常見計(jì)算機(jī)病毒簡(jiǎn)介

1、,,震蕩波沖擊波蠕蟲王求職信紅色代碼尼姆達(dá),震蕩波,2004年“五一”黃金周第一日，一個(gè)新的病毒——“震蕩波(Worm.Sasser)”開始在互聯(lián)網(wǎng)上肆虐。該病毒利用Windows平臺(tái)的Lsass漏洞進(jìn)行傳播，中招后的系統(tǒng)將開啟128個(gè)線程去攻擊其他網(wǎng)上的用戶，可造成機(jī)器運(yùn)行緩慢、網(wǎng)絡(luò)堵塞，并讓系統(tǒng)不停地進(jìn)行倒計(jì)時(shí)重啟。其破壞程度有可能超過(guò)“沖擊波”。,病毒特征,該病毒會(huì)通過(guò)FTP的5554端口攻擊電腦，一旦攻擊失敗，會(huì)使系統(tǒng)

2、文件崩潰，造成電腦反復(fù)重啟；病毒如果攻擊成功，會(huì)將文件自身傳到對(duì)方機(jī)器并執(zhí)行病毒程序，然后在C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒體，繼續(xù)攻擊下一個(gè)目標(biāo)，用戶可以通過(guò)查找該病毒文件來(lái)判斷是否中毒。“震蕩波”病毒會(huì)隨機(jī)掃描IP地址，對(duì)存在有漏洞的計(jì)算機(jī)進(jìn)行攻擊，并會(huì)打開FTP的5554端口,用來(lái)上傳病毒文件，該病毒還會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Win

3、dows\ CurrentVersion\ Run中建立："avserve.exe"=%windows%\avserve.exe的病毒鍵值進(jìn)行自啟動(dòng)。,預(yù)防與清除,建議用戶立即到微軟的站點(diǎn)去下載并安裝該漏洞的補(bǔ)??；立即升級(jí)反病毒軟件的病毒數(shù)據(jù)庫(kù)；打開個(gè)人防火墻屏蔽端口：5554和1068，防止名為avserve.exe的程序訪問(wèn)網(wǎng)絡(luò)。如已經(jīng)感染，應(yīng)立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或

4、者下載專殺工具。手工刪除方法：查找該目錄C:\WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。,沖擊波2003,2003年8月11日，一種名為“沖擊波”（Worm.Blaster）的電腦蠕蟲病毒席卷全球，瞬間造成大量電腦中毒，部分網(wǎng)絡(luò)癱瘓?！皼_擊波”病毒幾乎能感染所有微軟“視窗”（Windows）操作系統(tǒng)。包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003。,感染后

5、的癥狀,莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)；IE瀏覽器不能正常地打開鏈接；不能復(fù)制、粘貼；有時(shí)出現(xiàn)應(yīng)用程序，比如Word異常；網(wǎng)絡(luò)變慢；最重要的是，在任務(wù)管理器里有一個(gè)叫“msblast.exe”的進(jìn)程在運(yùn)行！,專攻微軟漏洞,“沖擊波”病毒是利用微軟公司公布的Windows操作系統(tǒng)RPC（Remote Procedure Call ，遠(yuǎn)程過(guò)程調(diào)用）漏洞進(jìn)行攻擊和傳染的。RPC是Windows操作系統(tǒng)使用的一種遠(yuǎn)程過(guò)程調(diào)用協(xié)議，它提

6、供了一種遠(yuǎn)程間交互通信機(jī)制。通過(guò)這一機(jī)制，在一臺(tái)電腦上運(yùn)行的程序可以順暢地執(zhí)行某個(gè)遠(yuǎn)程系統(tǒng)上的代碼。由于微軟的RPC部分在通過(guò)TCP/IP處理信息交換時(shí)存在一個(gè)漏洞，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以本地系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意指令。,預(yù)防與清除,Windows 2002補(bǔ)丁3 sp3 132MWindows XP 補(bǔ)丁 la 143M“沖擊波”Windows2000微軟補(bǔ)丁“沖擊波”WindowsXP微軟補(bǔ)丁 Xp sp1,蠕蟲王20

7、03,2003年1月25日，互聯(lián)網(wǎng)遭遇到全球性的病毒攻擊。這個(gè)病毒名叫Win32.SQLExp.Worm，病毒體極其短小,卻具有極強(qiáng)的傳播性，導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓，中國(guó)80%以上網(wǎng)民受此次全球性病毒襲擊影響而不能上網(wǎng)，很多企業(yè)的服務(wù)器被此病毒感染引起網(wǎng)絡(luò)癱瘓。而美國(guó)、泰國(guó)、日本、韓國(guó)、馬來(lái)西亞、菲律賓和印度等國(guó)家的互聯(lián)網(wǎng)也受到嚴(yán)重影響。,襲擊對(duì)象,此蠕蟲病毒攻擊微軟Windows操作系統(tǒng)下的SQL Server 2000服務(wù)器，包

8、括安裝了如下程序的系統(tǒng)：Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000Microsoft Windows NT 4.0 SP6a Microsoft Windows NT 4.0 SP6 Microsoft

9、 Windows NT 4.0 SP5 Microsoft Windows NT 4.0 Microsoft Windows 2000 Server SP3Microsoft Windows 2000 Server SP2 Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP3Micros

10、oft Windows 2000 Advanced Server SP2 Microsoft Windows 2000 Advanced Server SP1 。,病毒特征,該蠕蟲攻擊安裝有Microsoft SQL 的NT系列服務(wù)器，該病毒嘗試探測(cè)被攻擊機(jī)器的1434/udp端口，如果探測(cè)成功，則發(fā)送376個(gè)字節(jié)的蠕蟲代碼。1434/udp端口為Microsoft SQL開放端口。該端口在未打補(bǔ)丁的SQL Server平臺(tái)

11、上存在緩沖區(qū)溢出漏洞，使蠕蟲的后續(xù)代碼能夠得以機(jī)會(huì)在被攻擊機(jī)器上運(yùn)行并進(jìn)一步傳播。,防范,安裝微軟的漏洞補(bǔ)丁或者安裝Microsoft SQL Server 2000 SP3。在防火墻或者路由器上阻塞外部對(duì)內(nèi)的和內(nèi)部對(duì)外的UDP/1434端口的訪問(wèn)。如果由于DoS導(dǎo)致系統(tǒng)反映緩慢，可先斷開網(wǎng)絡(luò)連接，然后在Windows任務(wù)管理器里面強(qiáng)行終止進(jìn)程SqlServr.exe，在做過(guò)相應(yīng)的防范措施以后在SQL Server管理器里面重新啟動(dòng)

12、此服務(wù)。,“求職信”病毒演變歷程,2001年，10月 “求職信”    第一版“求職信”病毒，利用微軟郵件系統(tǒng)自動(dòng)運(yùn)行附件的安全漏洞，通過(guò)電子郵件傳播，傳染能力極強(qiáng)。由于郵件中含有英文“我必須找到一份工作來(lái)供養(yǎng)我的父母”的信息，故命名為“求職信”病毒。它傳染可執(zhí)行文件，定時(shí)搜索電腦中的所有文件，耗費(fèi)大量系統(tǒng)資源，造成電腦運(yùn)行緩慢直至癱瘓。遇到單月13日時(shí)會(huì)自動(dòng)發(fā)作，將所有系統(tǒng)文件加長(zhǎng)一倍，浪費(fèi)大

13、量硬盤空間。2001年，11月 “求職信”（b /c /d版）    結(jié)構(gòu)基本與第一版相同，只是增加了一些更具偽裝性的郵件主題，破壞影響不大。,“求職信”病毒演變歷程,2002年，1月 “求職信”（e /f /g版） “求職信”病毒的多個(gè)變種（Klez.e、Klez.f、Klez.g）集體出擊。在原病毒的基礎(chǔ)上增加了更多的工作線程，可駐留系統(tǒng)、強(qiáng)行關(guān)閉用戶正在進(jìn)行的正常操作、刪除有

14、用文件。已呈現(xiàn)惡性病毒的雛形。其中的e版在每個(gè)單月6日這天爆發(fā)。Klez.e是有史以來(lái)互聯(lián)網(wǎng)上傳播速度最快的病毒之一。 2002年，2月 “求職信”（h/i 版）保留了以前版本的所有破壞伎倆，可破壞所有硬盤和網(wǎng)絡(luò)盤，增加可覆蓋文件的類型。2002年，4月16日 “求職信”（j/k 版）具備對(duì)反病毒軟件的反攻擊能力、更大破壞性、以及高超的隱蔽特性，由于該病毒程序存在缺陷，所以迅速轉(zhuǎn)變?yōu)樾碌淖兎N。2002年，4月18日 “求職信”

15、（l 版）     最新變體，迅速在全球擴(kuò)散，勢(shì)頭兇猛異常，導(dǎo)致受害用戶呈幾何級(jí)數(shù)直線上升。全球各反病毒機(jī)構(gòu)均發(fā)出最高等級(jí)的病毒警報(bào)。,預(yù)防與清除,要阻止該網(wǎng)絡(luò)蠕蟲利用電子郵件傳播，用戶必須安裝相應(yīng)的補(bǔ)丁程序。在WINDOWS95/98/ME系統(tǒng)下的清除：先運(yùn)行在WINDOWS95/98/ME系統(tǒng)下的安全模式，使用注冊(cè)表編輯工具regedit將網(wǎng)絡(luò)蠕蟲增加的鍵值刪除：HKEY_LOCAL_MA

16、CHINESoftwareMicrosoftWindowsCurrentVersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices要?jiǎng)h除的注冊(cè)表項(xiàng)目是wink_?.exe的鍵值。同時(shí)還必須相應(yīng)的將WINDOWS的SYSTEM目錄下的該隨機(jī)文件Wink_?.exe刪除，注意還必須將回收站清空。,清除方法,在Windows2000/XP系統(tǒng)下的清除。清除方法基本和Window

17、s95/98/ME系統(tǒng)下的清除方法相同：先以安全模式啟動(dòng)計(jì)算機(jī)，運(yùn)行注冊(cè)表編輯工具，同樣刪除該網(wǎng)絡(luò)蠕蟲增加的鍵值：HKEY_LOCAL_MACHINESystemCurrentControlSetServices，要?jiǎng)h除病毒增加的表項(xiàng)是：wink開頭的隨機(jī)的表項(xiàng)。當(dāng)然你必須記住該項(xiàng)目的具體名稱(雖然是隨機(jī)的)，然后在系統(tǒng)目錄下將該文件刪除。注意該文件是隱含的，您必須打開顯示所有文件的選擇項(xiàng)目才能查看該病毒文件。同樣的注冊(cè)表項(xiàng)還有HKEY

18、_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun。,紅色代碼,名稱：Code Red 發(fā)現(xiàn)日期:2001/7/18別名：W32/Bady.worm   2001年8月初，該病毒開始在我國(guó)互聯(lián)網(wǎng)登陸并且迅速蔓延。這種集病毒、蠕蟲、木馬、黑客程序于一身的惡意代碼，能主動(dòng)搜索、感染和攻擊安裝IIS(一種微軟的WEB服務(wù)器產(chǎn)品)系統(tǒng)的微軟Wi

19、ndows 2000和NT操作系統(tǒng)，取得系統(tǒng)的控制權(quán)，進(jìn)而泄漏系統(tǒng)中的文件并同時(shí)導(dǎo)致網(wǎng)絡(luò)通信與網(wǎng)絡(luò)信息服務(wù)的擁塞直至癱瘓。,病毒特征,該蠕蟲感染運(yùn)行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000、IIS中啟用了Indexing Service(索引服務(wù))的系統(tǒng)。該蠕蟲利用了一個(gè)緩沖區(qū)溢出漏洞進(jìn)行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務(wù)器變得不安

20、全）。蠕蟲只存在于內(nèi)存中，并不向硬盤中拷貝文件。蠕蟲的傳播是通過(guò)TCP/IP協(xié)議和端口80，利用上述漏洞，蠕蟲將自己作為一個(gè)TCP/IP流直接發(fā)送到染毒系統(tǒng)的緩沖區(qū)，蠕蟲依次掃描WEB，以便能夠感染其他的系統(tǒng)。一旦感染了當(dāng)前的系統(tǒng)，蠕蟲會(huì)檢測(cè)硬盤中是否存在c:\notworm，如果該文件存在，蠕蟲將停止感染其他主機(jī)。,CodeRedII(紅色代碼II),Code Red蠕蟲能夠迅速傳播，并造成大范圍的訪問(wèn)速度下降甚至阻斷?！凹t色代碼”

21、蠕蟲造成的破壞主要是涂改網(wǎng)頁(yè),對(duì)網(wǎng)絡(luò)上的其他服務(wù)器進(jìn)行攻擊，被攻擊的服務(wù)器又可以繼續(xù)攻擊其他服務(wù)器。在20~27日，向特定IP地址198.137.240.91(www.whitehouse.gov)發(fā)動(dòng)攻擊。病毒最初于2001年7月19日首次爆發(fā)，7月31日該病毒再度爆發(fā)，但由于大多數(shù)計(jì)算機(jī)用戶都提前安裝了修補(bǔ)軟件，所以該病毒第二次爆發(fā)的破壞程度明顯減弱。 Code Red采用了一種叫做"緩存區(qū)溢出&quo

22、t;的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來(lái)進(jìn)行病毒的傳播。這個(gè)蠕蟲病毒使用服務(wù)器的端口80進(jìn)行傳播，而這個(gè)端口正是WEB服務(wù)器與瀏覽器進(jìn)行信息交流的渠道。Code Red主要有如下特征：入侵IIS服務(wù)器， Code Red會(huì)將WWW英文站點(diǎn)改寫為“Hello! Welcome to www.Worm.com! Hacked by Chinese!”； 與其他病毒不同的是，Code Red并不將病毒信息寫

23、入被攻擊服務(wù)器的硬盤。它只是駐留在被攻擊服務(wù)器的內(nèi)存中，并借助這個(gè)服務(wù)器的網(wǎng)絡(luò)連接攻擊其他的服務(wù)器。,預(yù)防方法,請(qǐng)盡快登陸微軟網(wǎng)站下載相關(guān)補(bǔ)丁，為你的系統(tǒng)打補(bǔ)丁。,尼姆達(dá),2001年9月18日出現(xiàn)一種破壞力較強(qiáng)的新型病毒尼姆達(dá)（W32.Nimda.A@mm），它在互聯(lián)網(wǎng)上開始蔓延，Worms.Nimda是一個(gè)新型蠕蟲，也是一個(gè)病毒，它通過(guò)E-mail、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播。同時(shí)它也是一個(gè)感染本地文件的新型病毒。這個(gè)新型W32

24、.Nimda.A@mm蠕蟲通過(guò)多種方式進(jìn)行傳播，幾乎包括目前所有流行病毒的傳播手段：①通過(guò)E-mail將自己發(fā)送出去；②搜索局域網(wǎng)內(nèi)共享網(wǎng)絡(luò)資源；③將病毒文件復(fù)制到?jīng)]有打補(bǔ)丁的微軟（NT/2000）IIS服務(wù)器；④感染本地文件和遠(yuǎn)程網(wǎng)絡(luò)共享文件； ⑤感染瀏覽的網(wǎng)頁(yè)；,病毒特征,該蠕蟲由JavaScript腳本語(yǔ)言編寫，病毒體長(zhǎng)度57,344字節(jié)，它修改在本地驅(qū)動(dòng)器上的.htm, .html和 .asp文件。通過(guò)這個(gè)病毒，IE和

25、Outlook Express加載產(chǎn)生readme.eml文件。該文件將尼姆達(dá)蠕蟲作為一個(gè)附件包含。因此，不需要拆開或運(yùn)行這個(gè)附件病毒就被執(zhí)行。由于用戶收到帶毒郵件時(shí)無(wú)法看到附件，這樣給防范帶來(lái)困難，病毒也更具隱蔽性。這個(gè)病毒降低系統(tǒng)資源，可能最后導(dǎo)致系統(tǒng)運(yùn)行變慢最后宕機(jī)；它改變安全設(shè)置，在網(wǎng)絡(luò)中共享被感染機(jī)器的硬盤，導(dǎo)致泄密；它不斷地發(fā)送帶毒郵件。,預(yù) 防,該微軟漏洞補(bǔ)丁程序的下載地址在：http://www.microsof

26、t.com/technet/security/bulletin/ms00-078.asp微軟升級(jí)的OUTLOOK的MIME漏洞補(bǔ)丁程序的下載地址：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,清 除,如果用戶硬盤裝的系統(tǒng)是WINDOWS 98以下，也可使用干凈DOS軟盤啟動(dòng)機(jī)器；在SYSTEM.INI文件中將LOAD.EXE的文件改掉，如沒(méi)有變，

27、就不用改。正常的[boot]下的應(yīng)該是shell=explorer.exe.必須修改該文件中的shell項(xiàng)目，否則清除病毒后，系統(tǒng)啟動(dòng)會(huì)提示有關(guān)load.exe的錯(cuò)誤信息。為了預(yù)防該病毒在瀏覽該帶毒信箋時(shí)可以自動(dòng)執(zhí)行的特點(diǎn)，必須下載微軟的補(bǔ)丁程序。地址是：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.這樣可以預(yù)防此類病毒的破壞。WINDOWS 2000

28、如果不需要可執(zhí)行的CGI，可以刪除可執(zhí)行虛擬目錄,例如/scripts等。對(duì)WINDOWS NT/2000系統(tǒng)，微軟已經(jīng)發(fā)布了一個(gè)安全補(bǔ)丁，可以從下列地址下載：http://www.microsoft.com/technet/security/bulletin/ms00-078.asp病毒被清除后, 在WINDOWS的system目錄下的文件riched20.dll將被刪除，請(qǐng)從WINDOWS的安裝盤上或在無(wú)毒機(jī)中拷貝一份干凈的無(wú)