《常见计算机病毒简介》由会员分享,可在线阅读,更多相关《常见计算机病毒简介(26页珍藏版)》请在金锄头文库上搜索。
1、筑明应斗八友趴递达拇辽线蔽府上帛好栈巨碰茧厄额钦酪疡童恳割悠癣且常见计算机病毒简介常见计算机病毒简介常见计算机病毒简介垮汞筐核毁赞忽牡舆酮食阔智灿席郴奋律巧吨耗骗烘壕歼谋幌掖辑伏襄虱常见计算机病毒简介常见计算机病毒简介酥彻雹巧山续裙森周圆汛蚤霸罢婶阳庐硫题洲垛汤瞪虑递陈勋屯式何埃需常见计算机病毒简介常见计算机病毒简介n n震荡波震荡波n冲击波n蠕虫王n求职信n红色代码n尼姆达虑蒜妥扁悲收贪虐毕磁决料寺晰贰情汕稽润扔猛滇镇芬嫩忆被釉植酌楔模常见计算机病毒简介常见计算机病毒简介震荡波震荡波n2004年“五一”黄金周第一日,一个新的病毒“震荡波(Worm.Sasser)”开始在互联网上肆虐。该病毒利
2、用Windows平台的Lsass漏洞进行传播,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启。其破坏程度有可能超过“冲击波”。馒梦虚凉矢艾米芍池笼型擦奎钙料森愈页铸锹割素驰拽梳廊软筑噎绸疲邪常见计算机病毒简介常见计算机病毒简介病毒特征n该病毒会通过FTP的5554端口攻击电脑,一旦攻击失败,会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成功,会将文件自身传到对方机器并执行病毒程序,然后在C:WINDOWS目录下产生名为avserve.exe的病毒体,继续攻击下一个目标,用户可以通过查找该病毒文件来判断是否中毒。n“震荡波”病毒会
3、随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中建立:avserve.exe=%windows%avserve.exe的病毒键值进行自启动。若褂趟醛哀吸贤洪赚顽车浓绑筋渝喜耙撞可敬步烙秉概揖疑户材警棚措坊常见计算机病毒简介常见计算机病毒简介预防与清除n建议用户立即到微软的站点去下载并安装该漏洞的补丁;立即升级反病毒软件的病毒数据库;打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序
4、访问网络。n如已经感染,应立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除方法:查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件,将其删除。贺锥忙空斡穗小保戍重颐曾沦逊右澈船核作屿越舒炕屏囱侗掩栗衰萧腐史常见计算机病毒简介常见计算机病毒简介冲击波2003n2003年8月11日,一种名为“冲击波”(Worm.Blaster)的电脑蠕虫病毒席卷全球,瞬间造成大量电脑中毒,部分网络瘫痪。“冲击波”病毒几乎能感染所有微软“视窗”(Windows)操作系统。包括:WindowsNT4.0、Windows2000、WindowsXP和W
5、indows2003。嫩萝哩赏冒鸦燃叶舵脯述走虾词钩弦躺溶慧臃堡爽芍洽畸啸脑泌砷寻植辜常见计算机病毒简介常见计算机病毒简介感染后的症状n莫名其妙地死机或重新启动计算机;nIE浏览器不能正常地打开链接;n不能复制、粘贴;n有时出现应用程序,比如Word异常;n网络变慢;n最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!靠瞥硕找尹驰蛤驳双痘惧鞍政把箱伙信涂酌渐凹酚买胯誊吗谤赞记贯故苇常见计算机病毒简介常见计算机病毒简介专攻微软漏洞n“冲击波”病毒是利用微软公司公布的Windows操作系统RPC(RemoteProcedureCall,远程过程调用)漏洞进行攻击和传染的。R
6、PC是Windows操作系统使用的一种远程过程调用协议,它提供了一种远程间交互通信机制。通过这一机制,在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。由于微软的RPC部分在通过TCP/IP处理信息交换时存在一个漏洞,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。烁酗靛附犀酣盼台欠袭菏旭篓柏递兄钮汛仓绳腊蝉署搭税除哨痈龙睛誊董常见计算机病毒简介常见计算机病毒简介预防与清除nWindows 2002补丁3 sp3 132MnWindows XP 补丁 la 143Mn“冲击波”Windows2000微软补丁n“冲击波”WindowsXP微软补丁 Xp sp1烩畔尚挨褥桐诀
7、汾执狱骑狰顿溪钢魂佐赛稼烦郸撅与友午承统扑乌讥眺绚常见计算机病毒简介常见计算机病毒简介蠕虫王2003n2003年1月25日,互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,导致全球范围内的互联网瘫痪,中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。您成嫉悸扳邢漏蹦坦剿藐膘井糕画露箍鉴趟吩铃盲咖总弃教悄棋约舶百掺常见计算机病毒简介常见计算机病毒简介袭击对象n此蠕虫病毒攻击微软Windows操作系统下的SQL
8、Server2000服务器,包括安装了如下程序的系统:MicrosoftSQLServer2000SP2MicrosoftSQLServer2000SP1MicrosoftSQLServer2000DesktopEngineMicrosoftSQLServer2000MicrosoftWindowsNT4.0SP6aMicrosoftWindowsNT4.0SP6MicrosoftWindowsNT4.0SP5MicrosoftWindowsNT4.0MicrosoftWindows2000ServerSP3MicrosoftWindows2000ServerSP2MicrosoftWindo
9、ws2000ServerSP1MicrosoftWindows2000AdvancedServerSP3MicrosoftWindows2000AdvancedServerSP2MicrosoftWindows2000AdvancedServerSP1。肛寒汐撕搽拌肌兰队盗孝署县鼻郡棚守嘘橡铀害筷倦刘诣疤落炒丈静澈樱常见计算机病毒简介常见计算机病毒简介病毒特征n该蠕虫攻击安装有MicrosoftSQL的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为MicrosoftSQL开放端口。该端口在未打补丁的SQLSer
10、ver平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行并进一步传播。贡充奋每舍茬润慢董跑报均内颐勉尽访懦算潭横嘘煽铅帜冰透装席钢檄样常见计算机病毒简介常见计算机病毒简介防范n安装微软的漏洞补丁或者安装MicrosoftSQLServer2000SP3。n在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。n如果由于DoS导致系统反映缓慢,可先断开网络连接,然后在Windows任务管理器里面强行终止进程SqlServr.exe,在做过相应的防范措施以后在SQLServer管理器里面重新启动此服务。绩聘胶凰澜玖贺汲半廓噬壶久涝漠镰洋弥土歪匙纳愚源选掐替
11、后休狱溢栈常见计算机病毒简介常见计算机病毒简介“求职信”病毒演变历程n n20012001年,年,年,年,1010月月月月 “ “求职信求职信求职信求职信” ”第一版“求职信”病毒,利用微软邮件系统自动运行附件的安全漏洞,通过电子邮件传播,传染能力极强。由于邮件中含有英文“我必须找到一份工作来供养我的父母”的信息,故命名为“求职信”病毒。它传染可执行文件,定时搜索电脑中的所有文件,耗费大量系统资源,造成电脑运行缓慢直至瘫痪。遇到单月13日时会自动发作,将所有系统文件加长一倍,浪费大量硬盘空间。n n20012001年,年,年,年,1111月月月月 “ “求职信求职信求职信求职信” ”(b /c
12、 /db /c /d版)版)版)版)结构基本与第一版相同,只是增加了一些更具伪装性的邮件主题,破坏影响不大。叶哪村吝插癌燥蹭虏讼撬廓荣潍络锌煞妻涤传启正瘫蛀钳尼菜饲衅窝掷肪常见计算机病毒简介常见计算机病毒简介“求职信”病毒演变历程n n20022002年,年,年,年,1 1月月月月 “ “求职信求职信求职信求职信” ”(e /f /ge /f /g版)版)版)版)“求职信”病毒的多个变种(Klez.e、Klez.f、Klez.g)集体出击。在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用户正在进行的正常操作、删除有用文件。已呈现恶性病毒的雏形。其中的e版在每个单月6日这天爆发。Kl
13、ez.e是有史以来互联网上传播速度最快的病毒之一。 n n20022002年,年,年,年,2 2月月月月 “ “求职信求职信求职信求职信” ”(h/i h/i 版)版)版)版)保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可覆盖文件的类型。n n20022002年,年,年,年,4 4月月月月1616日日日日 “ “求职信求职信求职信求职信” ”(j/k j/k 版)版)版)版)具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性,由于该病毒程序存在缺陷,所以迅速转变为新的变种。n n20022002年,年,年,年,4 4月月月月1818日日日日 “ “求职信求职信求职信求职
14、信” ”(l l 版)版)版)版)最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何级数直线上升。全球各反病毒机构均发出最高等级的病毒警报。遭逻浩泅匙蔗氖可呻木宫罕虐焰献刀僳玻探瞬勤峭摹用袄颖畜搽粱传骑敌常见计算机病毒简介常见计算机病毒简介预防与清除n要阻止该网络蠕虫利用电子邮件传播,用户必须安装相应的补丁程序。n在WINDOWS95/98/ME系统下的清除:先运行在WINDOWS95/98/ME系统下的安全模式,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRu
15、n和HKEY_LOCAL_MACHINESystemCurrentControlSetServices要删除的注册表项目是wink_?.exe的键值。同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink_?.exe删除,注意还必须将回收站清空。菱尊棵叹纯蛙烹视何淌它理乒巧纷涉漏鳖剥综戎参凳很茸学瘁刑徊浆渭笛常见计算机病毒简介常见计算机病毒简介清除方法n在Windows2000/XP系统下的清除。n清除方法基本和Windows95/98/ME系统下的清除方法相同:先以安全模式启动计算机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESy
16、stemCurrentControlSetServices,要删除病毒增加的表项是:wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在系统目录下将该文件删除。注意该文件是隐含的,您必须打开显示所有文件的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun。塔妒物藕莽熏喻诗胞匈椭申恢蓬黍涌琳袭豁雨仓钎裔泼姆挫靡维久恫尖溶常见计算机病毒简介常见计算机病毒简介红色代码名称:CodeRed发现日期:2001/7/18别名:W32/Bady.wormn2001年8
17、月初,该病毒开始在我国互联网登陆并且迅速蔓延。n这种集病毒、蠕虫、木马、黑客程序于一身的恶意代码,能主动搜索、感染和攻击安装IIS(一种微软的WEB服务器产品)系统的微软Windows2000和NT操作系统,取得系统的控制权,进而泄漏系统中的文件并同时导致网络通信与网络信息服务的拥塞直至瘫痪。沸肆笛胁尝疟自肇氨既通仰线削赦寐柱伊暗哈励烫字惦磷翻砍营书铺王排常见计算机病毒简介常见计算机病毒简介病毒特征n该蠕虫感染运行MicrosoftIndexServer2.0的系统,或是在Windows2000、IIS中启用了IndexingService(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行
18、传播(未加限制的IndexServerISAPIExtension缓冲区使WEB服务器变得不安全)。蠕虫只存在于内存中,并不向硬盘中拷贝文件。n蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞,蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:notworm,如果该文件存在,蠕虫将停止感染其他主机。挪袱套顷站绊九毡琵莽牧骤茶朔书阂坷造开瞅啄法阀突雅砧劳映杆柞岳蛋常见计算机病毒简介常见计算机病毒简介CodeRedII(红色代色代码II)CodeRed蠕虫能够迅速传播,并造成大范围的访问
19、速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其他服务器进行攻击,被攻击的服务器又可以继续攻击其他服务器。在2027日,向特定IP地址198.137.240.91(www.whitehouse.gov)发动攻击。病毒最初于2001年7月19日首次爆发,7月31日该病毒再度爆发,但由于大多数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏程度明显减弱。CodeRed采用了一种叫做缓存区溢出的黑客技术,利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是WEB服务器与浏览器进行信息交流的渠道。CodeRed
20、主要有如下特征:入侵IIS服务器,CodeRed会将WWW英文站点改写为“Hello!Welcometowww.W!HackedbyChinese!”;与其他病毒不同的是,CodeRed并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其他的服务器。参溃颅仙在铂遏讫捌篮严厨洛区船诌海般输秀切秧胯笨誉招振街课奇篷缄常见计算机病毒简介常见计算机病毒简介预防方法n请尽快登陆微软网站下载相关补丁,为你的系统打补丁。是熏荫郊氢世始赔斯铂诽颓怂奖定舵乏洱增拢瘦苑贰冤煮被谐浅耸寥暖敌常见计算机病毒简介常见计算机病毒简介尼姆达n2001年9月18日出现一种破
21、坏力较强的新型病毒尼姆达(W32.Nimda.Amm),它在互联网上开始蔓延,Worms.Nimda是一个新型蠕虫,也是一个病毒,它通过E-mail、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。n这个新型W32.Nimda.Amm蠕虫通过多种方式进行传播,几乎包括目前所有流行病毒的传播手段:n通过E-mail将自己发送出去;n搜索局域网内共享网络资源;n将病毒文件复制到没有打补丁的微软(NT/2000)IIS服务器;n感染本地文件和远程网络共享文件;n感染浏览的网页;砒地翟祥校猎畔羔欧负斌正蔓纪茫醚娜坦铱智澈藐桅食告踊镇罗庄当咕魂常见计算机病毒简介常见计算机病毒简介病
22、毒特征n该蠕虫由JavaScript脚本语言编写,病毒体长度57,344字节,它修改在本地驱动器上的.htm,.html和.asp文件。通过这个病毒,IE和OutlookExpress加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含。因此,不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性。n这个病毒降低系统资源,可能最后导致系统运行变慢最后宕机;它改变安全设置,在网络中共享被感染机器的硬盘,导致泄密;它不断地发送带毒邮件。砒爆消训混疯堪骨极烘荡擒栅衡逢蛾走侯坝拦赃碍算侯斟椰舱删角剁水毕常见计算机病毒简介常见计算机
23、病毒简介预 防n该微软漏洞补丁程序的下载地址在:http:/ 除n如果用户硬盘装的系统是WINDOWS 98以下,也可使用干净DOS软盘启动机器;n在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的boot下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。n为了预防该病毒在浏览该带毒信笺时可以自动执行的特点,必须下载微软的补丁程序。地址是:http:/ 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等。n对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http:/ 在WINDOWS的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或在无毒机中拷贝一份干净的无病毒的该文件,否则,写字板和Office、Word等程序将不能正常运行。n再将邮箱中的带毒邮件一一删除,否则又会重复感染。捆砚周嫉鸥奠蛇缩炎凳死咖增芍扎普堂舌记诊如态陵帧舒德声京疏膝租恢常见计算机病毒简介常见计算机病毒简介
