常见计算机病毒简介��n n震荡波震荡波n n冲击波n n蠕虫王n n求职信n n红色代码n n尼姆达�震荡波震荡波n n2004年“五一”黄金周第一日,一个新的病毒——“震荡波(Worm.Sasser)”开始在互联网上肆虐该病毒利用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启其破坏程度有可能超过“冲击波” �病毒特征n n该病毒会通过该病毒会通过FTPFTP的的55545554端口攻击电脑,一旦攻击失败,端口攻击电脑,一旦攻击失败,会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,会将文件自身传到对方机器并执行病毒程序,然后在功,会将文件自身传到对方机器并执行病毒程序,然后在C:\WINDOWSC:\WINDOWS目录下产生名为目录下产生名为avserveavserve.exe.exe的病毒体,的病毒体,继续攻击下一个目标,用户可以通过查找该病毒文件来判继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒断是否中毒。
n n“ “震荡波震荡波” ”病毒会随机扫描病毒会随机扫描IPIP地址,对存在有漏洞的计算地址,对存在有漏洞的计算机进行攻击,并会打开机进行攻击,并会打开FTPFTP的的55545554端口端口, ,用来上传病毒文用来上传病毒文件,该病毒还会在注册表件,该病毒还会在注册表HKEY_LOCAL_MACHINE HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Windows\\SOFTWARE\ Microsoft\ Windows\ CurrentVersionCurrentVersion\ Run\ Run中建立:中建立:" "avserveavserve.exe"=%windows%\.exe"=%windows%\avserveavserve.exe.exe的病毒键值进行的病毒键值进行自启动�预防与清除n n建议用户立即到微软的站点去下载并安装该漏洞建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:开个人防火墙屏蔽端口:55545554和和10681068,防止名,防止名为为avserveavserve.exe.exe的程序访问网络。
的程序访问网络n n如已经感染,应立刻断网,手工删除该病毒文件,如已经感染,应立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级然后上网下载补丁程序,并升级杀毒杀毒软件或者下软件或者下载专杀工具手工删除方法:查找该目录载专杀工具手工删除方法:查找该目录C:\WINDOWSC:\WINDOWS目录下产生名为目录下产生名为avserveavserve.exe.exe的的病毒文件,将其删除病毒文件,将其删除�冲击波2003n n2003年8月11日,一种名为“冲击波”(Worm.Blaster)的电脑蠕虫病毒席卷全球,瞬间造成大量电脑中毒,部分网络瘫痪冲击波”病毒几乎能感染所有微软“视窗”(Windows)操作系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003�感染后的症状n n莫名其妙地死机或重新启动计算机;n nIE浏览器不能正常地打开链接;n n不能复制、粘贴;n n有时出现应用程序,比如Word异常;n n网络变慢;n n最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行! �专攻微软漏洞n n“ “冲击波冲击波” ”病毒是利用微软公司公布的病毒是利用微软公司公布的WindowsWindows操作系统操作系统RPCRPC((Remote Procedure Call Remote Procedure Call ,,远远程过程调用)漏洞进行攻击和传染的。
程过程调用)漏洞进行攻击和传染的RPCRPC是是WindowsWindows操作系统使用的一种远程过程调用协议,操作系统使用的一种远程过程调用协议,它提供了一种远程间交互通信机制通过这一机它提供了一种远程间交互通信机制通过这一机制,在一台电脑上运行的程序可以顺畅地执行某制,在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码由于微软的个远程系统上的代码由于微软的RPCRPC部分在通部分在通过过TCP/IPTCP/IP处理信息交换时存在一个漏洞,远程攻处理信息交换时存在一个漏洞,远程攻击者可以利用这个漏洞以本地系统权限在系统上击者可以利用这个漏洞以本地系统权限在系统上执行任意指令执行任意指令�预防与清除n nWindows 2002补丁3 sp3 132Mn nWindows XP 补丁 la 143Mn n“冲击波”Windows2000微软补丁n n“冲击波”WindowsXP微软补丁 Xp sp1�蠕虫王2003n n2003年1月25日,互联网遭遇到全球性的病毒攻击这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,导致全球范围内的互联网瘫痪,中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。
而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响�袭击对象n n此蠕虫病毒攻击微软此蠕虫病毒攻击微软WindowsWindows操作系统下操作系统下的的SQL Server 2000SQL Server 2000服务器,服务器,包括安装了如下程序的系统:包括安装了如下程序的系统:Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000Microsoft SQL Server 2000Microsoft Windows NT 4.0 SP6a Microsoft Windows NT 4.0 SP6a Microsoft Windows NT 4.0 SP6 Microsoft Windows NT 4.0 SP6 Microsoft Windows NT 4.0 SP5 Microsoft Windows NT 4.0 SP5 Microsoft Windows NT 4.0 Microsoft Windows NT 4.0 Microsoft Windows 2000 Server SP3Microsoft Windows 2000 Server SP3Microsoft Windows 2000 Server SP2 Microsoft Windows 2000 Server SP2 Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP3Microsoft Windows 2000 Advanced Server SP3Microsoft Windows 2000 Advanced Server SP2 Microsoft Windows 2000 Advanced Server SP2 Microsoft Windows 2000 Advanced Server SP1 Microsoft Windows 2000 Advanced Server SP1 。
�病毒特征n n该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码1434/udp端口为Microsoft SQL开放端口该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行并进一步传播�防范n n安装微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3n n在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问n n如果由于DoS导致系统反映缓慢,可先断开网络连接,然后在Windows任务管理器里面强行终止进程SqlServr.exe,在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务�“求职信”病毒演变历程n n20012001年,年,年,年,1010月月月月 “ “求职信求职信求职信求职信” ” 第一版第一版“ “求职信求职信” ”病毒,利用微软邮件系统自病毒,利用微软邮件系统自动运行附件的安全漏洞,通过电子邮件传播,传动运行附件的安全漏洞,通过电子邮件传播,传染能力极强。
由于邮件中含有英文染能力极强由于邮件中含有英文“ “我必须找到我必须找到一份工作来供养我的父母一份工作来供养我的父母” ”的信息,故命名为的信息,故命名为“ “求职信求职信” ”病毒它传染可执行文件,定时搜索电病毒它传染可执行文件,定时搜索电脑中的所有文件,耗费大量系统资源,造成电脑脑中的所有文件,耗费大量系统资源,造成电脑运行缓慢直至瘫痪遇到单月运行缓慢直至瘫痪遇到单月1313日时会自动发作,日时会自动发作,将所有系统文件加长一倍,浪费大量硬盘空间将所有系统文件加长一倍,浪费大量硬盘空间n n20012001年,年,年,年,1111月月月月 “ “求职信求职信求职信求职信” ”((((b /c /db /c /d版)版)版)版) 结构基本与第一版相同,只是增加了一些更具结构基本与第一版相同,只是增加了一些更具伪装性的邮件主题,破坏影响不大伪装性的邮件主题,破坏影响不大�“求职信”病毒演变历程n n20022002年,年,年,年,1 1月月月月 “ “求职信求职信求职信求职信” ”((((e /f /ge /f /g版)版)版)版) “ “求职信求职信” ”病毒的多个变种(病毒的多个变种(KlezKlez.e.e、、KlezKlez.f .f、、KlezKlez.g.g))集体出击。
集体出击在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用户正在进行的正常操作、删除有用文件已呈现恶性病毒的雏形其户正在进行的正常操作、删除有用文件已呈现恶性病毒的雏形其中的中的e e版在每个单月版在每个单月6 6日这天爆发日这天爆发KlezKlez.e.e是有史以来互联网上传播速是有史以来互联网上传播速度最快的病毒之一度最快的病毒之一 n n20022002年,年,年,年,2 2月月月月 “ “求职信求职信求职信求职信” ”((((h/i h/i 版)版)版)版)保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可覆盖文件的类型覆盖文件的类型n n20022002年,年,年,年,4 4月月月月1616日日日日 “ “求职信求职信求职信求职信” ”((((j/k j/k 版)版)版)版)具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性,具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性,由于该病毒程序存在缺陷,所以迅速转变为新的变种。
由于该病毒程序存在缺陷,所以迅速转变为新的变种n n20022002年,年,年,年,4 4月月月月1818日日日日 “ “求职信求职信求职信求职信” ”((((l l 版)版)版)版) 最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何级数直线上升全球各反病毒机构均发出最高等级的病毒警报级数直线上升全球各反病毒机构均发出最高等级的病毒警报 �预防与清除n n要阻止该网络蠕虫利用要阻止该网络蠕虫利用电子邮件电子邮件传播,用户必须安装相应传播,用户必须安装相应的补丁程序的补丁程序n n在在WINDOWS95/98/MEWINDOWS95/98/ME系系统统下的清除:先运行在下的清除:先运行在WINDOWS95/98/MEWINDOWS95/98/ME系系统统下的安全模式,使用注册表下的安全模式,使用注册表编辑编辑工具工具regeditregedit将网将网络络蠕虫增加的蠕虫增加的键值删键值删除:除:HKEY_LOCAL_HKEY_LOCAL_MACHINESoftwareMicrosoftWindowMACHINESoftwareMicrosoftWindowsCurrentVersionRun sCurrentVersionRun 和和HKEY_LOCAL_HKEY_LOCAL_MACHINESystemCurrentControlSetMACHINESystemCurrentControlSetServicesServices要要删删除的注册表除的注册表项项目是目是wink_?.exewink_?.exe的的键值键值。
同同时还时还必必须须相相应应的将的将WINDOWSWINDOWS的的SYSTEMSYSTEM目目录录下的下的该该随随机文件机文件Wink_?.exeWink_?.exe删删除除,,注意注意还还必必须须将回收站清空将回收站清空�清除方法n n在在Windows2000/XPWindows2000/XP系系统统下的清除下的清除n n清除方法基本和清除方法基本和Windows95/98/MEWindows95/98/ME系系统统下的清除方法下的清除方法相同:先以安全模式启相同:先以安全模式启动计动计算机,运行注册表算机,运行注册表编辑编辑工具,工具,同同样删样删除除该该网网络络蠕虫增加的蠕虫增加的键值键值::HKEY_LOCAL_HKEY_LOCAL_MACHINESystemCurrentControlSetMACHINESystemCurrentControlSetServicesServices,,要要删删除病毒增加的表除病毒增加的表项项是:是:winkwink开开头头的随机的随机的表的表项项当然你必当然你必须记须记住住该项该项目的具体名称目的具体名称( (虽虽然是随机然是随机的的) ),,然后在系然后在系统统目目录录下将下将该该文件文件删删除。
注意除注意该该文件是文件是隐隐含的,您必含的,您必须须打开打开显显示所有文件的示所有文件的选择项选择项目才能目才能查查看看该该病病毒文件同毒文件同样样的注册表的注册表项还项还有有HKEY_LOCAL_HKEY_LOCAL_MACHINESoftwareMicrosoftWindowMACHINESoftwareMicrosoftWindowsCurrentVersionRunsCurrentVersionRun�红色代码 名称:名称:Code RedCode Red 发现发现日期日期:2001/7/18:2001/7/18别别名:名:W32/W32/BadyBady.worm .worm n n20012001年年8 8月初,该病毒开始在我国互联网登陆并月初,该病毒开始在我国互联网登陆并且迅速蔓延且迅速蔓延n n这种集病毒、蠕虫、木马、黑客程序于一身的恶这种集病毒、蠕虫、木马、黑客程序于一身的恶意代码,能主动搜索、感染和攻击安装意代码,能主动搜索、感染和攻击安装IIS(IIS(一种一种微软的微软的WEBWEB服务器产品服务器产品) )系统的微软系统的微软Windows Windows 20002000和和NTNT操作系统,取得系统的控制权,进而操作系统,取得系统的控制权,进而泄漏系统中的文件并同时导致网络通信与网络信泄漏系统中的文件并同时导致网络通信与网络信息服务的拥塞直至瘫痪。
息服务的拥塞直至瘫痪�病毒特征n n该该蠕虫感染运行蠕虫感染运行Microsoft Index Server 2.0Microsoft Index Server 2.0的系的系统统,,或是在或是在Windows 2000Windows 2000、、IISIIS中启用了中启用了Indexing Indexing Service(Service(索引服索引服务务) )的系的系统统该该蠕虫利用了一个蠕虫利用了一个缓缓冲区溢冲区溢出漏洞出漏洞进进行行传传播(未加限制的播(未加限制的Index Server ISAPI Index Server ISAPI ExtensionExtension缓缓冲区使冲区使WEBWEB服服务务器器变变得得不安全)蠕虫只存不安全)蠕虫只存在于内存中,并不向硬在于内存中,并不向硬盘盘中拷中拷贝贝文件n n蠕虫的蠕虫的传传播是通播是通过过TCP/IPTCP/IP协议协议和端口和端口8080,利用上述漏洞,利用上述漏洞,,蠕虫将自己作蠕虫将自己作为为一个一个TCP/IPTCP/IP流直接流直接发发送到染毒系送到染毒系统统的的缓缓冲区,蠕虫依次冲区,蠕虫依次扫扫描描WEBWEB,,以便能以便能够够感染其他的系感染其他的系统统。
一旦感染了当前的系一旦感染了当前的系统统,蠕虫会,蠕虫会检测检测硬硬盘盘中是否存在中是否存在c:\c:\notwormnotworm,,如果该如果该文件存在,蠕虫将文件存在,蠕虫将停止感染停止感染其他主其他主机�CodeRedII(红色代色代码II) Code RedCode Red蠕虫能蠕虫能够够迅速迅速传传播,并造成大范播,并造成大范围围的的访问访问速度下降甚速度下降甚至阻断 “红红色代色代码码” ”蠕虫造成的破坏主要是涂改网蠕虫造成的破坏主要是涂改网页页, ,对对网网络络上的其上的其他他服服务务器器进进行攻行攻击击,被攻,被攻击击的服的服务务器又可以器又可以继续继续攻攻击击其其他他服服务务器在20~2720~27日,向特定日,向特定IPIP地址地址198.137.240.91(198.137.240.91(www.www.whitehousewhitehouse. .govgov) )发动发动攻攻击击病毒最初于病毒最初于20012001年年7 7月月1919日首次爆日首次爆发发,,7 7月月3131日日该该病毒再度爆病毒再度爆发发,但由于大多,但由于大多数数计计算机用算机用户户都提前安装了修都提前安装了修补软补软件,所以件,所以该该病毒第二次爆病毒第二次爆发发的破坏的破坏程度明程度明显显减弱减弱。
Code RedCode Red采用了一种叫做采用了一种叫做" "缓缓存区溢出存区溢出" "的黑客技的黑客技术术,利用网,利用网络络上使用微上使用微软软IISIIS系系统统的服的服务务器来器来进进行病毒的行病毒的传传播这这个蠕虫病毒使用个蠕虫病毒使用服服务务器的端口器的端口8080进进行行传传播,而播,而这这个端口正是个端口正是WEBWEB服服务务器与器与浏览浏览器器进进行信息交流的渠道行信息交流的渠道Code RedCode Red主要有如下特征:入侵主要有如下特征:入侵IISIIS服服务务器,器, Code RedCode Red会将会将WWWWWW英文站点改写英文站点改写为为“ “Hello! Welcome to Hello! Welcome to www.W! Hacked by Chinese!”www.W! Hacked by Chinese!”;; 与其与其他他病毒不同的是,病毒不同的是,Code RedCode Red并不将病毒信息写入被攻并不将病毒信息写入被攻击击服服务务器的硬器的硬盘盘。
它只是它只是驻驻留在被攻留在被攻击击服服务务器的内存中,并借助器的内存中,并借助这这个服个服务务器的网器的网络连络连接攻接攻击击其其他他的服的服务务器器�预防方法n n请尽快登陆微软网站下载相关补丁,为你的系统打补丁�尼姆达n n20012001年年9 9月月1818日出现一种破坏力较强的新型病毒尼姆达日出现一种破坏力较强的新型病毒尼姆达((W32.W32.NimdaNimda.A@mm.A@mm),),它在互联网上开始蔓延,它在互联网上开始蔓延,Worms.Worms.NimdaNimda是一个新型蠕虫,也是一个病毒,它通过是一个新型蠕虫,也是一个病毒,它通过E-mailE-mail、、共享网络资源、共享网络资源、IISIIS服务器传播同时它也是一服务器传播同时它也是一个感染本地文件的新型病毒个感染本地文件的新型病毒n n这个新型这个新型W32.W32.NimdaNimda.A@mm.A@mm蠕虫通过多种方式进行传蠕虫通过多种方式进行传播,几乎包括目前所有流行病毒的传播手段:播,几乎包括目前所有流行病毒的传播手段:n n①①通过通过E-mailE-mail将自己发送出去;将自己发送出去;n n②②搜索局域网内共享网络资源;搜索局域网内共享网络资源;n n③③将病毒文件复制到没有打补丁的微软(将病毒文件复制到没有打补丁的微软(NT/2000NT/2000))IISIIS服务器;服务器;n n④④感染本地文件和远程网络共享文件;感染本地文件和远程网络共享文件; n n⑤⑤感染浏览的网页;感染浏览的网页;�病毒特征n n该蠕虫由该蠕虫由JavaScriptJavaScript脚本语言编写,病毒体长度脚本语言编写,病毒体长度57,34457,344字节,它修改在本地驱动器上的字节,它修改在本地驱动器上的. .htmhtm, , .html.html和和 . .aspasp文件。
通过这个病毒,文件通过这个病毒,IEIE和和Outlook ExpressOutlook Express加载产生加载产生readmereadme. .emleml文件该文件将尼姆达蠕虫作为一个附件包含因此,该文件将尼姆达蠕虫作为一个附件包含因此,不需要拆开或运行这个附件病毒就被执行由于不需要拆开或运行这个附件病毒就被执行由于用户收到带毒邮件时无法看到附件,这样给防范用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性带来困难,病毒也更具隐蔽性n n这个病毒降低系统资源,可能最后导致系统运行这个病毒降低系统资源,可能最后导致系统运行变慢最后宕机;它改变安全设置,在网络中共享变慢最后宕机;它改变安全设置,在网络中共享被感染机器的硬盘,导致泄密;它不断地发送带被感染机器的硬盘,导致泄密;它不断地发送带毒邮件�预 防n n该微软漏洞补丁程序的下载地址在:该微软漏洞补丁程序的下载地址在: n微软升级的微软升级的OUTLOOKOUTLOOK的的MIMEMIME漏洞补丁程序的下载地漏洞补丁程序的下载地址:址:http://www.�清 除n n如果用户硬盘装的系统是如果用户硬盘装的系统是WINDOWS 98WINDOWS 98以下,也可使用干净以下,也可使用干净DOSDOS软盘启动机软盘启动机器;器;n n在在SYSTEM.INISYSTEM.INI文件中将文件中将LOAD.EXELOAD.EXE的文件改掉,如没有变,就不用改。
正的文件改掉,如没有变,就不用改正常的常的[ [boot]boot]下的应该是下的应该是shell=explorer.exe.shell=explorer.exe.必须修改该文件中的必须修改该文件中的shellshell项目,否则清除病毒后,系统启动会提示有关项目,否则清除病毒后,系统启动会提示有关load.exeload.exe的错误信息的错误信息n n为了预防该病毒在浏览该带毒信笺时可以自动执行的特点,必须下载微为了预防该病毒在浏览该带毒信笺时可以自动执行的特点,必须下载微软的补丁程序地址是:软的补丁程序地址是:http://www. nWINDOWS 2000WINDOWS 2000如果不需要可执行的如果不需要可执行的CGICGI,,可以删除可执行虚拟目录可以删除可执行虚拟目录, ,例如例如/ /scriptsscripts等n n对对WINDOWS NT/2000WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地系统,微软已经发布了一个安全补丁,可以从下列地址下载:址下载: n病毒被清除后病毒被清除后, , 在在WINDOWSWINDOWS的的systemsystem目录下的文件目录下的文件riched20.riched20.dlldll将被删除,将被删除,请从请从WINDOWSWINDOWS的安装盘上或在无毒机中拷贝一份干净的无病毒的该文件,的安装盘上或在无毒机中拷贝一份干净的无病毒的该文件,否则,写字板和否则,写字板和OfficeOffice、、WordWord等程序将不能正常运行。
等程序将不能正常运行n n再将邮箱中的带毒邮件一一删除,否则又会重复感染再将邮箱中的带毒邮件一一删除,否则又会重复感染。