计算机病毒的认识与预防.doc

资源描述

1、个人收集整理勿做商业用途計算機病毒的認識與預防防毒入门认识计算机病毒 - 电脑病毒对大多数的电脑用户而言应该是再耳熟能详不过的名词，有些人也许从来不曾真正碰到过电脑病毒, 而吃过电脑病毒亏的人却又闻毒色变, 其实在个人电脑这么普遍的今天，即使您不是一个电脑高手, 也应该对电脑病毒有些基本的认识，就好比我们每天都会关心周遭所发生的人事物一样，毕竟电脑病毒已经不再像过去是遥不可及的东西，自从Internet潮流席卷全球以来,电脑信息以每秒千里的速度在传送，我们每天可以通过Internet收到来自全球各地不同的消息，但在享受信息便利的同时, 电脑安全问题也就显得格外重要了。一、什么

2、是计算机病毒过去式：所谓电脑病毒在技术上来说,是一种会自我复制的可执行程序。在真实的世界中, 大部分的电脑病毒都会有一个共通的特性 - 它们通常都会发病。当病毒发病时，它很可能会破坏硬盘中的重要资料, 有些病毒则会重新格式化（Format) 您的硬盘。就算病毒尚未发病，它也会带来不少麻烦.首先病毒可能会占据一些系统的记忆空间，并寻找机会自行繁殖复制，您电脑效能将会变得比一般正常的电脑慢。这也是为什么不时就要做好防毒工作的主要原因了.现在式：自从Internet盛行以来, Java和ActiveX的网页技术逐渐被广泛使用, 一些有心人士于是利用Java和ActiveX的特性来编写病毒

3、。以Java病毒为例, Java病毒它并不能破坏您硬盘上的资料, 可是若您使用浏览器来浏览含有 Java 病毒的网页, Java病毒可以强迫您的Windows不断的开启新视窗, 直到系统资源被吃光为止，而您也只有选择重新开机一途了。所以在Internet革命以后, 电脑病毒的定义就更改为只要是对用户会造成不便的这些不怀好意的程序码，就可以被归类为病毒。二、计算机病毒的生命周期电脑病毒就好像细菌的生长一般，所以我们才将它称做病毒。而电脑病毒的成长可以被归纳成下列几个阶段: 创造期：当电脑黑客们花了数天或数周努力的研究出一些可以广为散布的程序码，电脑病毒就这样诞生了。当然, 他们是不会

4、这样就算了的, 他们通常都会设计一些破坏的行为在其中. 孕育期:这些电脑黑客们会将这些含有电脑病毒的文件放在一些容易散播的地方.如BBS站， Internet的FTP站，甚至是公司或是学校的网络中等等。潜伏期:在潜伏期中, 电脑病毒会不断地繁殖与传染。一个完美的病毒拥有很长的潜伏期，如此一来病毒就有更多的时间去传染到更多的地方, 更多的用户, 一旦发病将会造成更大的伤害.例如世界知名的米开朗基罗病毒，在每年三月六日发作前, 有整整一年的潜伏期。发病期:当一切条件形成之后, 病毒于是就开始破坏的动作。有些病毒会在某些特定的日期发病，有些则自己有个倒数计时装置来决定发病的时间.虽然有些病

5、毒并没有发病时的破坏动作，但是它们仍然会占据一些系统资源, 而降低系统运作的效率。根除期：如果有够多的防毒软件能够检测及控制这些病毒, 并且有够多的用户购买了防毒软件, 那么这些病毒就有机会被连根扑灭。虽然到现在为止, 并没有人敢宣称某一只病毒完全绝迹，但是有些病毒已经很明显的被完全制止了如早期的Disk Killer等。防毒入门计算机病毒种类 -传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：开机型米开朗基罗病毒，潜伏一年。文件型(1)非常驻型Datacrime II 资料杀手低阶格式化硬盘，高度破坏资料（2)常驻型Friday 13th黑色（13号）星期五亮出底

6、细复合型 Flip 翻转下午4:00 屏幕倒立表演准时开始隐形飞机型 FRODO VIRUS（福禄多病毒)-毒钟文件配置表千面人 PE_MARBURG 掀起全球”战争游戏文件宏 Taiwan NO。1 文件宏病毒数学能力大考验特洛伊木马病毒 VS.计算机蠕虫 Explorezip探险虫” 具有开机后再生、即刻连锁破坏能力黑客型病毒 Nimda 走后门、发黑色信件、瘫痪网络认识计算机病毒与黑客 2.1开机型病毒 (Boot Strap Sector Virus):开机型病毒是藏匿在磁盘片或硬盘的第一个扇区.因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就

7、被加载到内存中，这个特性使得病毒可以针对DOS的各类中断 (Interrupt）得到完全的控制, 并且拥有更大的能力进行传染与破坏。实例Michelangelo米开朗基罗病毒潜伏一年.发病日： 3月6日发现日：1991。3 产地：瑞典（也有一说为台湾）病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区(Partition Table）和开机区(Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机,如果该磁盘正

8、好感染了米开朗基罗,于是，不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到月日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了。历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座 2。2文件型病毒 (File Infector Virus）:文件型病毒通常寄生在可执行文件(如。COM, .EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同，又分成非常驻型以及常驻型两种 : (1）非常驻型病毒(Nonmemory Resident Virus) : 非常驻型

9、病毒将自己寄生在 *.COM， .EXE或是。SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。实例：Datacrime II 资料杀手低阶格式化硬盘,高度破坏资料发病日：10月12日起至12月31日发现日:1989.3产地:荷兰病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：DATA CRIME II VIRUS然后低阶格式化硬盘第0号磁柱（CYLINDER0从HEAD 0HEAD 8）FORMAT后，会听到BEEP一声当机,从此一蹶不振。历史意义:虽然声称为杀手，但它已经快绝迹了 (2）常驻型病毒(Me

10、mory Resident Virus) :常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般（如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害.一旦常驻型病毒进入了内存中，只要执行文件被执行，它就对其进行感染的动作，其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机）。实例：Friday 13th黑色（13号）星期五-亮”出底细发病日: 每逢13号星期五发现日:1987产地：南非病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十

11、三号星期五病毒登记有案的变种病毒,如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13thNZ、QFresh、Virus-B等。.。.其感染的本质几乎大同小异,其中Friday 13th-C病毒，当它进行感染文件时,屏幕上会显示一行客套语:”We hope we havent inconvenienced you历史意义：为13号星期五的传说添加更多黑色成分。5千面人病毒（Polymorphic/Mutation Virus）:千面人病毒可怕的地方，在于每当它们繁

12、殖一次，就会以不同的病毒码传染到别的地方去.每一个中毒的文件中，所含的病毒码都不一样，对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒,几乎无法找到相同的病毒码。实例PE_MARBURG 掀起全球”战争游戏发病日：不一定（中毒后的3个月)发现日：1998。8产地：英国病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样（例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 X”。如附图。历史意义：专挑盛行的

13、计算机光盘游戏下毒,1998年最受欢迎的 MGM/EA战争游戏，因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散。感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 ”X 符号2。6宏病毒 (Macro Virus）：宏病毒主要是利用软件本身所提供的宏能力来设计病毒，所以凡是具有写宏能力的软件都有宏病毒存在的可能，如Word、 Excel 、AmiPro 等等。实例： Taiwan NO.1 文件宏病毒数学能力大考验发病日:每月13日发现日：1996.2产地：台湾病征：出现连计算机都难以计算的数学乘法题目,并要求输入正确答案，一旦答错，

14、则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止.历史意义：1.台湾本土地一只文件宏病毒。2. 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3。被列入ICSA(国际计算机安全协会)In The Wild病毒数据库.（凡难以驯服、恶性重大者皆会列入此黑名单) 每逢13日,被TAIWAN_No.1Marco感染的word文件将会显示画面 : 2.7特洛伊木马病毒 VS。计算机蠕虫特洛依木马（ Trojan ）和计算机蠕虫( Worm ）之间,有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。特洛伊木马程序的伪装

15、术特洛依木马( Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段木马屠城记的小故事：话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战.然而，这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马,打算来个木马屠城计！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退,以便诱敌上勾.果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之

16、际,木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻.顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为特洛伊木马型或特洛伊型病毒。特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。计算机蠕虫在网络中匍匐前进计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序

17、代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是 E-mail。最著名的计算机蠕虫案例就是 ILOVEYOU-爱情虫 ”.例如： MELISSA-梅莉莎” 便是结合”计算机病毒”及计算机蠕虫”的两项特性。该恶性程序不但会感染 Word 的 Normal。dot（此为计算机病毒特性)，而且会通过 Outlook Email 大量散播（此为计算机蠕虫特性）。事实上，在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性，更结合了特洛伊木马程序”、”计算机蠕虫”型态来造成更大的影响力。一个耳熟能详的案例是”探险虫”（Expl

18、oreZip）。探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。实例： Explorezip探险虫具有开机后再生、即刻连锁破坏能力发病日：不一定发现日：1999。6.14产地：以色列病征:通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒zipped_files。exe以电子邮件的附件的方式寄给送信给这部计算

19、机的用户。对方收到的信件内容如下:Hi Recipient Name！I received your email and I shall send you a reply ASAP。Till then， take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely， All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息”Cannot open file： it does not appear to be a valid archive. If this file

20、 is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help。一旦使用者执行了这个病毒，它会存取使用者的C：到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files）。cpp （c+ source code files)。h (program header files）.asm (assembly source code）.doc （Microso

21、ft Word).xls （Microsoft Excel）.ppt (Microsoft PowerPoint)本文为互联网收集,请勿用作商业用途个人收集整理，勿做商业用途历史意义：开机后再生，即刻连锁破坏-传统病毒：立刻关机,重新开机，停止它正进行的破坏行动-探险虫：不似传统病毒,一旦重新开机,即寻找网络上的下个受害者 2。8 黑客型病毒走后门、发黑色信件、瘫痪网络自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一样,具有难以抹灭的历史意义。如同网络安全专家预料的,Code

22、Red 将会成为计算机病毒、计算机蠕虫和黑客”三管齐下的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为.果不其然，在造成全球 26。2 亿美金的损失后，不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed. Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战.继红色代码之后，出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播，包含：电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费

23、事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行，容易失去抢救的时效。每一台中了Nimda 的计算机,都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势.类似Nimda威胁网络安全的新型态病毒,将会是 MIS 人员最大的挑战。实例:Nimda发现日:2001。9发病日：随时随地产地：不详病征：通过eMail、网络芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以

24、万计的计算机,在 24 小时内窜升为全球感染率第一的病毒历史意义：计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让网络上的计算机几乎零时差地被病毒攻击认识计算机病毒与黑客防止计算机黑客的入侵方式，最熟悉的就是装置防火墙 (Firewall）,这是一套专门放在 Internet 大门口（Gateway）的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样，身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安，要

25、再发布通缉令逮捕,可就大费周章了。一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。-宽带大开方便之门CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带网络（Broadband）的”always-on （固接，即二十四小时联机）特性特性所打开的方便之门.宽带上网，主要是指 Cable modem 与 xDSL这两种技术，

26、它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通.当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，雀屏中选的机率便大幅提升了。当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉

27、家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界.计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然

28、而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题.防毒入门各世代计算机病毒解析 -历代计算机病毒解析第一代病毒：锁定寄主程序，一对一感染-常见第一代病毒病例表-第二代病毒:隐身 Internet ，瞬间骨牌式感染-著名的第二代病毒病例表新生代病毒：轰炸无线通讯，来无影去无踪手机病毒前科犯PDA 前科犯-观察名单每年3月6日，一只与文艺复兴时代大师米开朗基罗同名的计算机病毒，选择它的诞生日发病，到了这一天计算机使用者无不胆颤心惊,心脏够强的以自己硬

29、盘下赌注；心脏不够强的，干脆当天不开机或是更改系统日期,以求自保。在1995 年之前，杀手级病毒,非米开朗基罗莫属，一直到 1995 年出现了第一只非以执行文件为感染对象的文件宏病毒- Word。Concept，才全面改写这种形势.第一代病毒-锁定寄主程序,一对一感染出生年代:1987年特色自我复制/有潜伏期/在特定条件下发病/长度 4KB 以下主要媒介：磁盘感染速度：感染破坏拘限于区域性代表案例：米开朗基罗每当发生重大刑事案件时，警方总是呼吁民众不要窝藏嫌犯,同时也鼓励知情者报案。嫌犯为了躲避缉捕，往往会选择一处自认为隐密安全的地方。第一代病毒窝藏地方就是所谓的寄主程序。最常见的寄主程序

30、就是一些可执行文件，如扩展名为。EXE及.COM的文件。但是后来由于微软的 WORD 愈来愈广被使用，且WORD所提供的宏功能又很强，使用WORD宏写出来的病毒也愈来愈多，也因此扩展名为。DOC的也会成为寄主程序.尤其是自 1997 年起，后起之毒文件宏病毒可真的算是红上半边天，只要提到 Taiwan NO。1，那可说是无人不知、无人不晓。早期，所谓计算机病毒在技术上来说,是一种会自我复制的可执行程序。大部份的计算机病毒都有一个共通的特性,通常在特定条件下会发病，病征包括破坏硬盘中的重要资料，甚至重新格式化 (Format）硬盘。比如每年3月6日米开朗基罗病毒，就会在开机时，格式化硬盘.另

31、外，就算病毒尚未发病, 它也会带来不少麻烦。首先病毒可能会占据一些系统的记忆空间，并寻找机会自行繁殖复制，使得计算机效能变得比一般正常的计算机慢。常见第一代病毒病例表：病毒名称发病特定条件病发情形Michelangelo米开朗基罗每年3月6日格式化硬盘Jerusalem耶路撒冷每逢13号星期五杀掉想执行的程序Casino 赌场1/15, 4/15， 8/15出现吃角子老虎Flip 翻转每月二号屏幕翻转Sunday 星期天每逢星期日计算机无法使用Fish 鱼每月1, 11, 21， 31屏幕右上方出现信息Taiwan NO.1每月13日出现心算画面猜拳病毒每月1。6。15。25日出现猜拳画面

32、剧场病毒每月1.15日出现一哭一笑面具图案钓鱼台每月5.20日出现”钓鱼台是中华民国领土”等对话窗口BOZA每月31日出现成名的滋味，愈来愈过瘾。等信息常见第一代病毒病例表:病毒名称发病特定条件病发情形 Michelangelo米开朗基罗每年3月6日格式化硬盘 Jerusalem耶路撒冷每逢13号星期五杀掉想执行的程序 Casino 赌场 1/15, 4/15, 8/15 出现吃角子老虎 Flip 翻转每月二号屏幕翻转 Sunday 星期天每逢星期日计算机无法使用 Fish 鱼每月1， 11, 21， 31 屏幕右上方出现信息 Taiwan NO.1 每月13日出现心

33、算画面猜拳病毒每月1。6。15。25日出现猜拳画面剧场病毒每月1.15日出现一哭一笑面具图案钓鱼台每月5.20日出现”钓鱼台是中华民国领土等对话窗口 BOZA 每月31日出现成名的滋味,愈来愈过瘾.等信息第二代病毒-隐身于 Internet ，瞬间骨牌式感染出生年代：1997年特色不需要寄主的程序、不需存在硬盘中、跨作业平台、远程遥控破坏主要媒介： Internet感染速度:感染破坏力零时差，瞬间遍布全球主要破坏事迹:Write once， destroy anywhere代表案例：Melissa 梅莉莎LKK的老扣扣传统病毒，以磁盘为主要传染媒介,一只米开朗基罗开机型病

34、毒,从中国台湾传到美国,可能需要两年的时间。在那个时代，病毒非常的偏食,它只吃.exe和.com 这类的执行文件。但1995 年起,病毒的胃口变大了,它居然发现.doc 文件的味道也不错,害得全球数以万计的 Word 使用者如临大敌，连发个E-mail都害怕附加文件夹带病毒。现在,ActiveX 和 JAVA可以让我们欣赏动感十足的网页，可是新的危机却悄然而至，Internet 居然成为第二代病毒觊觎的最佳传媒.它们不需要像第一代传统病毒需要找个寄主程序感染，等待特定条件成熟后展开破坏动作，(如：米开朗基罗每年3月6日发病; Taiwan NO。1每月13日发病）第二代病毒，会在你防不甚防时

35、侵入你的硬盘，删除或破坏你的文件，更有甚者会让你的 CPU 完全瘫痪。 Internet的风行使得计算机病毒也随之进化成易写易传、防不胜防的邪恶程序（Malicious Code）。它不再需要高深的程序技巧来设计、不再是黑客的专利、它不再需要寄主程序，Internet就是它的最佳媒介,它可以一对多地传给 Internet 上的群体；它也可以伪装成电影欣赏会的免费入场卷，欢迎你去下载,自投罗网;它根本不需要常驻磁盘或硬盘中，只要你一打开电子邮件,感染即刻完成；它跟Internet一样是跨平台，不受任何OS限制，而且还可结合旧式病毒的强大破坏力，更肆猖狂。这就是Internet时代下的第二代病毒,

36、邪恶、有力、突破空间的限制，无远弗届。浪费王以浪费系统资源的方式,来阻塞你主机的中央处理器(CPU)的速度.详细介绍：由于Microsoft公司Windows NT和2000中的Index Service服务与其IIS服务间的接口程序Indexing Service ISAPI中含有一个缓冲区溢出漏洞,致使黑客可以向IIS发出一段恶意请求，导致受攻击系统的缓冲区溢出,从而使攻击者获得对系统的完全控制权限。CodeRedII病毒正是利用该系统漏洞来对系统进行攻击。有关该漏洞的信息请参考Microsoft Technet 和 eEye Digital Security site网站。CODERED

37、。C只能对安装有IIS服务的Windows 2000系统产生长期有效的病毒攻击行为而对于WindowsNT系统，它将直接导致系统的崩溃。该蠕虫在系统内存中搜索KERNEL32.DLL 的位置, 然后找到GetProcAddress API.同时它也搜索其它所需使用到的API 或程序。所需的库文件名称为：WS2_32.DLL - Winsock V 2。0 ADVAPI32.DLL - 用来操纵系统注册表 USER32.DLL 用来使系统重启和其它的一些功能接着该蠕虫会将 windirCMD.EXE 文件复制到以下以下路径: C:INETPUBSCRIPTSROOT。EXE C：PROGRA1C

38、OMMON1SYSTEMMSADCROOT。EXE D:INETPUBSCRIPTSROOT。EXE D：PROGRA1COMMON1SYSTEMMSADCROOT。EXE然后病毒在根目录下释放一个后门木马程序 EXPLORER。EXE 文件（Trend Micro的防毒产品将该文件命名为TROJ_CODERED.C）,如C：EXPLORER.EXE。该木马程序将使攻击者享有对系统的完全控制权限。因为系统将优先执行根目录下的EXPLORER。EXE,而非系统本身的EXPLORER。EXE。同时该蠕虫会修改注册表内的键值以废除登录时系统的安全保护： HKLMSoftware/Microsoft

39、Windows NT Current VersionWinLogonSFCDisable并且创建以下的注册键: HKLMSYSTEMCurrentControlSetServices W3SVCParametersVirtual Roots /Scripts = rootdirinetpubscripts，204 /MSADC = rootdirprogram filescommon filessystemmsadc,205 /C = C:,，217 /D = D:，,217 该蠕虫还会检查系统当前的时间，如果发现系统年份大于2002年或是月份大于10月，将强行使系统重新启动.重启后的系统内该

40、蠕虫本身将不再存在，但是其释放的木马程序却一直在运行中。当然，如果系统未安装Microsoft提供的漏洞修补程序，系统随时都会受到又一次的攻击。解决方案：1。可以使用Trend Micro 提供的 fix tool 工具来清理受感染的机器。方法是在命令提示符下运行该程序,或是在资源管理器内直接双击该文件。 2。系统管理员需立刻下载Microsoft 提供的 MS01-033 patch 安全补丁文件。如想查看系统是否以部署了该修补程序，可以使用Trend Micro提供的工具 free detection tool 。3。将您系统与Internet 的连接断开。 4。安装该修补程序

41、。 5. 删除一下目录下所有的ROOT.EXE ： C:INETPUBSCRIPTSROOT。EXE C:PROGRA1COMMON1SYSTEMMSADCROOT。EXE D:INETPUBSCRIPTSROOT。EXE D：PROGRA1COMMON1SYSTEMMSADCROOT.EXE 6. 使用一下命令删除CODERED。C 释放的木马文件文件: ATTRIB C:EXPLORER。EXE H A R DEL C：EXPLORER.EXE ATTRIB D：EXPLORER.EXE H A -R DEL D:EXPLORER.EXE如果无法使用该方法删除木马，表明该木马已驻留在内存中

42、，请使用第一条中提到的工具来清除它。 7。重新启动计算机。8. 将以下注册键的键值设为0,以重新开启系统安全性：HKLMSOFTWAREMicrosoftWindowsNTCurrent VersionWinLogonSFCDisable 9。对路径”HKLMSYSTEMCurrentControSetServicesW3SVCParameters Virtual Roots下的注册键，直接删除或将其键值设为”0” /Scripts /msadc /c /d10. 使用Trend Micro的防毒软件扫描整个系统，删除所有被检测出含有 CODERED。C 和TROJ_CODERED。C的

43、文件。在进行扫描前请确保已从Trend Micro 的网站下载了最新的病毒码和扫描引擎。关于CodeRed.a 风险级数：苹果迷小心！Simpsons辛普森病毒入侵Mac OS趋势科技近日发现一只名为Mac_Simpsons.A辛普森”的计算机新病毒,主要针对Mac操作系统进行攻击。该病毒由Applescript所撰写，主要通过Mac OS的Outlook Express或Entourage电子邮件系统来传播，信件主题为：Secret Simpsons episodes!（未公开的辛普森家庭影集！），并夹带名为”Simpsons Episodes （辛普森家庭影集)的文件。Mac使用者一旦执

44、行该附加文件，病毒会寻找电子邮件系统的通讯簿，自动发送大量垃圾邮件。Simpsons辛普森病毒还会启动IE浏览器,连结至著名卡通辛普森家庭的官方网站：趋势科技技术支持部经理康宏旭表示：由于”辛普森病毒”具有大量传播垃圾邮件的特性，除了会感染Mac OS,还会针对PC使用者发送夹带病毒的信件。虽然不致于造成PC中毒，但网络带宽将会因此拥塞。趋势科技呼吁苹果迷，不要开启主题为:Secret Simpsons episodes的电子邮件。趋势科技产品用户请立即更新病毒码，以侦测、清除此病毒.如何判断Mac_Simpsons.A辛普森病毒？信件主题：Secret Simpsons episodes!

45、（未公开的辛普森家庭影集）信件内容：Hundreds of Simpsons episodes were just secretly produced and sent out on the internet， if this message gets to you, the episodes are enclosed on the attachment program， which will only run on a Macintosh。 You must have system 9。0 or 9.1 to watch the hilarious episodes, in high quality。 Just download and open it. From，附件名称：Simpsons Episodes （辛普森家庭影集)风险级数： TROJ_BADTRANS。A 恶性传输病毒根据国外report显示，这只前些日子发生的TROJ_BADTRANS。A病毒，在美国有感染情况加深的状况。这是一只通过MS Outlook 和 Outlook Express传递的计算机蠕虫TROJ_BA

展开阅读全文