計(jì)算機(jī)病毒實(shí)例

1、計(jì)算機(jī)病毒MyDoom病毒 2004年1月26日，一種新的病毒MyDoom開(kāi)始通過(guò)郵件傳播，并對(duì)SCO、微軟和波音等大公司的網(wǎng)站發(fā)起DDoS攻擊。造成了一些大型公司，比如波音公司、SCO公司網(wǎng)絡(luò)的癱瘓，但就像 2003年1月25日的Slammer病毒一樣，由于MyDoom正值中國(guó)的春節(jié)期間爆發(fā)，當(dāng)時(shí)并未給中國(guó)的企業(yè)造成巨大損失。 網(wǎng)速極慢，無(wú)法接收郵件，而且持續(xù)的時(shí)間相當(dāng)長(zhǎng)。 該病毒已經(jīng)引起了國(guó)際反病毒廠商的高度重視，NAI公司已經(jīng)將 MyDoom病毒設(shè)置為“高危險(xiǎn)級(jí)別” 。 MyDoom病毒從破壞性和實(shí)現(xiàn)原理上都沒(méi)有超過(guò)Slammer，它不是利用系統(tǒng)的漏洞，而純粹是郵件病毒，但是，其編寫(xiě)技術(shù)

2、卻發(fā)生了重大改變，使得病毒呈現(xiàn)新的特征-病毒開(kāi)始智能化! MyDoom病毒的智能化體現(xiàn)在：能通過(guò)一些關(guān)鍵字自己創(chuàng)造新的郵件地址，比如，通過(guò)關(guān)鍵字“John”，在前后加一些字母，然后加上、 等后綴，形成新的郵件地址，然后開(kāi)始通過(guò)這些新創(chuàng)造出來(lái)的郵件地址一個(gè)個(gè)試探性地發(fā)送病毒和垃圾郵件；可自動(dòng)封堵一些著名反病毒公司的網(wǎng)站，比如NAI公司的網(wǎng)站，使中毒用戶無(wú)法及時(shí)升級(jí)反病毒軟件；自動(dòng)探測(cè)用戶計(jì)算機(jī)的端口，比如3127、8080端口，一旦發(fā)現(xiàn)沒(méi)有被防火墻封堵的端口，就將木馬和病毒程序通過(guò)這個(gè)端口置入用戶計(jì)算機(jī)中，使遠(yuǎn)程攻擊得逞；將垃圾郵件技術(shù)和病毒技術(shù)結(jié)合，利用垃圾郵件對(duì)網(wǎng)站進(jìn)行大規(guī)模的DDoS攻擊，

3、開(kāi)創(chuàng)了網(wǎng)絡(luò)攻擊的新模式。 該病毒的傳播占全球電子郵件通信量的2030，超過(guò)了諸如SoBig等蠕蟲(chóng)的傳播速度。該病毒已超過(guò)“沖擊波”成為最厲害的病毒。 從查殺MyDoom病毒本身來(lái)說(shuō)，并不復(fù)雜。不像查殺 Slammer病毒，用戶需要下載補(bǔ)丁程序，對(duì)MyDoom病毒，只需要升級(jí)病毒代碼就可以了。目前，許多反病毒公司都已經(jīng)研究出了病毒代碼，用戶只要升級(jí)了代碼，并在郵件服務(wù)器中安裝郵件反病毒軟件，就能將該病毒消除。 MyDoom病毒的意義不在于病毒本身，而在于它從此將開(kāi)創(chuàng)一個(gè)病毒智能化的時(shí)代。這是許多信息安全專(zhuān)家最為擔(dān)心的事情。Hotmail蠕蟲(chóng)蠕蟲(chóng)(Worm.Hotmatom) 病毒感染計(jì)算機(jī)后，會(huì)

4、把自己復(fù)制到“windows”目錄下，病毒文件名為“dho.exe”。 病毒會(huì)修改注冊(cè)表，每次打開(kāi)計(jì)算機(jī)后都自動(dòng)運(yùn)行，然后在后臺(tái)監(jiān)視用戶的IE瀏覽器。當(dāng)用戶登陸到MSN Hotmail發(fā)送郵件時(shí)，病毒會(huì)在發(fā)送的郵件后插入病毒文字和鏈接：“Hi, Happy San Valentin Day Download you Postcards from http:/*（情人節(jié)到了，去*網(wǎng)站下載賀卡吧）”，用戶點(diǎn)擊該鏈接后就會(huì)中毒。 對(duì)付：平時(shí)打開(kāi)殺毒軟件的實(shí)時(shí)監(jiān)控并升級(jí)到最新版本查殺此類(lèi)病毒，對(duì)于可疑的鏈接不要隨便點(diǎn)擊。 Trojan.PSW.Lmir 木馬程序，一個(gè)以竊取“傳奇”游戲的密碼和帳號(hào)為目

5、的的木馬病毒，該病毒能通過(guò)窗口標(biāo)題，進(jìn)程名關(guān)閉一些反病毒軟件，或防火墻軟件如：Symantec AntiVirus 、 天網(wǎng)防火墻個(gè)人版 、天網(wǎng)防火墻企業(yè)版等。 病毒還會(huì)通過(guò)注冊(cè)表搜索 “密碼防盜專(zhuān)家 綜合版”并且在起安裝目錄下搜索文件PasswordGuard.exe然后檢查此文件是否已經(jīng)運(yùn)行，如果運(yùn)行的話就將其強(qiáng)行結(jié)束。 病毒的主要危害為盜取用戶進(jìn)行游戲時(shí)登錄的游戲賬號(hào)密碼并發(fā)送給病毒作者。 小不點(diǎn)木馬程序小不點(diǎn)木馬程序(TrojanDownloader.Small) 木馬程序，依賴(lài)系統(tǒng)：Win9X/NT/2000/XP?！靶〔稽c(diǎn)”木馬程序是一個(gè)開(kāi)啟被感染計(jì)算機(jī)的后門(mén)，記錄鍵擊，盜取用戶機(jī)

6、密信息的木馬程序。 “小不點(diǎn)”變種arl運(yùn)行后，在系統(tǒng)目錄下和Windows目錄下創(chuàng)建大量病毒文件。修改注冊(cè)表，實(shí)現(xiàn)開(kāi)機(jī)自啟。打開(kāi)系統(tǒng)目錄下的.sys病毒文件，隱藏自己在任務(wù)管理器中的進(jìn)程，防止被查殺。開(kāi)啟指定的TCP端口，偵聽(tīng)黑客指令，盜取用戶計(jì)算機(jī)系統(tǒng)信息或網(wǎng)絡(luò)信息，發(fā)送特定郵件，訪問(wèn)指定站點(diǎn)等。 “沖擊波(Worm.Blaster) ”病毒 該病毒于2003年8月11日發(fā)現(xiàn)，是一種新型蠕蟲(chóng)病毒（WORM-MSBlast.A），已經(jīng)在國(guó)內(nèi)互聯(lián)網(wǎng)和部分專(zhuān)用網(wǎng)絡(luò)上傳播。該病毒利用微軟WINDOWS操作系統(tǒng)的RPC漏洞，通過(guò)網(wǎng)絡(luò)快速傳播。病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Win2

7、K或XP的計(jì)算機(jī)，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染。 一、沖擊波(Worm.Blaster)蠕蟲(chóng)病毒癥狀： 1電腦不能正常復(fù)制粘貼，WORD、EXCEL、POWERPOINT等文件無(wú)法正常執(zhí)行，彈出找不到文件的對(duì)話框，一些軟件功能無(wú)法正常使用。 2系統(tǒng)網(wǎng)絡(luò)連接數(shù)增大，系統(tǒng)反應(yīng)奇慢，并可導(dǎo)致計(jì)算機(jī)系統(tǒng)崩潰。 3 病毒會(huì)對(duì)NT/2000/2003版本的windows的IIS服務(wù)進(jìn)行侵害，造成DCOM組件報(bào)錯(cuò)，導(dǎo)致WWW服務(wù)癱瘓。 4 彈出窗口提示“RPC服務(wù)終止，需要重新啟動(dòng)計(jì)算機(jī)”。此病毒主要對(duì)windows2000/2003

8、 server版本危害比較大。 另外，該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，在8月16日以后，該病毒還會(huì)使被攻擊系統(tǒng)喪失更新該漏洞補(bǔ)丁的能力。 二、解決方案 1終止該計(jì)算機(jī)病毒運(yùn)行 病毒在內(nèi)存中建立一個(gè)名為：“msblast”的進(jìn)程，用戶可以用任務(wù)管理器將該病毒進(jìn)程終止。打開(kāi)WINDOWS任務(wù)管理器，在運(yùn)行的程序清單中查找進(jìn)程“MSBLAST.EXE”終止該進(jìn)程的運(yùn)行。2刪除注冊(cè)表中的自啟動(dòng)項(xiàng)單擊開(kāi)始運(yùn)行，輸入regedit命令，找到如下鍵值HKEY_LOCAL_MACHINESOFTWAREMICROSOFT WINDOWSCURRENTVERSIONRUN。在右邊

9、的列表中查找并刪除以下項(xiàng)目WINDOWS AUTO UPDATE= MSBLAST.EXE3、手動(dòng)刪除該病毒文件 %systemdir%msblast.exe “C:Windowssystem”或：“C:Winntsystem32” 4安裝PRC漏洞的補(bǔ)丁程序5對(duì)135端口、69端口、4444端口的訪問(wèn)進(jìn)行過(guò)濾，使得只能進(jìn)行受信任以及內(nèi)部的站點(diǎn)訪問(wèn)。6運(yùn)行殺毒軟件，對(duì)系統(tǒng)進(jìn)行全面的病毒掃描和清除，然后重新啟動(dòng)計(jì)算機(jī)，再次進(jìn)行病毒掃描，確認(rèn)病毒是否徹底清除。 三、網(wǎng)絡(luò)連接方面的解決方法1 Internet 連接防火墻 如果你在使用 Windows XP 或 Windows Server 2003

10、 中的 Internet 連接防火墻來(lái)保護(hù)你的 Internet 連接，則默認(rèn)情況下會(huì)阻止來(lái)自 Internet 的入站 RPC 通信信息。 2 禁用所有受影響的計(jì)算機(jī)上的 DCOM 如果一臺(tái)計(jì)算機(jī)是一個(gè)網(wǎng)絡(luò)的一部分，則該計(jì)算機(jī)上的 COM 對(duì)象將能夠通過(guò) DCOM 網(wǎng)絡(luò)協(xié)議與另一臺(tái)計(jì)算機(jī)上的 COM 對(duì)象進(jìn)行通信。您可以禁用特定的計(jì)算機(jī)上的 DCOM，幫助其防范此漏洞，但這樣做會(huì)阻斷該計(jì)算機(jī)上的對(duì)象與其他計(jì)算機(jī)上的對(duì)象之間的所有通信。 “妖怪”病毒 英文名稱(chēng)：Worm.Bugbear 該變種病毒郵件的主題為英文信息，極力誘惑郵件接收者打開(kāi)附件。如果用戶沒(méi)有修補(bǔ)漏洞，在預(yù)覽郵件時(shí)也會(huì)觸發(fā)病毒。

11、該病毒還會(huì)每20秒檢查一次系統(tǒng)進(jìn)程，當(dāng)發(fā)現(xiàn)有反病毒軟件的進(jìn)程存在時(shí)就會(huì)結(jié)束其進(jìn)程。 由于病毒感染可執(zhí)行文件，手工方法清除極為困難。 破壞： 感染W(wǎng)in32文件。病毒會(huì)感染部分系統(tǒng)目錄或Program Files里的特定可執(zhí)行程序，scandskw.exe；regedit.exe；mplayer.exe； Internet Exploreriexplore.exe等。 釋放黑客后門(mén)程序。該變種病毒在激活時(shí)會(huì)釋放后門(mén)程序記錄宿主機(jī)的鍵盤(pán)擊鍵操作，同時(shí)在本地系統(tǒng)監(jiān)聽(tīng)1080端口，等待控制臺(tái)端的連入，連接成功后宿主機(jī)即被黑客遠(yuǎn)程控制。 利用郵件和共享強(qiáng)烈傳播。該變種病毒會(huì)試圖從后綴后為.mmf,.nc

12、h,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出Email地址進(jìn)行郵件傳播。該變種病毒可搜索局域網(wǎng)內(nèi)的共享資源，并把自己復(fù)制到對(duì)方系統(tǒng)開(kāi)始菜單的啟動(dòng)項(xiàng)目錄中。這樣一來(lái)，用戶下次開(kāi)機(jī)時(shí)病毒就被觸發(fā)。V寶貝寶貝(Win32.Worm.BabyV)“V寶貝寶貝(Win32.Worm.BabyV)”病毒屬病毒屬木馬病毒，通過(guò)局域網(wǎng)、郵件、文件三種方式進(jìn)行傳播，依賴(lài)系統(tǒng): WIN9X/NT/2000/XP。 病毒運(yùn)行時(shí)會(huì)在系統(tǒng)安裝目錄中生成名為：123.txt，內(nèi)容為：“babyv ; made of Ran”的文本文件,用戶可以通過(guò)該特征來(lái)簡(jiǎn)單判斷是否中毒。 病毒會(huì)釋放出一個(gè)名為：ec

13、ho.vbs的文件，該文件可以自動(dòng)向外發(fā)送大量標(biāo)題為：“Microsoft Pack3, ;o)”，內(nèi)容為：“Hi:This is Microsoft client server center，Check This!”的病毒郵件，影響互聯(lián)網(wǎng)數(shù)據(jù)的正常傳輸。 該病毒還會(huì)通過(guò)寫(xiě)共享文件夾的方式瘋狂感染局域網(wǎng)，造成整個(gè)網(wǎng)絡(luò)病毒泛濫。 該病毒感染系統(tǒng)中的可執(zhí)行文件，將自身代碼插入到被感染文件中，造成所有可執(zhí)行文件被改寫(xiě)，使系統(tǒng)運(yùn)行速度變慢。 該病毒是繼“中國(guó)黑客”之后的又一個(gè)混合型病毒，它集文件感染、局域網(wǎng)傳播和郵件傳播多種特性于一體，因此傳播范圍廣、破壞性大，感染該病毒后很難象清除以往病毒那樣進(jìn)行手

14、工清除。假“安全補(bǔ)丁”是病毒！ 如果現(xiàn)在收到所謂微軟公司的系統(tǒng)安全補(bǔ)丁，千萬(wàn)不要打開(kāi)！被稱(chēng)為“嘲笑（Gibe）”和“斯文”（Swen）的新電腦病毒已被檢測(cè)到，該病毒假冒安全補(bǔ)丁以電子郵件附件形式迅速擴(kuò)散。 每秒鐘能感染20臺(tái)電腦。 該病毒是一種惡性蠕蟲(chóng)病毒，它將自己偽裝成微軟的升級(jí)郵件來(lái)誘惑用戶點(diǎn)擊，在“沖擊波”病毒以后，出現(xiàn)了許多以打補(bǔ)丁為內(nèi)容的郵件病毒，都是將自己偽裝成微軟公司的補(bǔ)丁程序來(lái)進(jìn)行傳播的，像“藍(lán)盒子”、“V寶貝”和 “斯文”，因此電腦用戶一定要隨時(shí)警惕并及時(shí)升級(jí)殺毒軟件防毒。如果遭“嘲笑”和“斯文”襲擊，用戶打開(kāi)電子郵件便會(huì)彈出看起來(lái)像真的安裝和更新窗口，出現(xiàn)如下對(duì)話框：“這將

15、安裝微軟安全更新系統(tǒng)，你希望繼續(xù)嗎？” 即便用戶點(diǎn)擊“No”，病毒也會(huì)自己安裝。當(dāng)用戶運(yùn)行該病毒時(shí)還會(huì)顯示安裝進(jìn)度條，具有非常大的迷惑性，在網(wǎng)絡(luò)上泛濫后最終造成網(wǎng)絡(luò)堵塞。病毒對(duì)硬盤(pán)中的電子郵件地址進(jìn)行搜索，大量復(fù)制發(fā)送，并且試圖使現(xiàn)有的防火墻和殺毒產(chǎn)品停止運(yùn)作，使用戶電腦的安全防護(hù)失效，從而使用戶將來(lái)再次受到攻擊。另外它還會(huì)實(shí)時(shí)自動(dòng)統(tǒng)計(jì)已被感染電腦的數(shù)量 。微軟公司此前已經(jīng)提醒用戶小心電子郵件病毒，并聲明公司沒(méi)有用電子郵件方式給用戶提供安全補(bǔ)丁，而是將補(bǔ)丁發(fā)送到公司網(wǎng)站由用戶下載。 “嘲笑”病毒還可以通過(guò)KaZaA音樂(lè)交流軟件傳播，途徑是自我復(fù)制到KaZaA共享文件夾中。惡意蠕蟲(chóng)病毒“秋天的童

16、話” “秋天的童話”(Worm.Pereban，別名：秋天的故事I-Worm/AutuFairy)。該蠕蟲(chóng)病毒似乎以紀(jì)念9.18事變?yōu)槟康?采用發(fā)送病毒郵件的方式進(jìn)行傳播。病毒長(zhǎng)度118784，使用VB編寫(xiě),文件特征看起來(lái)更像圖像文件，它會(huì)郵件聯(lián)系人來(lái)發(fā)送病毒郵件。 該蠕蟲(chóng)用“秋天的童話”作為郵件主題,郵件內(nèi)容為：“曾經(jīng)有一份真誠(chéng)的愛(ài)情擺在我面前,可是我沒(méi)有去珍惜”，附件即為病毒體。會(huì)嘗試格式化硬盤(pán)，或使計(jì)算機(jī)不能正常啟動(dòng)。會(huì)嘗試使用指定的內(nèi)容覆蓋所有的asp、shtml、htm、html文件，造成計(jì)算機(jī)數(shù)據(jù)的丟失。 手工解決辦法: 打開(kāi)任務(wù)管理器，結(jié)束.exe(未設(shè)鍵值).exe兩個(gè)進(jìn)程；

17、手工刪除系統(tǒng)目錄(如C:WinNTSystem32)下的 .exe(空格.exe)文件、(未設(shè)鍵值).exe； 手工刪除Internet臨時(shí)目錄(如C:WindowsTemporary Internet FilesIslov.jpg.exe； 修改注冊(cè)表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的鍵值； 修改注冊(cè)表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService下的鍵值； 修改AutoExec.bat和WinStart.bat內(nèi)的異常命令行?！癚Q信使信使”病毒病毒 QQ信使信使(Trojan.QQMsender.L