并恢复病毒对系统的破坏，清除感染后的可执行文件和被感染的网页。

360安全论坛“极虎”病毒详解

据最近的研究分析表现，极虎病毒是目前为止，集成了各种病毒、木马、木马下载器、蠕虫特征的超强恶意软件。差不多是若干知名病毒的混合体：传播方式超越熊猫烧香；对杀毒软件的破坏力相当于AV终结者、磁碟机；对系统的破坏力更是始无前例；攻击者的目标极度贪婪，会下载各种盗号木马、流氓软件，偷帐号，弹广告，刷流量，可谓无恶不作。

来分析一下极虎病毒创造的四个“之最”：

传播方式“最”多样：

1. 网页挂马传播，会利用极光0day等系统漏洞传播
2. 局域网共享传播，通过弱口令在局域网内渗透
3. 通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播
4. 软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载
5. 感染网页格式的文件进行二次传播（这招熊猫烧香用过）如果不幸某网编中招，就可能造成网站的来访者中毒。
6. 感染可执行文件（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式化，这样重装后，很容易再次中毒）
7. 感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，进程中发现多个rar.exe在运行）
8. 在系统文件夹创建usp10.dll和lpk.dll（这是部分变种的特征，和猫癣病毒的传播手法一致）

下载的病毒“最”多样

1. IE主页篡改类病毒（绑架浏览器，为某些导航站刷流量）
2. 热门游戏盗号器
3. 流氓软件安装器（弹广告，改系统配置）
4. 其他类型下载器

清除病毒修复系统最“难”搞

1. 感染系统文件让杀毒软件不敢清除，简单的删除这些文件，会损坏系统，比如该病毒会感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等10余种系统文件
2. 感染所有压缩包，手工清除难度大（几乎是无法完成的）
3. 感染所有网页文件，手工清除难度大
4. 局域网内传播，全网查杀难度大（病毒总在查询网络中其它有风险的计算机，会令网速下降）
5. 感染u盘等移动设备，一不小心可导致反复感染。
6. 对抗杀毒软件，主动防御拦截容易被针对性绕过
7. 每日更新，杀毒软件一不留神就不能防御
8. 自保护驱动，攻击驱动技术对抗杀毒软件

中毒后，对系统的影响“最”大

1. 综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭
2. 开机提示系统文件丢失
3. 系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪
4. 进程中莫名出现rar.exe 和 ping.exe 无法结束，或结束后又会再起来。
5. 大量exe文件被感染，反复报毒
6. 桌面IE图标被修改，IE主页异常
7. 部分变种会在程序文件夹下创建usp10.dll和lpk.dll，手动无法删除

以下是对”极虎“病毒的详细分析：

概述:近期,毒霸捕获到高危的感染型下载者病毒，以下是用户的求助：

1. PING.EXE的进程在不停的跳动，无法结束
2. 准备装杀软，发现绝大部分杀软网站都无法访问
3. 装360杀毒，安装后无法启动杀软，双击无反应
4. 装瑞星2010，能安装，重新启动后无法正常启动，所有监控关闭
5. 装费尔能杀，能检测到注册表异常，修复后一直报病毒，能删除，但是一直在不停的删除
6. 安全模式还没加载完就自动重启
7. 微点、瑞星主动防御启动失败
8. 360：无法启动，点后也没反应（进程能看到）

监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除，从而导致用户的系统文件受损。

病毒危害

该病毒会感染用户机器上的所有可执行文件，并联网下载大量盗号、广告类软件，严重危害到系统的安全，同时该病毒非常隐蔽，没有特定的进程，而采用"线程" 插入的方法，插入到正常的系统进程Svchost.exe中，只有在进程模块中，才能看到病毒原体。

中毒后的现象: 用户机器出现"很卡"的现象，因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件，感染压缩包中的其它程序文件后，再打包。如果清除病毒不彻底的话，用户可能会在重新打开压缩文件时再次中毒。同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程。正常的系统文件appmgmts.dll被病毒替换：(正常的appmgmts.dll有版本信息等而病毒释放的则没有)　3.系统中一些EXE文件无故变大,例如：看图软件ACDSee被感染前后，文件大小虽改变，但是文件修改时间没变，大部分用户无法发现病毒的潜伏体，一旦点击，后果不堪设想..文件被感染后,多出了一个".tc节"　该病毒还会感染html、htm、asp等网页文件　感染后会在网页文件的末尾插入一段恶意的挂马网址　更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去: （盗用百度被黑时，李彦宏说的：始无前例啊，始无前例） 网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并激活该病毒的新变种。利用$ipc查看局域网内的所有共享，并试图感染局域网的其他机器。系统被加载由病毒体释放的驱动文件，如果安装的杀软和该驱动有冲突，很容易造成用户机器蓝屏。操作系统会弹出提示，关键系统文件被替换　

修复建议：及时更新杀毒软件和系统补丁，最好增加系统实时监控或HIPS等功能，对系统文件修改给出提示。

更多

别名

极虎病毒、查杀极虎病毒。

分类

关于“极虎”的留言：