来源:蜘蛛抓取(WebSpider)
时间:2017-08-15 03:51
标签:
一氧化二氢恶作剧
“QQ盗号木马102522”(Win32.PSWTroj.QQPass.102522),这是一个针对QQ聊天软件的盗号木马程序。它将自身复制到Internet Explorer的插件目录,然后修改注册表实现开机自启动。最终注入系统进程中查找QQ进程,伺机盗取QQ号及其密码。
“混乱逻辑”(VBS.Indra.a.13817),这是一个脚本病毒。该病毒运行后会感染电脑里的vbs、vbe等脚本文件文件,并将系统中的zip文件隐藏起来,代之以含毒的压缩文件。它还会生成一个恶作剧程序,在屏幕上不断滚动播放一些图案和字符。
一、“QQ盗号木马102522”(Win32.PSWTroj.QQPass.102522)& 威胁级别:★
病毒进入电脑系统后,在系统盘的%windows%program filesInternet ExplorerPLUGINS目录,也就是IE浏览器的插件目录下释放出四个病毒文件,分别为NvSys74.Sys、NvSys74.Tao、NvWin75.Jmp,以及NvWin65.Lst。接着,它修改注册表启动项,把自己的相关信息加入其中,使自己以后都可以随着系统启动而自动运行起来。
当病毒运行起来,它便注入到系统进程中,搜寻是否有已启动QQ即时聊天软件。如发现,就会立刻将其强行关闭,迫使用户不得不重新登录。在用户再次输入登录时,病毒就能通过记录窗口文本和键盘操作的方法弄到用户的QQ号和密码。此外,该病毒还会尝试获取当前用户计算机的IP地址和所在城市。
如果顺利窃取到用户的以上信息,病毒就悄悄连接远程服务器,把赃物发送给木马种植者。一些木马种植者得到QQ号后,会很快将其卖掉,而一些更恶劣的种植者,则可能利用这些盗来的QQ号诈骗用户的好友。因此,如发现QQ号被盗,应尽快上报腾讯和通知好友,避免遭受更大损失。
二、“混乱逻辑”(VBS.Indra.a.13817)& 威胁级别:★
此病毒进入电脑系统后,会在系统盘中释放出四个病毒文件,分别为系统盘根目录下的run.bat、%windows%目录下的、%windows%Desktop目录下的Sex-Picture.jpg.lnk、以及%windows%system目录下的Sex-Picture.vbs。如果用户系统盘下存在Program FilesKMDMy Shared Folder这个目录,病毒也会在里面生成大量伪装成图片、视频文件的vbs脚本病毒。
病毒开始运行后,会搜索各磁盘分区中的vbs和vbe脚本文件,然后将自己写入其中,感染这些正常文件。感染完后,它还会给这些文件做上标记,以免以后重复感染,降低自己的传染效率。接着,病毒搜索磁盘中所有的ZIP压缩文件,发现之后就将它们隐藏起来,并在原来的位置上留下一个与原文件同名,但加上“Z”后缀的含毒压缩文件。如果用户把含毒压缩文件当成正常文件打开,病毒就会被再次激活。
此外,病毒作者还给病毒加上了一个恶作剧程序,随机地跳出来嘲弄受害用户。该程序运行起来时,电脑会瞬间黑屏,然后滚动播放含有“Psycho logic(心理逻辑)”字样的动物图案,令受害用户更加心急如焚。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。计算机病毒的产生预防及其他_计算机病毒预防措施
计算机病毒的产生预防及其他
发表时间: 2:21:02 文章来源:
病毒不是来源于突发的缘由。电脑病毒的制造却来自于1次偶然的事件,那时的研究人员为了计算出当时互 计算机病毒矢量图(18张)联网的在线人数,但是它却自己“繁殖”了起来致使了全部服务器的崩溃和梗塞,有时1次突发的停电和偶然的毛病,会在计算机的磁盘和内存中产生1些乱码和随机指令,但这些代码是无序和混乱的,病毒则是1种比较完善的,精致严谨的代码,依照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然构成,并且需要有1定的长度,这个基本的长度从几率上来说是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:1些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了庆祝和求爱,为了得到控制口令,为了软件拿不到报酬预留的圈套等.固然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括1些病毒研究机构和黑客的测试病毒. 提高系统的安全性是防病毒的1个重要方面,但完善的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另外一方面,信息保密的要求让人们在泄密和捉住病毒之间没法选择。 加强内部网络管理人员和使用人员的安全意识很多计算机系统经常使用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之1。
病毒不是来源于突发或偶然的缘由。病毒来自于1次偶然的事件,那时的研究人员为了计算出当时互联网的在线人数,但是它却自己“繁殖”了起来致使了全部服务器的崩溃和梗塞,有时1次突发的停电和偶然的毛病,会在计算机的磁盘和内存中产生1些乱码和随机指令,但这些代码是无序和混乱的,病毒则是1种比较完善的,精致严谨的代码,依照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然构成,并且需要有1定的长度,这个基本的长度从几率上来说是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:1些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了庆祝和求爱还有的是为了赚钱,为了得到控制口令,为了软件拿不到报酬预留的圈套等.固然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括1些病毒研究机构和黑客的测试病毒.
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当到达某种条件时即被激活的具有对计算机资源进行破坏作用的1组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统圈套入口等等。计算机病毒虽是1个小小程序,但它和通的计算机程序不同,具有以下特点。 2.1 寄生性: 计算机病毒寄生在其他程序当中,当履行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不容易被人发觉的。
2.2沾染性: 计算机病毒不但本身具有破坏性,更有害的是具有沾染性,1旦病毒被复制或产生变种,其速度之快使人难以预防。沾染性是病毒的基本特点。在生物界,病毒通过沾染从1个生物体分散到另外一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症乃至死亡。一样,计算机病毒也会通过各种渠道从已被感染的计算机分散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常乃至瘫痪。与生物病毒不同的是,计算机病毒是1段人为编制的计算机程序代码,这段程序代码1旦进入计算机井得以履行,它就会搜索其他符合其沾染条件的程序或存储介质,肯定目标后再将本身代码插入其中,到达自我繁殖的目的。只要1台计算机染毒,如不及时处理,那末病毒会在这台机子上迅速分散,其中的大量文件(1般是可履行文件)会被感染。而被感染的文件又成了新的沾染源,再与他机器进行数据交换或通过网络接触,病毒会继续进行沾染。 正常的计算机程序1般是不会将本身的代码强行连接到其他程序之上的。而病毒却能使本身的代码强行沾染到1切符合其沾染条件的未遭到沾染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、U盘、计算机网络去沾染其他的计算机。当您在1台机器上发现了病毒时,常常曾在这台计算机上用过的U盘等载体已感染上了病毒,而与这台机器相联网的其他计算机或许也被该病毒染上了。是不是具有沾染性是辨别1个程序是不是为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把本身嵌入到其中的方法到达病毒的沾染和分散。被嵌入的程序叫做宿主程序。 3.3潜伏性: 有些病毒像定时炸弹1样,让它甚么时间发作是预先设计好的。比如黑色星期5病毒,不到预定时间1点都觉察不出来,等到条件具有的时候1下子就爆炸开来,对系统进行破坏。1个编制精致的计算机病毒程序,进入系统以后1般不会马上发作,可以在几周或几个月内乃至几年内隐藏在合法文件中,对其他系统进行沾染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的沾染范围就会愈大。 潜伏性的第1种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘等载体里呆上几天,乃至几年,1旦时机成熟,得到运行机会,就又要4处繁殖、分散,继续为害。 潜伏性的第2种表现是指,计算机病毒的内部常常有1种触发机制,不满足触发条件时,计算机病毒除沾染外不做甚么破坏。触发条件1旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则履行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封闭键盘和使系统死锁等。 3.4隐蔽性: 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。 3.5破坏性: 计算机中毒后,可能会致使正常的程序没法运行,把计算机内的文件删除或遭到不同程度的破坏。 3.6可触发性: 病毒因某个事件或数值的出现,诱使病毒实行感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,1直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要保持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件多是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是不是满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。 4.计算机病毒的检测和防范 4.1计算机病毒防范技术的工作原理。 目前,计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。 (1)签名扫描:通过搜索目标(宿主计算机、磁盘驱动器或文件)来查找表示歹意软件的模式。 (2)启发式扫描:通过查找通用的歹意软件特点,来尝试检测新情势和已知情势的歹意软件。
计算机病毒可以像生物病毒1样进行繁殖,当正常程序运行的时候,它也进行运行本身复制,是不是具有繁殖、感染的特点是判断某段程序为计算机病毒的重要条件。
计算机中毒后,可能会致使正常的程序没法运行,把计算机内的文件删除或遭到不同程度的破坏。通常表现为:增、删、改、移。
计算机病毒不但本身具有破坏性,更有害的是具有沾染性,1旦病毒被复制或产生变种,其速度之快使人难以预防。沾染性是病毒的基本特点。在生物界,病毒通过沾染从1个生物体分散到另外一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症乃至死亡。一样,计算机病毒也会通过各种渠道从已被感染的计算机分散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常乃至瘫痪。与生物病毒不同的是,计算机病毒是1段人为编制的计算机程序代码,这段程序代码1旦进入计算机并得以履行,它就会搜索其他符合其沾染条件的程序或存储介质,肯定目标后再将本身代码插入其中,到达自我繁殖的目的。只要1台计算机染毒,如不及时处理,那末病毒会在这台电脑上迅速分散,计算机病毒可通过各种可能的渠道,如软盘、硬盘、移动硬盘、计算机网络去沾染其他的计算机。当您在1台机器上发现了病毒时,常常曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机或许也被该病毒染上了。是不是具有沾染性是辨别1个程序是不是为计算机病毒的最重要条件。
有些病毒像定时炸弹1样,让它甚么时间发作是预先设计好的。比如黑色星期5病毒,不到预定时间1点都觉察不出来,等到条件具有的时候1下子就爆炸开来,对系统进行破坏。1个编制精致的计算机病毒程序,进入系统以后1般不会马上发作,因此病毒可以静静地躲在磁盘或磁带里呆上几天,乃至几年,1旦时机成熟,得到运行机会,就又要4处繁殖、分散,继续危害。潜伏性的第2种表现是指,计算机病毒的内部常常有1种触发机制,不满足触发条件时,计算机病毒除沾染外不做甚么破坏。触发条件1旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则履行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封闭键盘和使系统死锁等。
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
病毒因某个事件或数值的出现,诱使病毒实行感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,1直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要保持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件多是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是不是满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
根据多年对计算机病毒的研究,依照科学的、系统的、周密的方法,计算机病毒可分类以下:依照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类: 按病毒存在的媒体 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可履行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这3种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。 按病毒沾染的方法 根据病毒沾染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把本身的内存驻留部份放在内存(RAM)中,这1部份程序挂接系统调用并合并到操作系统中去,他处于激活状态,1直到关机或重新启动.非驻留型病毒在得到机会激活时其实不感染计算机内存,1些病毒在内存中留有小部份,但是其实不通过这1部份进行沾染,这类病毒也被划分为非驻留型病毒。 按病毒破坏的能力 无害型:除沾染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图象、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的毛病。 非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统酿成的危害,其实不是本身的算法中存在危险的调用,而是当它们沾染时会引发没法预感的和灾害性的破坏。由病毒引发其它的程序产生的毛病也会破坏文件和扇区,这些病毒也依照他们引发的破坏能力划分。1些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在初期的病毒中,有1个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引发大量的数据丢失。 按病毒的算法 伴随型病毒,这1类病毒其实不改变文件本身,它们根据算法产生EXE文件的伴随体,具有一样的名字和不同的扩大名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把本身写入COM文件其实不改变EXE文件,当DOS加载文件时,伴随体优先被履行到,再由伴随体加载履行原来的EXE文件。 “蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从1台机器的内存传播到其它机器的内存,计算网络地址,将本身的病毒通过网络发送。有时它们在系统存在,1般除内存不占用其它资源。 寄生型病毒除伴随和“蠕虫”型,其它病毒都可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒本身包括毛病,不能进行很好的传播,例如1些病毒在调试阶段。 诡秘型病毒它们1般不直接修改DOS中断和扇区数据,而是通过装备技术和文件缓冲区等DOS内部修改,不容易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒)这1类病毒使用1个复杂的算法,使自己每传播1份都具有不同的内容和长度。它们1般的作法是1段混有没有关指令的解码算法和被变化过的病毒体组成。
在病毒的发展史上,病毒的出现是有规律的,1般情况下1种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调剂为新的方式,产生新的病毒技术。它可划分为: DOS引导阶段 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,1般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先获得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效力,在系统存取磁盘时进行传播; 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”; DOS可履行阶段 1989年,可履行文件型病毒出现,它们利用DOS系统加载履行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统履行文件时获得控制权,修改DOS中断,在系统调用时进行沾染,并将自己附加在可履行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。 伴随、批次型阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成1个和EXE同名但扩大名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生1个原名的伴随体,文件扩大名为COM,这样,在DOS加载文件时,病毒就获得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,消除病毒时只要将其伴随体删除便可。在非DOS操作系统中,1些伴随型病毒利用操作系统的描写语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到履行时,询问用户名称和口令,然后返回1个出错信息,将本身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的1类病毒。 幽灵、多形阶段 1994年,随着汇编语言的发展,实现同1功能可以用不同的方式进行完成,这些方式的组合使1段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染1次就产生不同的代码。例如“1半”病毒就是产生1段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是1种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,1种病毒常常要两段以上的子程序方能消除。 生成器,变体机阶段 1995年,在汇编语言中,1些数据的运算放在不同的通用寄存器中,可运算出一样的结果,随机的插入1些空操作和无关指令,也不影响运算的结果,这样,1段解码算法就能够由生成器生成,当生成器的生成结果为病毒时,就产生了这类复杂的“病毒生成器” ,而变体机就是增加解码复杂程度的指令生成机制。这1阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出不计其数种不同的病毒,查解时就不能使用传统的特点辨认法,需要在宏观上分析指令,解码后查解病毒。 网络,蠕虫阶段 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存之外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将本身向下1地址进行传播,有时也在网络服务器和启动文件中存在。 视窗阶段 1996年,随着Windows和Windows95的日趋普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更加复杂,它们利用保护模式和API调用接口工作,消除方法也比较复杂。 宏病毒阶段 1996年,随着Windows Word功能的增强,使用Word宏语言也能够编制病毒,这类病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公然,这类病毒查解比较困难。 互联网阶段 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,1些携带病毒的数据包和邮件愈来愈多,如果不谨慎打开了这些邮件,机器就有可能中毒; 邮件炸弹阶段 1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获得的病毒开始出现,典型的代表是JavaSnake病毒,还有1些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效力。
计算机病毒的破坏行动体现了病毒的杀伤能力。病毒破坏行动的剧烈程度取决于病毒作者的主观欲望和他所具有的技术能量。数以万计不断发展扩大的病毒,其破坏行动千奇百怪,不可能穷举其破坏行动,而且难以做全面的描写,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳以下: 攻击系统数据区,攻击部位包括:硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。迫使计算机空转,计算机速度明显降落。 攻击磁盘,攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。 扰乱屏幕显示,病毒扰乱屏幕显示的方式很多,可罗列以下:字符跌落、环绕、颠倒、显示前1屏、光标下跌、滚屏、抖动、乱写、吃字符等。 键盘病毒,干扰键盘操作,已发现有下述方式:响铃、封闭键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒,许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。 攻击CMOS , 在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。 干扰打印机,典型现象为:假报警、中断性打印、更换字符等。
会造成计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾害,随着信息化社会的发展,计算机病毒的要挟日趋严重,反病毒的任务也更加艰巨了。日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,导致这个具有数万台计算机的网络被梗塞。这件事就像是计算机界的1次大地震,引发了巨大反响,震惊全球,引发了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,中国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,尔后由计算机病毒发作而引发的“病毒事件”接连不断,前1段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。
1.计算机系统运行速度减慢。 2.计算机系统常常无故产生死机。 3.计算机系统中的文件长度产生变化。 4.计算机存储的容量异常减少。 5.系统引导速度减慢。 6.丢失文件或文件破坏。 7.计算机屏幕上出现异常显示。 8.计算机系统的蜂鸣器出现异常声响。 9.磁盘卷标产生变化。 10.系统不辨认硬盘。 11.对存储系统异常访问。 12.键盘输入异常。 13.文件的日期、时间、属性等产生变化。 14.文件没法正确读取、复制或打开。 15.命令履行出现毛病。 16.虚假报警。 17.换当前盘。有些病毒会将当前盘切换到C盘。 18.时钟倒转。有些病毒会命名系统时间倒转,逆向计时。 19.WINDOWS操作系统无故频繁出现毛病。 20.系统异常重新启动。 21.1些外部装备工作异常。 22.异常要求用户输入密码。 23.WORD或EXCEL提示履行“宏”。 24.使不应驻留内存的程序驻留内存。
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到1定阶段的必定产物。它产生的背景是: (1)计算机病毒是计算机犯法的1种新的衍化情势 计算机病毒是高技术犯法,具有瞬时性、动态性和随机性。不容易取证,风险小破坏大,从而刺激了犯法意识和犯法活动。是某些人恶作剧和报复心态在计算机利用领域的表现; (2)计算机软硬件产品的脆弱性是根本的技术缘由 计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效力低下且生产周期长;人们至今没有办法事前了解1个程序有无毛病,只能在运行中发现、修改毛病,其实不知道还有多少毛病和缺点隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
如何检查笔记本是不是中了病毒?以下就是?检查步骤: 1、进程 首先排查的就是进程了,方法简单,开机后,甚么程序都不要运行! 第1步:直接打开任务管理器,查看有无可疑的进程,不认识的进程可以Google或百度1下。 第2步:打开冰刃等软件,先查看有无隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是不是正确。 第3步:如果进程全部正常,则利用Wsyscheck等工具,查看是不是有可疑的线程注入到正常进程中。 2、自启动项目 进程排查终了,如果没有发现异常,则开始排查启动项。 第1步:用msconfig观察是不是有可疑的服务,开始,运行,输入“msconfig”,肯定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐1确认剩下的服务是不是正常(可以凭经验辨认,也能够利用搜索引擎)。 第2步:用msconfig观察是不是有可疑的自启动项,切换到“启动”选项卡,逐1排查就能够了。 第3步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。 3、网络连接 ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。然后直接用冰刃的网络连接查看,是不是有可疑的连接,对IP地址如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE阅读器等),再次查看网络连接信息。 4、安全模式 重启,直接进入安全模式,如果没法进入,并且出现蓝屏等现象,则应当引发警惕,多是病毒入侵的后遗症,也可能病毒还没有清除! 5、映像劫持 打开注册表器,定位:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有无可疑的映像劫持项目,如果发现可疑项,极可能已中毒。 6、CPU时间 如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法以下: 打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后肯定,单击CPU时间的标题,进行排序,寻觅除SystemIdleProcess和SYSTEM之外,CPU时间较大的进程,这个进程需要引发1定的警惕。
命名 很多时候大家已用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些1串英文还带数字的病毒名,这时候有些人就蒙了,那末长1串的名字,我怎样知道是甚么病毒啊? 其实只要我们掌握1些病毒的命名规则,我们就可以通过杀毒软件的报告中出现的病毒名来判断该病毒的1些共有的特性了:1般格式为:.. 病毒前缀是指1个病毒的种类,他是用来区分病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指1个病毒的家族特点,是用来区分和标识病毒家族的,如之前著名的CIH病毒的家族名都是统1的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指1个病毒的变种特点,是用来区分具体某个家族病毒的某个变种的。1般都采取英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此1般称为 “振荡波B变种”或“振荡波变种B”。如果该病毒变种非常多,可以采取数字与字母混合表示变种标识。 主名称 病毒的主名称是由分析员根据病毒体的特点字符串、特定行动或所使用的编译平台来定的,如果没法肯定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Small”。 版本信息 版本信息只允许为数字,对版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行动类型、行动类型、宿主文件类型、主名称均相同,则认为是同1家族的病毒,这时候需要变种号来辨别不同的病毒记录。如果1位版本号不够用则最多可以扩大3位,并且都均为小写字母a―z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这类类型的病毒记录需要附属名称来与病毒主体的病毒记录进行辨别。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包括多种功能 (空) 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行动类型、行动类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同1家族的病毒,这时候需要变种号来辨别不同的病毒记录。变种号为不写字母a―z,如果1位版本号不够用则最多可以扩大3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 病毒长度 病毒长度字段只用于主行动类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。 途径 计算机病毒之所以称之为病毒是由于其具有沾染性的本质。传统渠道通常有以下几种: (1)通过软盘 通过使用外界被感染的软盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的沾染途径。由于使用带有病毒的软盘,使机器感染病毒病发,并沾染给未被感染的“干净”的软盘。大量的软盘交换,合法或非法的程序拷贝,不加控制地随意在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘 通过硬盘沾染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘沾染并再分散。 (3)通过光盘 由于光盘容量大,存储了海量的可履行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作进程中,不可能为病毒防护担当专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、沾染、流行和分散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4)通过网络 这类沾染分散极快,能在很短时间内传遍网络上的机器。 随着Internet的风行,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾害,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全要挟,1种要挟来自文件下载,这些被阅读的或是被下载的文件可能存在病毒。另外一种要挟来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件便可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这类要挟愈来愈严重。 (5)通过U盘 U盘病毒 沾染 计算机病毒的沾染分两种。1种是在1定条件下方可进行沾染,即条件沾染。另外一种是对1种沾染对象的反复沾染即无条件沾染。 从目前蔓延传播病毒来看所谓条件沾染,是指1些病毒在沾染进程中,在被沾染的系统中的特定位置上打上自己独有的示志。这1病毒在再次攻击这1系统时,发现有自己的标志则不再进行沾染,如果是1个新的系统或软件,首先读特定位置的值,并进行判断,如果发现读出的值与自己标识不1致,则对这1系统或利用程序,或数据盘进行沾染,这是1种情况;另外一种情况,有的病毒通过对文件的类型来判断是不是进行沾染,如黑色星期5病毒只感染.COM或.EXE文件等等;还有1种情况有的病毒是以计算机系统的某些装备为判断条件来决定是不是感染。例如大麻病毒可以感染硬盘,又可以感染软盘,但对B驱动器的软盘进行读写操作时不沾染。但我们也发现有的病毒对沾染对象反复沾染。例如黑色星期5病毒只要发现.EXE文件就进行1次沾染,再运行再进行沾染反复进行下去。 可见有条件时病毒能沾染,无条件时病毒也能够进行沾染。 进程 在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将本身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。 可履行文件感染病毒后又怎样感染新的可履行文件? 可履行文件.COM或.EXE感染上了病毒,例如黑色星期5病毒,它驻入内存的条件是在履行被沾染的文件时进入内存的。1旦进入内存,便开始监视系统的运行。当它发现被沾染的目标时,进行以下操作: (1)首先对运行的可履行文件特定地址的标识位信息进行判断是不是已感染了病毒; (2)当条件满足,利用INT 13H将病毒链接到可履行文件的首部或尾部或中间,并存大磁盘中; (3)完成沾染后,继续监视系统的运行,试图寻觅新的攻击目标。 操作系统型病毒是怎样进行沾染的? 正常的PC DOS启动进程是: (1)加电开机落后入系统的检测程序并履行该程序对系统的基本装备进行检测; (2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的处; (3)转入Boot履行; (4)Boot判断是不是为系统盘,如果不是系统盘则提示; non-system disk or disk error Replace and strike any key when ready 否则,读入IBM BIO-COM和IBM DOS-COM两个隐含文件; (5)履行IBM BIOCOM和IBM DOS-COM两个隐含文件,将COMMAND-COM装入内存; (6)系统正常运行,DOS启动成功。 如果系统盘已感染了病毒,PC DOS的启动将是另外一番景象,其进程为: (1)将Boot区中病毒代码首先读入内存的处; (2)病毒将本身全部代码读入内存的某1安全地区、常驻内存,监视系统的运行; (3)修改INT 13H中断服务处理程序的入口地址,使之指向病毒控制模块并履行之。由于任何1种病毒要感染软盘或硬盘,都离不开对磁盘的读写操作,修改INT 13H中断服务程序的入口地址是1项少不了的操作; (4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的处,进行正常的启动进程; (5)病毒程序乘机等待随时准备感染新的系统盘或非系统盘。 如果发现有可攻击的对象,病毒要进行以下的工作: (1)将目标盘的引导扇区读入内存,对该盘进行辨别是不是沾染了病毒; (2)当满足沾染条件时,则将病毒的全部或1部份写入Boot区,把正常的磁盘的引导区程序写入磁盘特写位置; (3)返回正常的INT 13H中断服务处理程序,完成了对目标盘的沾染。 操作系统型病毒对非系统盘感染病毒后最简单的处理方法是甚么? 由于操作系统型病毒只有在系统引导时才进入内存,开始活动,对非系统盘感染病毒后,不从它上面引导系统,则病毒不会进入内存。这时候对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来,然后将带毒盘重新格式化便可。
系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的1般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 蠕虫病毒 蠕虫病毒的前缀是:Worm。这类病毒的共有特性是通过网络或系统漏洞进行传播,很大部份的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。 木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名1般为 Hack。木马病毒的共有特性是通过网络或系统漏洞进入用户的系统并隐藏,然后向外界泄漏用户的信息,而黑客病毒则有1个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒常常是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都愈来愈趋向于整合了。1般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60。这里补充1点,病毒名中有PSW或甚么PWD之类的1般都表示这个病毒有盗取密码的功能(这些字母1般都为“密码”的英文“password”的缩写)1些黑客程序如:网络枭雄(Hack.Nether.Client)等。 脚本病毒 脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有以下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、104日(Js.Fortnight.c.s)等。 宏病毒 其实宏病毒是也是脚本病毒的1种,由于它的特殊性,因此在这里单独算成1类。宏病毒的前缀是:Macro,第2前缀是:Word、Word97、Excel、Excel97(或许还有别的)其中之1。凡是只感染WORD97及之前版本WORD文档的病毒采取Word97作为第2前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采取Word做为第2前缀,格式是:Macro.Word;凡是只感染EXCEL97及之前版本EXCEL文档的病毒采取Excel97做为第2前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采取Excel做为第2前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 后门病毒 后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。 病毒种植程序病毒 这类病毒的共有特性是运行时会从体内释放出1个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(mand.Killer)等。 玩笑病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girl ghost)病毒。 捆绑机病毒 捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与1些利用程序如QQ、IE捆绑起来,表面上看是1个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些利用程序,然后隐藏运行捆绑在1起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到1些其他的,但比较少见,这里简单提1下: DoS:会针对某台主机或服务器进行DoS攻击; Exploit:会自动通过溢出对方或自己的系统漏洞来传播本身,或他本身就是1个用于Hacking的溢出工具; HackTool:黑客工具,或许本身其实不破坏你的机子,但是会被他人加以利用来用你做替身去破坏他人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,到达知己知彼的效果。在杀毒没法自动查杀,打算采取手工方式的时候这些信息会给你很大的帮助。
Backdoor 危害级别:1, 说明:中文名称―“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户没法通过正常的方法制止其运行。“后门”实际上是木马的1种特例,它们之间的区分在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm 危害级别:2, 说明:中文名称―“蠕虫”,是指利用系统的漏洞、外发邮件、同享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这类类型的病毒其子型行动类型用于表示病毒所使用的传播方式 Mail 危害级别:1说明:通过邮件传播 IM 危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN 危害级别:3,说明:通过MSN传播 QQ 危害级别:4,说明:通过OICQ传播 ICQ 危害级别:5,说明:通过ICQ传播 P2P 危害级别:6,说明:通过P2P软件传播 IRC 危害级别:7,说明:通过IRC传播 其他 说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、同享目录、可移动存储介质。 Trojan 危害级别:3,说明:中文名称―“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户没法通过正常的方法制止其运行。这类病毒通常都有益益目的,它的利益目的也就是这类病毒的子行动。 Spy 危害级别:1,说明:盗取用户信息(如文件等) PSW 危害级别:2,说明:具有盗取密码的行动 DL 危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,肯定为:Trojan.DL 事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,肯定为: Trojan.DL IMMSG 危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这1行动与蠕虫的传播行动不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG 危害级别:5,说明:通过MSN传播即时消息 QQMSG 危害级别:6,说明:通过OICQ传播即时消息 ICQMSG 危害级别:7,说明:通过ICQ传播即时消息 UCMSG 危害级别:8,说明:通过UC传播即时消息 Proxy 危害级别:9,说明:将被感染的计算机作为代理服务器 Clicker 危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。 操作准则:该文件不符合正常软件功能组件标识条款的,肯定为:Trojan.Clicker。 (该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer 危害级别:12,说明:通过拨号来欺骗Money的程序 ,注意:没法描写其利益目的但又符合木马病毒的基本特点,则不用具体的子行动进行描写。 AOL、Notifier, 依照原来病毒名命名保存。 Viru 危害级别:4,说明:中文名称―“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时获得运行权的病毒。 Harm 危害级别:5,说明:中文名称―“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)致使本地计算机没法正常使用的程序。 Dropper 危害级别:6,说明:中文名称―“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 逻辑条件引发的事件: 事件1:.释放的文件不是病毒。操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,肯定为:Droper 黑客工具 事件2:释放的文件是病毒。操作准则: 释放的文件是病毒,肯定该文件为:Droper Hack 危害级别:无 ,说明:中文名称―“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit 漏洞探测攻击工具 DDoser 谢绝服务攻击工具 Flooder 洪水攻击工具 ,注意:不能明确攻击方式并与黑客相干的软件,则不用具体的子行动进行描写 Spam ,垃圾邮件 Nuker、Sniffer、Spoofer、Anti ,说明:免杀的黑客工具 Bi Bi nder ,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是不是显示的属性。目前的宿主文件有以下几种。 JS说明:JavaScript脚本文件 VBS说明:VBScript脚本文件 HTML说明:HTML文件 Java说明:Java的Class文件 COM说明:Dos下的Com文件 EXE说明:Dos下的Exe文件 Boot说明:硬盘或软盘引导区 Word说明:MS公司的Word文件 Excel说明:MS公司的Excel文件 PE说明:PE文件 WinREG说明:注册表文件 Ruby说明:1种脚本 Python说明:1种脚本 BAT说明:BAT脚本文件 IRC说明:IRC脚本 事件 1.Elk Cloner 1982年,它被看做攻击个人计算机的第1款全球病毒,也是所有使人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在1个游戏磁盘上,可以被使用49次。在第50次使用的时候,它其实不运行游戏,取而代之的是打开1个空白屏幕,并显示1首短诗。 2.Brain 1986年,Brain是第1款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而致使它不能再被使用。 3.Morri 1988年,Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的其实不是弄破坏,而是用来丈量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地履行、复制Morris,终究致使死机。 4.CIH 1998年,CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不但破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,致使主板破坏。此病毒是由台湾大学生陈盈豪研制的,听说他研制此病毒的目的是记念1986年的灾害或是让反病毒软件难堪。 5.Melissa 1999年,Melissa是最早通过电子邮件传播的病毒之1,当用户打开1封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时以内传遍全球。 6.Love bug 2000年,Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己假装成1封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时以内,这个小小的计算机程序征服了全球范围以内的计算机系统。 7.“红色代码” 2001年,被认为是史上最昂贵的计算机病毒之1,这个自我复制的歹意代码“红色代码”利用了微软IIS服务器中的1个漏洞。该蠕虫病毒具有1个更狠毒的版本,被称作红色代码II。这两个病毒都除可以对网站进行修改外,被感染的系统性能还会严重降落。 8.“Nimda” 2001年尼姆达(Nimda)是历史上传播速度最快的病毒之1,在上线以后的22分钟以后就成为传播最广的病毒。 9.“冲击波” 2003年,冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的1个缺点,对系统端口进行疯狂攻击,可以致使系统崩溃。 10.“震荡波” 2004年,震荡波是又1个利用Windows缺点的蠕虫病毒,震荡波可以致使计算机崩溃其实不断重启。 11.“熊猫烧香” 2007年,熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能利用。 12.“扫荡波” 2008年,同冲击波和震荡波1样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加重了这个病毒的蔓延。这个病毒可以致使被攻击者的机器被完全控制。 13.“Conficker” 2008年,Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实行全球性攻击,引发全球性灾害。不过,这类病毒实际上没有造成甚么破坏。 14.“木马下载器” 2009年,本年度的新病毒,中毒后会产生不等的木马病毒,致使系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 15.“鬼影病毒” 2010年,该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒代码写入MBR寄存,即便格式化重装系统,也没法将完全清除该病毒。犹如“鬼影”1般“阴魂不散”,所以称为“鬼影”病毒。鬼影有上次变种,分别为鬼影、魅影、魔影。都具有很强的隐蔽性和破坏性。 16 .极虎病毒 2010年,该病毒类似qvod播放器的图标。感染极虎以后可能会遭受的情况:计算机进程中稀里糊涂的有ping.exe和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程没法结束。某些文件会出现usp10.dll、lpk.dll文件,,杀毒软件和安全类软件会被自动关闭如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改,没法使用杀毒软件进行清算,1旦清算,系统将没法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户和重要的电子邮件帐户等。 17.宝马病毒 安全卫士电脑病毒之首。破坏电脑软件,杀毒软件和安全类软件会被自动关闭。
1. 建立良好的安全习惯 例如:对1些来历不明的邮件及附件不要打开,不要上1些不太了解的网站、不要履行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。 2. 关闭或删除系统中不需要的服务 默许情况下,许多操作系统会安装1些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用途,如果删除它们,就可以大大减少被攻击的可能性。 3. 常常升级安全补钉 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应当定期到微软网站去下载最新的安全补钉,以防范未然。 4. 使用复杂的密码 有许多网络病毒就是通过猜想简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。 5. 迅速隔离受感染的计算机 当您的计算机发现病毒或异常时应立刻断网,以避免计算机遭到更多的感染,或成为传播源,再次感染其它计算机。 6. 了解1些病毒知识 这样就能够及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解1些注册表知识,就能够定期看1看注册表的自启动项是不是有可疑键值;如果了解1些内存知识,就能够常常看看内存中是不是有可疑程序。 7. 最好安装专业的杀毒软件进行全面监控 在病毒日趋增多的今天,使用杀毒软件进行防毒,是愈来愈经济的选择,不过用户在安装了反病毒软件以后,应当常常进行升级、将1些主要监控常常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。 8. 用户还应当安装个人防火墙软件进行防黑 由于网络的发展,用户电脑面临的黑客攻击问题也愈来愈严重,许多网络病毒都采取了黑客的方法来攻击用户电脑,因此,用户还应当安装个人防火墙软件,将安全级别设为中、高,这样才能有效地避免网络上的黑客攻击。
提高系统的安全性是防病毒的1个重要方面,但完善的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另外一方面,信息保密的要求让人们在泄密和捉住病毒之间没法选择。 加强内部网络管理人员和使用人员的安全意识很多计算机系统经常使用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之1。另外,安装杀软并定期更新也是预防病毒的重中之重。1)注意对系统文件、重要可履行文件和数据进行写保护;2)不使用来历不明的程序或数据;3)尽可能不用软盘进行系统引导;4)不轻易打开来历不明的电子邮件;5)使用新的计算机系统或软件时,要先杀毒后使用;6)备份系统和参数,建立系统的应急计划等。7)专机专用。8)利用写保护。9)安装杀毒软件。10)分类管理数据。
1般大范围传播的病毒都会让用户在重新启动电脑的时候能够自动运行病毒,来到达长时间感染计算机并扩大病毒的感染能力。 通常病毒感染计算机第1件事情就是杀掉他们的天敌--安全软件, 比如卡巴斯基,360安全卫士,NOD32 等等。这样我们就不能通过使用杀毒软件的方法来处理已感染病毒的电脑。那末我说1下手动杀毒方法。 我们要解决病毒可以首先解决在计算机重启以后自我启动。 通常病毒会这样进行自我启动 直接自启动,1.引导扇区 2.驱动 3.服务4.注册表。 间接自启动:映像劫持,autorun.inf文件,HOOK,感染文件;放置1个诱惑图标让用户点击。 知道上面病毒的启动原理,不难得出清算方式:首先删掉注册表文件中病毒的启动项。最多见的启动位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ,删除所有该子项内的字符串等,只留下cftmon.exe。立即按机箱上的重启键,不让病毒回写注册表(正常关机可能会激活病毒回写进启动项目,比如“磁碟机”)。如果病毒依然启动,就要怀疑有服务,或驱动。那末这个时候就需要有1定计算性能力的人,用批处理或其他的程序同时找到并关闭病毒的服务和删除注册表,然后快速关机。驱动1般在系统下很难删除,所以可以用上面介绍的Xdelete 或icesword,wsyscheck或进入DOS,WPE等其他系统进行删除。 通过不让病毒在重启电脑以后启动的 方法删除病毒,下面我来讲1下通过直接删除病毒文件方法。 在病毒正在运行的系统里,直接删除病毒文件会很难。如果在网上找到该病毒机理,进入DOS ,找到所有病毒文件路径,可以很轻松的删除病毒文件(除感染型病毒)。推荐最好用PE(不懂PE的上百科看),用有1个可以启动电脑的装PE 的U盘,或光盘启动电脑,进入可以进入完全无毒的系统,然后使用绿色版的杀毒软件(网上有,我试过绿色卡巴和nod32,很好,可以在PE 运行)全盘查杀。杀毒完以后,我们先不要重新启动电脑,看看到底删除甚么,如果有被感染的系统文件删掉了,注意从相同系统拷贝1个,否则可能不能开机。然后重启,进系统用其他安全软件修复系统。 真正我们电脑感染上辣手的病毒,最简单有效的方法就是重装系统。如果C盘(系统盘)有重要资料先备份。不能开机,可以进入PE备份。 问:为何我重装了几次还是有病毒,是否是这个病毒很利害? 答:首先要说明几点,1、重装以后的系统是干净的。2、遇到引导性病毒,感染BIOS病毒可能非常小,就像中彩票。 这类情况是由于其他盘依然有病毒残留,比如有如果有autorun.inf 类型的病毒,双击打开DEF等盘的时候就会启动病毒,或病毒感染了其他盘上的文件,你重装系统以后,运行这个文件的时候,就又启动病毒。正确的方法是,找1个高手,或不要打开除C:(系统盘)之外的任何盘,然后上网或U盘下载1个杀毒软件,升级更新以后,全盘杀毒。 【预防】 1.杀毒软件常常更新,以快速检测到可能入侵计算机的新病毒或变种。 2.使用安全监视软件(和杀毒软件不同比如360安全卫士,瑞星卡卡)主要避免阅读器被异常修改,插入钩子,安装不安全歹意的插件。 3.使用防火墙或杀毒软件自带防火墙。 4,关闭电脑自动播放(网上有)并对电脑和移动贮存工具进行常见疾病毒免疫。 5.定时全盘病毒木马扫描。 6. 注意网址正确性,避免进入山寨网站。 7.不随便接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。 8.使用正版软件。 9.使用移动存储器前,最好要先查杀病毒,然后再使用。 下面推荐几款软件: 推荐:杀毒软件,卡巴斯基,NOD32,avast5.0 ,360杀毒 推荐:U盘病毒专杀:AutoGuarder2 推荐:安全软件:360安全卫士(可以查杀木马) 推荐:单独防火墙:天网,comodo,或杀毒软件自带防火墙。 推荐:内网用户使用antiARP,防范内网ARP欺骗病毒(比如:磁碟机,机械狗) 推荐:使用超级巡警免疫工具。 推荐:高手使用 SSM(system safety monitor)
Windows病毒的9大藏身地点 1.点击 开始-- 程序-- 启动,看1看里面有无坏家伙 打开注册表(开始-- 运行 输入:regedit,回车),按以下路径展开注册表左侧树状表 2.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load,视察1下有无可疑程序安家 3.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit,找找有无病毒在这里申请运行 4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup 8.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 在XP中还有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX 9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run p.s 这是微软的漏洞还是微软故意留下的,不得而知。 打开系统配置实用程序(开始-- 运行 输入:msconfig,回车)还能检查System.ini与Win.ini 计算机病毒 根据众多高手的见解,总结以下: 计算机病毒类似于生物病毒,它能把本身依附着在文件上或寄生在存储媒体里,能对计算机系统进行各种破坏;同时有独特的复制能力,能够自我复制;具有沾染性可以很快地传播蔓延,当文件被复制或在网络中从1个用户传送到另外一个用户时,它们就随同文件1起蔓延开来,但又常常难以根除。与生物病毒不同的是几近所有的计算机病毒都是人为地制造出来的,是1段可履行代码,1个程序。1般定义为:计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里,当到达某种条件时即被激活的具有对计算机资源进行破坏作用的1组程序或指令集合。计算机病毒的特点 ● 沾染性 ● 隐蔽性 ● 潜伏性 ● 可激起性 ●破坏性计算机病毒的传播需要依附载体,比如:网站中的可下载文件、U盘中的垃圾文件、还有各种移动存储装备上的不正当文件,这些都会成为病毒传播的途径。
如何预防计算机病毒&&&& &&
以上关于计算机病毒的产生预防及其他的相关信息是广德教育网收集并且整理,仅为查考。
