常见病毒介绍及专杀
From upnb游本网--笔记本电脑知识库(笔记本wiki)--您身边的电脑词典
- 病毒是一种计算机指令代码。用户运行了这些代码后,或是出现一个小小的恶作剧,或是产生一些恶意的结果,如破坏系统文件造成系统无法运行、数据文件统统删除、硬件被破坏、非法侵入内部数据库偷窃或篡改数据等等。病毒的制造者往往出于炫耀自己的编程能力与控制力、或是因自己计算机使用中不慎染毒而产生的报复心理制毒传毒。也有一些是因为保护自己的知识产权而制作的一个可控“定时炸弹”。如果用户正常使用将不会发作;如果用户不及时缴纳费用或者私下传播该应用软件,那么 “定时炸弹”就会被引爆。最早由冯.诺伊曼提出了这种可能性,20世纪70年代中期有几位美国科普作家在他们的科幻小说中描写了计算机病毒。1983年11月3日Fred.Cohen博士研制出一种在运行过程中不断复制自身的破坏性程序,Len.Adleman将其命名为计算机病毒(Computer Viruses)。
目录 |
震荡波病毒
震荡波病毒利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其它网络中计算机的IP端口,然后进行传播。尽管可以利用防火墙阻止该病毒的传播,但安全专家建议,给系统打上MS04-011补丁是最根本的解决措施。尽管该病毒在Windows2000、MicrosoftWindowsXPWindowsXP上发作,不会感染安装Windows 95/98/Me操作系统的计算机,但可以在这些操作系统上运行,而成为传播源.
它是描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。病毒运行后,在Windows目录下生成名为avserve.exe,同时在System目录下生成其它病毒文件;病毒创建注册表项,使得自身能够在系统启动时自动运行;病毒主动进行扫描,对网络中没有安装微软SSL安全漏洞的机器进行攻击,受攻击的系统就会生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。同时由于病毒扫描A 类或B类子网地址,目标端口是445,本地响应端口5554,会对网络性能有一定影响,尤其局域网可能造成瘫痪。并在9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。震荡波病毒以及其变种W32.Sasser.[B-F].Worm是一类利用微软安全公告MS04-011中描述的LSASS漏洞进行攻击的蠕虫病毒,它通过扫描随机选择的IP地址进行传播。
防治措施
对于感染"震荡波"(Worm_Sasser.A)病毒的计算机用户提醒用户及时升级杀毒软件并给系统打安全漏洞补丁本地最新专杀工具下载:http://www.lilybbs.net/file/Worm.Sasser.exe
“震荡波”(Worm_Sasser所有变种)病毒免疫工具http://www.lilybbs.net/file/Worm_Sasser.exe.
Lovgate.R病毒
最近W32.Lovgate@mm系列病毒活动十分猖獗,它是现将其中传播/破坏性较强、感染范围较广的变种W32.Lovgate.R病毒W32.Lovgate.R@mm是W32.Lovgate@mm的变种之一,是一种蠕虫病毒,具有电子邮件群发性质,可以用多变的电子邮件形式将自身传播到其他计算机。W32.Lovgate.R@mm由C++编写,实行了JDPack和ASPack压缩。别名:W32/Lovgate.x@MM [McAfee], I-Worm.LovGate.w [Kaspersky].
显著的特征:
(1)它会出现125K大小的不明来源的压缩包;
(2)双击无法进入驱动器,可能提示 Command 错误;
(3)在存放 .exe 文件的目录下出现 .zmx 文件;
(4)Outlook等电子邮件客户端自动发送信息等;
(5)它在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf,并将自身复制为同路径下的 Command.com,这将导致双击驱动器无法进入并激活病毒;
(6)它扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件,再将病毒体本身复制为原先的 .exe 文件.
受威胁的操作系统:Windows 95/98/Me/NT/2000/XP免疫的操作系统:DOS,Linux,Macintosh,OS/2,UNIX,Windows
防治措施
本地最新专杀工具下载:http://www.lilybbs.net/file/RavLovGate.com http://www.lilybbs.net/file/FixLG.com
以上工具使用时请注意下列问题:
(1)如果操作系统是 Windows Me 或者 Windows XP,关闭系统还原功能;
(2)启动计算机到安全模式(开机时按 F8 出现选单);
(3)进入安全模式后不要进行双击操作,要以 右键--打开 代替;
(4)最好是在断开网络的情况下进行操作,杀毒后请尽快连接到 WindowsUpdate 网站进行更新,确保计算机已经安装了所有检测到的关键更新。
冲击波病毒
- 击波病毒是一种冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影响的系统包括:NT4.0、Windows2000、WindowsXP和Windows2003系列产品,但是Windows98和WindowsME由于未采用RPC机制就不会感染。
判别方法:
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
预防措施
(1)经常去 WindowsUpdate 网站获取更新;
(2)安装可靠的实时监控的反病毒软件,并经常更新,推荐也安装防火墙;
(3)不进行局域网上的文件共享;
(4)为 Administrator 帐号设置高强度的密码;
(5)不要轻易运行电子邮件的附件,尤其当附件是文中提到的格式(可执行)时;
(6)对文中出现名称的未知来源的压缩包进行 Shift+Del 操作;
(7)及时在 Symantec 网站或本版获得病毒的最新信息以及应对措施。
Word文档杀手病毒
该病毒名称:Word文档杀手(Worm/DocKiller);病毒类型:蠕虫;病毒大小:53248字节它是2004年6月17日,江民反病毒中心截获“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
病毒防治措施
由于病毒在复制过程中使用和原文档相同的文件名,其程序图标也是Word文档图标,所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前,查看文件大小和文件版本属性。应对自己的Word文档及时备份,尽量避免使用可移动设备互相复制文档,在共享包含Word文档的文件夹时尽量不要设置可写权限。目前并无专杀工具可以提供,只有江民KV系列杀毒软件升级到6月17号以后病毒库软件可以对付。
Welchia变种B/C病毒
它是System32/drivers文件夹下存在svchost.exe文件;存在wkspach的服务。开机一段时间之后无法打开任务管理器; Norton主界面无法打开;无法打开IE,winrar等浏览器性质的软件;cmd下使用netstat -an 一直到5000号端口都是listening;打开regedit后大约10秒内(时间不等)自动关闭。杀毒软件报毒之后,专杀工具无论如何是查不到的!不要试图只用专杀解决问题!这种病毒并不攻击中文操作系统,只有在杀毒软件报毒之后,由于处理方法不完善,系统才会出现上述症状。因此尽量不要用一般查毒来清除病毒。
病毒防治措施
下面是分步的具体说明:
一、关闭杀毒软件的实时监控,设置不随系统启动。然后重启机器。(或者先重启机器,然后再刚进入系统的时候关闭实时监控)杀完毒记得把启动设置还原欧。如果你的机器如此之后中毒现象仍十分明显,建议先断网,提前用专杀一次,再重启后
往下进行,必要时可以保持断网状态,用U盘协助执行下面的步骤。
二、这时你可以选择打全所有的windows补丁或者安装一款网络防火墙。为了消除日后的安全隐患,在条件允许的情况下,两个方案都要做,尤其是打补丁,因为你无法保证日后防火墙都在运行。
下载专杀工具
http://www.lilybbs.net/file/FixWelchia.exe
网络天空病毒
该病毒利用电子邮件和共享目录传播,传播的速度极快。 该病毒利用自带的SMTP邮件引擎对外发送邮件,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀:.scr、.com、.pif、.rtf、 .doc、.htm、.exe等,附件即是病毒体。该病毒通过邮件传播,使用UPX压缩。运行后,在Windows%目录下生成自身的拷贝,名称为Winlogon.exe。病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
病毒防治措施
下载该杀毒软件地址:http://www.lilybbs.net/file/Worm.Netsky.exe
进程explored.exe蠕虫病毒
它是在局域网上出现广播包(ARP)暴增,甚至把出口堵死;机器CPU资源耗尽;用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%的一种病毒.
病毒防治措施
第一种方案:
(1)在安全模式下,打开regedit(注册表编辑器),搜索Run以及Runonce子键。如果发现下面有explore.exe,则删除。
(2)控制面板--〉管理工具下的“服务”里面找到比较特殊的名称,看到执行路径是:c:\windows\system32\explore.exe" -Service 的予以禁用。
(3)删除C:\windows\SYSTEM32\explored.exe.
第二种方案:
(1)在电脑里搜索explore.exe和explored.exe这两个文件,删掉。
(2)然后搜索:在c:\windows或winnt文件夹里找到文件hosts。你可以看到:# copyright (c) 1993-1999 microsoft corp. this is a sample hosts file used by microsoft tcp/ip for windows. this file contains the mappings of ip addresses to host names. each , entry should be kept on an individual line. the ip address should, be placed in the first column followed by the corresponding host name. the ip address and the host name should be separated by at least one, space. additionally, comments (such as these) may be inserted on individual, lines or following the machine name denoted by a # symbol. for example: 102.54.94.97 rhino.acme.com # source server, 38.25.63.10 x.acme.com # x client host,127.0.0.1 localhost等信息。把127.0.0.1 localhost以后的内容全都删掉。
第三种方案:
修改注册表内容:打开regedit(注册表编辑器),搜索Run以及Runonce子键。如果发现下面有explore.exe,则删除。
QQ系列病毒
“QQ叛徒”(Trojan.QQbot.a);“QQ 连发器(Trojan.WebAuto、Trojan.WebAuto.a)”;病毒档案“QQ连发器”及变种现身 携带恶意网页肆意传播;“QQ木马变种(Trojan.QQpass7)”病毒.
