常见病毒的特征、防治及排除方法.doc

常见病毒的特征、防治及排除方法 年级：09级 专业：文秘（涉外方向） 姓名：王春连 学号:20098802135 摘要：随着社会的发展和科技的不断进步，计算机病毒特征的来源也在以各种各样的方式来波坏我们计算机的正常运行。计算机正以日新月异的发展速度广泛地深入到社会生活和各个领域。大到国家政治、外交、国防、财政、金融，小到个人生活、家庭都密切和计算机相关，所以计算机安全问题自然就成为人们关注的问题。计算机病毒是一种人为制造的，在计算机运行中对计算机信息或系统起破坏作用的程序,它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。下面是一些比较常见的病毒的特征、防治及排除方法。关键词：特征 防治 排除方法本论题主要对计算机的特征、防治及排除方法 进行讨论。第一：按病毒的表现性质来分：良性病毒：只是扩散和传染，浪费计算机的 存储空间，降低计算机系统的工作效率。如“小球”病毒，“东方红”病毒。 恶性病毒：往往要破坏计算机系统中的数据资源和文件，如破坏数据删除文件，如“1575”病毒，“新世纪”病毒。第二：按病毒感染的目标： 引导型病毒：只感染磁盘的主引导扇区，使引导扇区内容转移到别的地方，而以病毒程序权而代之，如“GENP”病毒，“小球”病毒。 文件型病毒：感染可执行文件，如后缀位.com和.exe文件，如“DIR-2”病毒。 混合型病毒：即可感染磁盘的主引导扇区，也可感染文件，如“新世纪”病毒。 宏病毒：感染 word文件，它寄存于word文档中，一打开隐藏有该种病毒的文档，宏病毒即被激活，该病毒还可运行生出各种变形变种病毒，由于word广泛应用，所以宏病毒流行非常广泛。 新病毒：如电子邮件病毒，其他类型病毒。病毒的产生。第三 ：一些计算机爱好者，为了显示自己的才华，故意编制出一些特殊的计算机程序，让别人的电脑出现一些动画，或播放声音，或提出问题让使用者回答，以显示自己的才干，而此种程序流传出现就演变成计算机病毒，此类病毒破坏性一般不大。（2）、报复心理：如“CIH”病毒（3）、商业软件公司为了防止自己的软件被非法复制和使用，运用加密技术给软件加密，编写一些特殊程序附加在正版软件上，如果遇到非法使用，则此类程序自动激活，于是又会产生一些新病毒，如巴基斯坦病毒，王刚民编的“逻辑炸弹”。（4）、产生游戏：编程人员在无聊时相互编制一些程序输入计算机，让程序去销毁对方的程序，如最早的“礠蕊大战”，这样另一些病毒也产生了。（5）、军事方面：政治、经济等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑，给对方造成灾难或直接性的经济损失。第四：、病毒的传播途径：（1）.软盘：病毒先隐藏在软盘上，当使用带病毒的软盘时病毒便侵入系统，感染到硬盘或内存上，又可能感染到本机使用的其他软盘上。（2）.硬盘：若硬盘染上病毒，则该硬盘上的程序也都有染上病毒的可能，在该机上使用的软盘都将被感染病毒。（3）.光盘：光盘存储量大，携带方便，对传输文件非常有利，然而盗版光盘的泛滥却为病毒传播带来了方便。（4）.网络：电子邮件，下载文件。最后，在防治计算机病毒方面须做到“三打三防：“三打” 就是安装新的计算机系统时，要注意打系统补丁，震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的，打好补丁就可以防止此类病毒感染；用户上网的时候要打开杀毒软件实时监控，以免病毒通过网络进入自己的电脑；玩网络游戏时要打开个人防火墙，防火墙可以隔绝病毒跟外界的联系，防止木马病毒盗窃资料。 “三防” 就是防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。 一 新欢乐时光。此病毒现象：当您选择“文件夹选项”，并且选择“显示所有文件”的时候，您可以在很多目录中看到原先是隐藏的folder. htt和desktop.ini文件，而且当你打开原先没有这两个文件的文件夹时会自动在这个文件夹里生成这两个文件，这时你的电脑就很可能是被新欢乐时光（Vb. Script）感染了。被病毒感染后系统运行速度明显下降，偶尔弹出错误消息框，严重的可能导致死机甚至无法进入系统。防治方法：不要随便在其他微机上使用u盘及软盘，在必须的情况下应在自己的电脑中先对其进行查毒再使用。如果系统已经感染了此病毒，则可以在瑞星及江民的网站上下载专杀工具vb. kj可以有效的杀除此种病毒。新欢乐时光专杀工具：vbs. kj url=/download/swdetail.phtml?id=7910/download/swdetail.phtml?id=7910/url 冲击波、震荡波。病毒现象：此类病毒常见于windows2000较早的版本，病毒运行时会利用RPC缓冲区漏洞攻击该系统，导致电脑运行变慢，不断死机或开机后立即倒数一分钟重启。该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝。 防治方法：发现感染此病毒后，应首先断开与局域网的连接，进入安全模式，使用瑞星的专杀工具进行杀毒（Rs _blaster），然后将系统打上rpc漏洞补丁，可以彻底清除此种病毒。震荡波(Worm. Sasser)”病毒专杀工具及处理方法：url=/service/technology/RS_sasser.htm/service/technology/RS_sasser.htm/url. 如果已经被该病毒感染，首先应该立刻断网，手工删除该病毒文件，手工删除方法：查找该目录C:WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。如实在来不及上网升级请到未感染病毒的机器上上网下载下面补丁：/zsgj/RavSasser.exe 该程序为瑞星专杀工具，在运行它的同时会为windows打上一内存补丁。“冲击波(Worm .Blaster)”病毒专杀工具 ：/zsgj/ravblaster.exe用此工具查杀几遍，如清除不了执行下面方法: DOS环境下清除该病毒：当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录. 操作命令集：C:CD C:windows (或CDc:winnt) . 查找目录中“msblast.exe”病毒文件。命令操作集：dir msblast.exe /s/p 找到后进入病毒所在的子目录，然后直接将该病毒文件删除。Del msblast.exe. 或使用江民DOS伴侣查杀病毒。在安全模式下清除病毒.如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。给系统打补丁：当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址: Windows 2000 ：/downloa .5-8C9F-220354449117Windows XP 32 位版本 ：/downloa . C-9532-3DE40F69C074二 QQ类病毒。 病毒现象：QQ类病毒多数为木马型及蠕虫型混合病毒，目的是窃取你计算机上的密码，有些破坏力强大的病毒可能造成很大的威胁，可能导致OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开四层以上的目录，病毒就会自动关闭“资源管理器”。该病毒还会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒还会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。 “武汉男生”木马病毒。病毒特性：该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后，用户一旦运行了QQ，病毒就会不断搜寻当前已经打开的QQ发送消息窗口，并在找到发送消息窗口后，自动发送一条消息到其他用户那里，我的相片.看看.（某网站网址），一旦收到此消息的得用户点击了该网站的链接，就遭受了病毒的感染。病毒运行后在系统目录下生成三个病毒文件，分别为ABCHELP.EXE，WINhelp32.exe和DirectX.exe，其中后2个文件的属性是隐含的。（系统目录在Windows 9x/Me下为C:/Windows/System，在Windows NT/2000下为 C:/WINNT/System32，在Windows XP下为 C:/Windows/System32）。排除方法： 删除病毒在系统目录下释放的病毒文件。 删除病毒在注册表下生成的键值。 运行杀毒软件，对病毒进行全面清除。 详文参考：/network/4/2007/15933.html 详文参考：/network/4/2007/15933.html 详文参考：/network/4/2007/15933.html 防治方法：不要随便接收别人从QQ上传递的文件，尤其是可执行文件（.exe文件），接收的文件要先查毒再打开。如果感染此类病毒可以进入安全模式进行查杀。“QQ病毒”专杀工具： url=/service/technology/RS_QQMsender.htm/service/technology/RS_QQMsender.htm/url 灰鸽子木马。“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。灰鸽子是一种功能极为强大的木马病毒,可以完全控制监控,甚至在你的电脑上安装软件盗取密码,而且除了具有语音监听、语音发送，还有远程视频监控功能，只有远程计算机有摄像头，且正常打开没有被占用，那么你可以看到,远程摄像头捕获的图片！还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。你的电脑没有任何隐私了,可以从你电脑上下载软件,把坏东西复制上去,可以从新安装非病毒类远程控制,这样你就无法摆脱。电脑感染这种木马后没有什么特别的症状，只有通过杀毒软件才能发现自己已经中毒了。对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录(默认98/xp为C:windows，2k/NT为C:Winnt)。3、经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为*_Hook.dll的文件。4、根据灰鸽子原理分析我们知道，如果*_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*.exe和*.dll 文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的*Key.dll文件。 5、打开注册表编辑器(点击“开始”-“运行”，输入“Regedit.exe”，确定。)，打开HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices注册表项。6、点击菜单“编辑”-“查找”，“查找目标”输入“*.exe”，点击确定，我们就可以找到灰鸽子的服务项(此例为*_Server)。7、删除整个*_Server项。 防治方法： 打开注册表编辑器（点击“开始”“运行”，输入“Regedit.exe”，确定打开 HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServices注册表项。 点击菜单“编辑” “查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game _Server）。 删除整个Game _Server项。 三. “传奇窃贼”。 传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。排除方法：它会在%Win Dir%目录下生成的文件也很迷惑人，与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理，脱掉后可以看出是用VisualC+6.0编写的。1、先再任务管理器中结束进程，注意：是而不是explorer.exe。 2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉，注意：删除后就不要再打开这个分区了，否则会再次感染.3删除%WinDir%文件(注：Windows XP系统在C:，Windows2000/NT系统在C:WINNT。) 4最后在注册表中删除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRunNet=%WinDir%services.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows Load=%WinDir%assistse.exe “工行钓鱼木马”. 这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下：“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!” 病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。排除方法: 在系统目录下找到svchost.exe病毒文件，并将其删除，打开注册表找到svchost.exe的关联键值，并将其删除。四、“敲诈者”。 这种毒毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.21EC2020-3AEA-1069-A2DD-08002B30309D”，同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、ppt、wps、.zip、.rar)，把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。排除办法：1 打开工具选项文件夹选项选择显示所有文件和文件夹并且将隐藏受保护的操作系统把文件前的去掉。 2、将根目录下的名为“控制面板”隐藏文件夹用Win RAR压缩，然后启动Win RAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单中选择重命名。 3、去掉文件夹名“控制面板”后面的ID号，即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。 维京 。该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒的电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。 排除方法：在下列系统目录中找到相应病毒文件并删除： %SystemRoot%rundl132.exe %SystemRoot%logo_1.exe 病毒目录vdll.dll 定位到以下注册表键值并将其删除： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowscurrentVersionRun load=C:Windowsrundl132.exe HKEY_CURRENT_USERSoftwre MicrosoftWindows NTCurrent VersionWindows load=C:Windowsrundl132.exe.捆绑机病毒 。捆绑机病毒的前缀是：Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder .QQ Pass. QQ Bin）、系统杀手（Binder .kill sys）等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：DOS：会针对某台主机或者服务器进行DOS攻击； Exploit：会自动通过溢出对或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具： Hack Tool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助哦! 网络蠕虫（worm）主要是利用操作系统和应用程序漏洞传播，通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序，可以造成网络服务遭到拒绝并发生死锁。“蠕虫”由两部分组成：一个主程序和一个引导程序。 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。排除方法：蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软IE和outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候，大多数人都会报着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而个人用户而言，主要是防范第二种缺陷。五 木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，木马的特性一般有：包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性具有自动运行性具有自动恢复功能。能自动打开特别的端口。包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。 木马的种类：远程控制木马。例如冰河密码发送木马。例如 QQ 木马键盘记录木马。一般的木马都具有这功能破坏性质的木马。代理木马。在肉鸡上作跳板的木马。FTP 木马反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷dll 木马。这是现在最新出来的采用进程插入技术的木马，是最难对付的木马之一。综合型。 想不中木马，先要了解木马植入的惯用伎俩（很多病毒的传播也是利用同样的手段，因为木马也算是病毒的一种）： 1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没采取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。 2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。 3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。 在这里提醒一下，若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。 4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如 exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT文件类型shellopen command”这个子键，查看其键值是否正常。 5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。 6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content Type来处理数据，也就是说如果HTTP头中返回的是appication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。 随着互联网的快速发展，宽带的越来越普及，网络病毒逐渐成为主流，此类病毒集黑客、木马、病毒特征于一体，通过邮件、网页、系统漏洞等多种途径入侵。针