計(jì)算機(jī)的病毒及處理ppt課件

1、第第1頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出8.1 技能一技能一 認(rèn)識(shí)計(jì)算機(jī)病毒認(rèn)識(shí)計(jì)算機(jī)病毒8.2 技能二技能二 常見的計(jì)算機(jī)病毒及處理常見的計(jì)算機(jī)病毒及處理8.3 技能三技能三 使用殺毒軟件查殺病毒使用殺毒軟件查殺病毒第第2頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出8.1.1 任務(wù)一任務(wù)一 什么是計(jì)算機(jī)病毒什么是計(jì)算機(jī)病毒8.1.2 任務(wù)二任務(wù)二 計(jì)算機(jī)病毒的分類及特點(diǎn)計(jì)算機(jī)病毒的分類及特點(diǎn)第第3頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出計(jì)算機(jī)病毒是程序，能夠自我復(fù)制，會(huì)將自己的病毒碼依附在其他程計(jì)算機(jī)病毒是程序，能夠自我復(fù)制，會(huì)將

2、自己的病毒碼依附在其他程序上，通過其他程序的執(zhí)行，伺機(jī)傳播病毒程序，有一定潛伏期，一序上，通過其他程序的執(zhí)行，伺機(jī)傳播病毒程序，有一定潛伏期，一旦條件成熟，就進(jìn)行各種破壞活動(dòng)，影響計(jì)算機(jī)的使用。旦條件成熟，就進(jìn)行各種破壞活動(dòng)，影響計(jì)算機(jī)的使用。中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二十八條中對(duì)計(jì)第二十八條中對(duì)計(jì)算機(jī)病毒是這樣定義的：算機(jī)病毒是這樣定義的：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的

3、一組計(jì)算機(jī)指令或者程序代碼。復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！币虼?，計(jì)算機(jī)病毒就是能夠因此，計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件當(dāng)達(dá)到某種條件時(shí)即被啟動(dòng)的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。時(shí)即被啟動(dòng)的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。第第4頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出1計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類2計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征3計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒的傳播途徑第第5頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出按

4、照計(jì)算機(jī)病毒寄生方式分類按照計(jì)算機(jī)病毒寄生方式分類 引導(dǎo)型病毒引導(dǎo)型病毒 文件型病毒文件型病毒 混合型病毒混合型病毒 第第6頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出無(wú)害型無(wú)害型 無(wú)危險(xiǎn)型無(wú)危險(xiǎn)型 危險(xiǎn)型危險(xiǎn)型 非常危險(xiǎn)型非常危險(xiǎn)型 第第7頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出按照計(jì)算機(jī)病毒本身特性分類按照計(jì)算機(jī)病毒本身特性分類 系統(tǒng)病毒系統(tǒng)病毒 “蠕蟲蠕蟲”型病毒型病毒 黑客型病毒黑客型病毒 木馬型病毒木馬型病毒 腳本型病毒腳本型病毒 第第8頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 傳染性傳染性 隱蔽性隱蔽性 潛伏性潛伏性 破壞性破

5、壞性 不可預(yù)見性不可預(yù)見性 第第9頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 不可移動(dòng)的計(jì)算機(jī)硬設(shè)備不可移動(dòng)的計(jì)算機(jī)硬設(shè)備 移動(dòng)存儲(chǔ)設(shè)備移動(dòng)存儲(chǔ)設(shè)備 硬盤硬盤 網(wǎng)絡(luò)網(wǎng)絡(luò)第第10頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出8.2.1 任務(wù)一任務(wù)一 “沖擊波沖擊波”、“震蕩波震蕩波”和和“極速波極速波”病毒病毒8.2.2 任務(wù)二任務(wù)二 “灰鴿子灰鴿子”病毒病毒8.2.3 任務(wù)三任務(wù)三QQ病毒和病毒和MSN病毒的檢測(cè)與病毒的檢測(cè)與清除清除第第11頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出1. “沖擊波沖擊波”病毒病毒（1）病毒特征）病毒特征病毒名稱

6、：病毒名稱：I-Worm/Blaster。病毒別名：沖擊波。病毒別名：沖擊波。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒長(zhǎng)度：病毒長(zhǎng)度：6 176字節(jié)。字節(jié)。危險(xiǎn)級(jí)別：高。危險(xiǎn)級(jí)別：高。影響平臺(tái)：影響平臺(tái)：Windows 2000、Windows XP和和Windows 2003。相關(guān)文件：相關(guān)文件：msblast.exe。病毒描述：該蠕蟲病毒利用病毒描述：該蠕蟲病毒利用TCP 135端口，通過端口，通過 DCOM RPC 漏洞進(jìn)行攻擊。在此病漏洞進(jìn)行攻擊。在此病毒代碼內(nèi)隱藏的一段文本信息：毒代碼內(nèi)隱藏的一段文本信息：I just want to say LOVE YOU SAN! Bill

7、y gates why do you make this possible? Stop making money and fix your software!第第12頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）感染病毒后的癥狀）感染病毒后的癥狀 莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)。莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)。 IE瀏覽器不能正常地打開鏈接。瀏覽器不能正常地打開鏈接。 不能復(fù)制、粘貼。不能復(fù)制、粘貼。 有時(shí)出現(xiàn)應(yīng)用程序，比如有時(shí)出現(xiàn)應(yīng)用程序，比如Word異常。異常。 網(wǎng)絡(luò)變慢。網(wǎng)絡(luò)變慢。 在任務(wù)管理器里有一個(gè)在任務(wù)管理器里有一個(gè)msblast.exe的進(jìn)程在運(yùn)行。的進(jìn)程在運(yùn)

8、行。第第13頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（3）病毒傳播的方式）病毒傳播的方式當(dāng)病毒感染計(jì)算機(jī)系統(tǒng)后，執(zhí)行以下操作：當(dāng)病毒感染計(jì)算機(jī)系統(tǒng)后，執(zhí)行以下操作： 首先創(chuàng)建一個(gè)線程首先創(chuàng)建一個(gè)線程BILLY。 修改注冊(cè)表的鍵值：修改注冊(cè)表的鍵值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun增加增加“windows auto update”=“msblast.exe”鍵值，使鍵值，使得病毒可以在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。得病毒可以在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。 然后按照一定的規(guī)則來(lái)攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)。該隨機(jī)然后按照一

9、定的規(guī)則來(lái)攻擊網(wǎng)絡(luò)上的計(jì)算機(jī)。該隨機(jī)IP段的計(jì)段的計(jì)算機(jī)所有算機(jī)所有135端口發(fā)布攻擊代碼，成功后，在端口發(fā)布攻擊代碼，成功后，在TCP的端口的端口4444創(chuàng)創(chuàng)建建cmd.exe，該病毒還能接受外界的指令，在，該病毒還能接受外界的指令，在UDP的端口的端口69上接上接受指令，發(fā)送文件受指令，發(fā)送文件msblast.exe 網(wǎng)絡(luò)蠕蟲主體。網(wǎng)絡(luò)蠕蟲主體。第第14頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（4）預(yù)防與清除）預(yù)防與清除 使用使用“沖擊波沖擊波”病毒專殺工具清除，查殺病毒專殺工具清除，查殺“沖擊波沖擊波” 病毒。瑞星公司提供專殺工具下載地址：病毒。瑞星公司提供專殺工具下

10、載地址： 。 該工具的使用如圖所示。該工具的使用如圖所示。 安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染。安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染?！皼_沖擊波擊波”補(bǔ)丁程序的下載地址：。補(bǔ)丁程序的下載地址：。第第15頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第16頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出“”（1）病毒特征）病毒特征病毒名稱：病毒名稱：Worm.Sasser。病毒別名：震蕩波。病毒別名：震蕩波。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒長(zhǎng)度：病毒長(zhǎng)度：15 872字節(jié)。字節(jié)。危險(xiǎn)級(jí)別：高。危險(xiǎn)級(jí)別：高。影響平臺(tái)：影響平臺(tái)：Windows 20

11、00、Windows XP和和Windows 2003。相關(guān)文件：相關(guān)文件：avserve.exe。病毒描述：該蠕蟲病毒會(huì)通過病毒描述：該蠕蟲病毒會(huì)通過FTP的的5554端口攻擊計(jì)算機(jī)，一旦攻擊失敗，會(huì)使系統(tǒng)端口攻擊計(jì)算機(jī)，一旦攻擊失敗，會(huì)使系統(tǒng)文件崩潰，造成計(jì)算機(jī)反復(fù)重啟；病毒如果攻擊成功，會(huì)將自身傳到對(duì)方機(jī)器并文件崩潰，造成計(jì)算機(jī)反復(fù)重啟；病毒如果攻擊成功，會(huì)將自身傳到對(duì)方機(jī)器并執(zhí)行病毒程序，然后在執(zhí)行病毒程序，然后在C:WINDOWS目錄下產(chǎn)生名為目錄下產(chǎn)生名為avserve.exe的病毒體，繼續(xù)的病毒體，繼續(xù)攻擊下一個(gè)目標(biāo)，用戶可以通過查找該病毒文件來(lái)判斷是否中毒。攻擊下一個(gè)目標(biāo)，用戶

12、可以通過查找該病毒文件來(lái)判斷是否中毒。第第17頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）感染病毒后的癥狀）感染病毒后的癥狀 出現(xiàn)出現(xiàn)LSA Shell 服務(wù)異常對(duì)話框，如圖所示。服務(wù)異常對(duì)話框，如圖所示。接著出現(xiàn)一分鐘后重啟計(jì)算機(jī)的接著出現(xiàn)一分鐘后重啟計(jì)算機(jī)的“系統(tǒng)關(guān)機(jī)系統(tǒng)關(guān)機(jī)”對(duì)話框，如圖所示。對(duì)話框，如圖所示。第第18頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第19頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第20頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 病毒如果病毒如果攻擊攻擊成功，則會(huì)占用大量系統(tǒng)資源，使

13、成功，則會(huì)占用大量系統(tǒng)資源，使CPU占用率達(dá)到占用率達(dá)到100%，出現(xiàn)計(jì)算機(jī)運(yùn)行異常緩慢的現(xiàn)象。，出現(xiàn)計(jì)算機(jī)運(yùn)行異常緩慢的現(xiàn)象。 在任務(wù)管理器里有一個(gè)在任務(wù)管理器里有一個(gè)“avserve.exe”的進(jìn)程在運(yùn)行。的進(jìn)程在運(yùn)行。 在在Windows系統(tǒng)的安裝目錄下會(huì)出現(xiàn)名為系統(tǒng)的安裝目錄下會(huì)出現(xiàn)名為 avserve.exe 的病毒文件。的病毒文件。 注冊(cè)表中出現(xiàn)病毒的自啟動(dòng)鍵值：注冊(cè)表中出現(xiàn)病毒的自啟動(dòng)鍵值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項(xiàng)中建立病毒鍵值：項(xiàng)中建立病毒鍵值：“avserve.exe ”=“%WIN

14、DOWS%avserve.exe”。第第21頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（3）病毒傳播的方式）病毒傳播的方式 首先拷貝自身到首先拷貝自身到Windows目錄，名為目錄，名為%WINDOWS%avserve.exe（16 384字字節(jié)），然后登記到自啟動(dòng)項(xiàng)：節(jié)），然后登記到自啟動(dòng)項(xiàng)：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Avserve.exe = %WINDOWS% avserve.exe。開辟線程，在本地開辟后門，監(jiān)聽開辟線程，在本地開辟后門，監(jiān)聽TCP 5554端口。被攻擊的機(jī)器

15、主動(dòng)連接本地端口。被攻擊的機(jī)器主動(dòng)連接本地5554端口，將端口，將IP地址和端口傳過來(lái)。本線程負(fù)責(zé)將病毒文件傳送到被攻擊的機(jī)器。地址和端口傳過來(lái)。本線程負(fù)責(zé)將病毒文件傳送到被攻擊的機(jī)器。病毒開辟病毒開辟128個(gè)掃描線程。以本地個(gè)掃描線程。以本地IP地址為基礎(chǔ)，取隨機(jī)地址為基礎(chǔ)，取隨機(jī)IP地址，瘋狂的試探連地址，瘋狂的試探連接接445端口，如果試探成功，則運(yùn)行一個(gè)新的病毒進(jìn)程對(duì)該目標(biāo)進(jìn)行攻擊，將該端口，如果試探成功，則運(yùn)行一個(gè)新的病毒進(jìn)程對(duì)該目標(biāo)進(jìn)行攻擊，將該目標(biāo)的目標(biāo)的IP地址保存到地址保存到“c:win2.log”中。中。利用利用Windows的的LSASS中存在一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊，

16、一旦攻擊成功會(huì)導(dǎo)中存在一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊，一旦攻擊成功會(huì)導(dǎo)致對(duì)方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會(huì)造成對(duì)方機(jī)器的緩沖致對(duì)方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會(huì)造成對(duì)方機(jī)器的緩沖區(qū)溢出區(qū)溢出,導(dǎo)致對(duì)方機(jī)器程序非法操作，以及系統(tǒng)異常等。由于該病毒在導(dǎo)致對(duì)方機(jī)器程序非法操作，以及系統(tǒng)異常等。由于該病毒在lsass.exe中中溢出，可以獲取管理員的權(quán)限，執(zhí)行任意指令。溢出，可以獲取管理員的權(quán)限，執(zhí)行任意指令。第第22頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（4）預(yù)防與清除）預(yù)防與清除 使用使用“震蕩波震蕩波”病毒專殺工具清除，查殺病毒專殺工具清除，查殺

17、“震蕩波震蕩波”病毒。瑞星公司提供專殺工具下載地址：病毒。瑞星公司提供專殺工具下載地址： . 該工具的使用如圖所示。該工具的使用如圖所示。 安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染。安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染?！罢鹫鹗幉ㄊ幉ā毖a(bǔ)丁程序的下載地址：。補(bǔ)丁程序的下載地址：。第第23頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第24頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出3. “極速波極速波”病毒病毒（1）病毒特征）病毒特征病毒名稱：病毒名稱：I-Worm/Zobot。病毒別名：極速波。病毒別名：極速波。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒類型：網(wǎng)絡(luò)蠕蟲。病毒

18、長(zhǎng)度：病毒長(zhǎng)度：22 528字節(jié)。字節(jié)。危險(xiǎn)級(jí)別：高。危險(xiǎn)級(jí)別：高。影響平臺(tái)：影響平臺(tái)：Windows 2000、Windows XP和和Windows 2003。相關(guān)文件：相關(guān)文件：botzor.exe。病毒描述：該蠕蟲病毒利用微軟病毒描述：該蠕蟲病毒利用微軟“即插即用服務(wù)代碼執(zhí)行漏洞即插即用服務(wù)代碼執(zhí)行漏洞”（MS05-039）的病毒。該病毒利用最新漏洞傳播，并且可以通過的病毒。該病毒利用最新漏洞傳播，并且可以通過IRC接受黑客命令，使被接受黑客命令，使被感染計(jì)算機(jī)被黑客完全控制。感染計(jì)算機(jī)被黑客完全控制。第第25頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）病毒傳播的

19、方式及引起的癥狀）病毒傳播的方式及引起的癥狀 當(dāng)當(dāng)“極速波極速波”病毒攻擊失敗時(shí)候，會(huì)造成系病毒攻擊失敗時(shí)候，會(huì)造成系統(tǒng)頻繁重啟，如圖所示。統(tǒng)頻繁重啟，如圖所示。第第26頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第27頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 當(dāng)病毒運(yùn)行后，將在系統(tǒng)目錄下創(chuàng)建一個(gè)文當(dāng)病毒運(yùn)行后，將在系統(tǒng)目錄下創(chuàng)建一個(gè)文件件botzor.exe。如圖所示。如圖所示。第第28頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第29頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 在注冊(cè)表中添加下列啟動(dòng)項(xiàng)：在注冊(cè)表中添加

20、下列啟動(dòng)項(xiàng)：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“WINDOWS SYSTEM”= botzor.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices“WINDOWS SYSTEM”= botzor.exe這樣，在這樣，在Windows啟動(dòng)時(shí)，病毒就可以自動(dòng)執(zhí)行，如圖啟動(dòng)時(shí)，病毒就可以自動(dòng)執(zhí)行，如圖所示。所示。第第30頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第31頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一

21、頁(yè)下一頁(yè)退退 出出 通過通過TCP端口端口8080連接連接IRC服務(wù)器，接受并執(zhí)行黑客命服務(wù)器，接受并執(zhí)行黑客命令?？蓪?dǎo)致被感染計(jì)算機(jī)被黑客完全控制。令。可導(dǎo)致被感染計(jì)算機(jī)被黑客完全控制。 在在TCP端口端口33333開啟開啟FTP服務(wù)，提供病毒文件下載功服務(wù)，提供病毒文件下載功能。利用微軟即插即用服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（能。利用微軟即插即用服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（MS05-039）進(jìn)行傳播。如果漏洞利用代碼成功運(yùn)行，將導(dǎo)致）進(jìn)行傳播。如果漏洞利用代碼成功運(yùn)行，將導(dǎo)致遠(yuǎn)程目標(biāo)計(jì)算機(jī)從當(dāng)前被感染計(jì)算機(jī)的遠(yuǎn)程目標(biāo)計(jì)算機(jī)從當(dāng)前被感染計(jì)算機(jī)的FTP服務(wù)上下載服務(wù)上下載病毒程序。如果漏洞代碼沒有成功運(yùn)行，未

22、打補(bǔ)丁的遠(yuǎn)病毒程序。如果漏洞代碼沒有成功運(yùn)行，未打補(bǔ)丁的遠(yuǎn)程計(jì)算機(jī)可能會(huì)出現(xiàn)程計(jì)算機(jī)可能會(huì)出現(xiàn)services.exe進(jìn)程崩潰的現(xiàn)象。進(jìn)程崩潰的現(xiàn)象。 修改修改%SystemDir%driversetchosts文件，屏蔽大量國(guó)文件，屏蔽大量國(guó)外反病毒和安全廠商的網(wǎng)址。外反病毒和安全廠商的網(wǎng)址。第第32頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（3）預(yù)防與清除）預(yù)防與清除 使用使用“極速波極速波”病毒專殺工具清除，查殺病毒專殺工具清除，查殺“極速波極速波”病毒。瑞星公司提供專殺工具下載病毒。瑞星公司提供專殺工具下載地址：地址：。該工具的使用如圖所示。該工具的使用如圖所示。第第

23、33頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第34頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染。染。“極速波極速波”補(bǔ)丁程序的下載地址：補(bǔ)丁程序的下載地址： 。第第35頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出4. “沖擊波沖擊波”、“震蕩波震蕩波”和和“極速波極速波”3種病毒種病毒的比較的比較（1）利用漏洞速度比較）利用漏洞速度比較（2）傳播能力比較）傳播能力比較（3）病毒危害性比較）病毒危害性比較（4）囂張程度比較）囂張程度比較第第36頁(yè)頁(yè)共共98頁(yè)頁(yè)目目

24、 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出1“灰鴿子灰鴿子”病毒的簡(jiǎn)介病毒的簡(jiǎn)介 “灰鴿子灰鴿子”是國(guó)內(nèi)一款著名后門。比起前輩是國(guó)內(nèi)一款著名后門。比起前輩“冰河冰河”和和“黑洞黑洞”，“灰鴿子灰鴿子”可以說(shuō)是國(guó)內(nèi)后門的集大成可以說(shuō)是國(guó)內(nèi)后門的集大成者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕?jiǎn)易便捷的操隱藏性使其他后門都相形見絀。客戶端簡(jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí)，況下時(shí)，“灰鴿子灰鴿子”是一款優(yōu)秀的遠(yuǎn)程控制軟件。但是一款優(yōu)秀的遠(yuǎn)程控

25、制軟件。但如果拿它做一些非法的事，如果拿它做一些非法的事，“灰鴿子灰鴿子”就成了很強(qiáng)大就成了很強(qiáng)大的黑客工具。的黑客工具。第第37頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出2“灰鴿子灰鴿子”病毒的運(yùn)行原理病毒的運(yùn)行原理“灰鴿子灰鴿子”木馬分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用木馬分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為客戶端配置生成出一個(gè)服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個(gè)木馬（俗稱種木馬或者開，然后黑客通過各種渠道傳播這個(gè)木馬（俗稱種木馬或者開后門）。

26、種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，后門）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個(gè)羞澀的美眉通過然后假冒成一個(gè)羞澀的美眉通過QQ將木馬傳給你，誘騙你運(yùn)行；也可以將木馬傳給你，誘騙你運(yùn)行；也可以建立一個(gè)個(gè)人網(wǎng)頁(yè)，誘騙你點(diǎn)擊，利用建立一個(gè)個(gè)人網(wǎng)頁(yè)，誘騙你點(diǎn)擊，利用IE漏洞將木馬下載到你的機(jī)器上漏洞將木馬下載到你的機(jī)器上并運(yùn)行；還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟并運(yùn)行；還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶下載等。件誘騙用戶下載等。G_Server.exe運(yùn)行后將自己拷貝到運(yùn)行后將自己拷貝到Windows目

27、錄下（目錄下（Windows 98和和Windows XP為系統(tǒng)盤的為系統(tǒng)盤的Windows目錄，而目錄，而Windows 2000和和Windows NT為系統(tǒng)盤的為系統(tǒng)盤的Winnt目錄），然后再?gòu)捏w內(nèi)釋放目錄），然后再?gòu)捏w內(nèi)釋放G_Server.dll和和G_Server_Hook.dll到到Windows目錄下。目錄下。 第第38頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出G_Server.exe、G_Server.dll和和G_Server_Hook.dll三個(gè)文件相互配合組三個(gè)文件相互配合組成了成了“灰鴿子灰鴿子”服務(wù)端，有些服務(wù)端，有些“灰鴿子灰鴿子”會(huì)多釋放出一

28、個(gè)名為會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來(lái)記錄鍵盤操作。注意，的文件用來(lái)記錄鍵盤操作。注意，G_Server.exe這個(gè)這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，時(shí)，生成的文件就是生成的文件就是A.exe、A.dll和和A_Hook.dll。Windows目錄下的目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)（文件將自己注冊(cè)成服務(wù)（9X系統(tǒng)寫注系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng)），每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)冊(cè)表啟動(dòng)項(xiàng)），每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和和G_Serve

29、r_Hook.dll并自動(dòng)退出。并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過攔截則通過攔截API調(diào)用來(lái)隱調(diào)用來(lái)隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著服務(wù)項(xiàng)。隨著“灰鴿子灰鴿子”服務(wù)端文件的設(shè)置不同，服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。第第39頁(yè)

30、頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出3. “灰鴿子灰鴿子”的手工檢測(cè)的手工檢測(cè)（1）打開）打開“我的電腦我的電腦”，執(zhí)行菜單【工具】，執(zhí)行菜單【工具】【文件夾【文件夾選項(xiàng)】，打開選項(xiàng)】，打開“文件夾選項(xiàng)文件夾選項(xiàng)”對(duì)話框，如圖所示。對(duì)話框，如圖所示。（2）打開）打開“查看查看”選項(xiàng)卡，取消選項(xiàng)卡，取消“隱藏受保護(hù)的操作系隱藏受保護(hù)的操作系統(tǒng)文件統(tǒng)文件”前的對(duì)勾，并在前的對(duì)勾，并在“隱藏文件和文件夾隱藏文件和文件夾”項(xiàng)中項(xiàng)中選擇選擇“顯示所有文件和文件夾顯示所有文件和文件夾”，如圖所示。然后單，如圖所示。然后單擊擊“確定確定”命令按鈕完成顯示所有命令按鈕完成顯示所有Wind

31、ows文件的設(shè)文件的設(shè)置。置。第第40頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第41頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第42頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（3）打開）打開Windows的的“搜索文件搜索文件”，文件名稱，文件名稱輸入輸入“_hook.dll”，搜索位置選擇，搜索位置選擇Windows的的安裝目錄。安裝目錄。（4）經(jīng)過搜索，我們?cè)冢┙?jīng)過搜索，我們?cè)赪indows目錄（不包含目錄（不包含子目錄）下發(fā)現(xiàn)了一個(gè)名為子目錄）下發(fā)現(xiàn)了一個(gè)名為Game_Hook.dll的的文件，如圖所示。文件，如圖所示。第第43

32、頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第44頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（5）根據(jù)對(duì)）根據(jù)對(duì)“灰鴿子灰鴿子”原理的分析我們知道，原理的分析我們知道，如果如果Game_Hook.DLL是是“灰鴿子灰鴿子”的文件，的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有則在操作系統(tǒng)安裝目錄下還會(huì)有Game.exe和和Game.dll文件。打開文件。打開Windows目錄，果然有這目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的GameKey.dll文件，如圖所示。文件，如圖所示。第第45頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一

33、頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第46頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出4“灰鴿子灰鴿子”的手工清除的手工清除清除清除“灰鴿子灰鴿子”病毒仍然要在安全模式下操作，要清除兩方面的內(nèi)病毒仍然要在安全模式下操作，要清除兩方面的內(nèi)容，一是清除灰鴿子的服務(wù)，另一個(gè)是刪除容，一是清除灰鴿子的服務(wù)，另一個(gè)是刪除“灰鴿子灰鴿子”病毒的程病毒的程序文件。序文件。（1）清除）清除“灰鴿子灰鴿子”的服務(wù)的服務(wù) 執(zhí)行【開始】執(zhí)行【開始】【運(yùn)行】，打開【運(yùn)行】，打開“運(yùn)行運(yùn)行”對(duì)話框，然后輸入對(duì)話框，然后輸入“Regedit”，最后按回車鍵打開注冊(cè)表編輯器。，最后按回車鍵打開注冊(cè)表編輯器。 執(zhí)

34、行菜單【編輯】執(zhí)行菜單【編輯】【查找】，打開查找對(duì)話框，然后輸入【查找】，打開查找對(duì)話框，然后輸入“game.exe”，最后單擊，最后單擊“查找下一個(gè)查找下一個(gè)”命令按鈕，找到命令按鈕，找到“灰鴿灰鴿子子”的服務(wù)項(xiàng)的服務(wù)項(xiàng)Game Server。如圖所示。如圖所示。第第47頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第48頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 刪除整個(gè)刪除整個(gè)Game_Server項(xiàng)。項(xiàng)。 刪除注冊(cè)表中刪除注冊(cè)表中“灰鴿子灰鴿子”的自啟動(dòng)項(xiàng)的自啟動(dòng)項(xiàng)Game.exe，如圖所示。，如圖所示。第第49頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下

35、一頁(yè)下一頁(yè)退退 出出第第50頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）刪除）刪除“灰鴿子灰鴿子”病毒的程序文件病毒的程序文件刪除刪除“灰鴿子灰鴿子”程序文件非常簡(jiǎn)單，只需要在安程序文件非常簡(jiǎn)單，只需要在安全模式下刪除全模式下刪除Windows目錄下的目錄下的Game.exe、Game.dll、Game_Hook.dll以及以及Gamekey.dll文文件，然后重新啟動(dòng)計(jì)算機(jī)。至此，件，然后重新啟動(dòng)計(jì)算機(jī)。至此，“灰鴿子灰鴿子”已經(jīng)被清除干凈。已經(jīng)被清除干凈。第第51頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出1“QQ尾巴尾巴”病毒病毒2“QQ連發(fā)器連發(fā)器

36、”病毒病毒3“QQ林妹妹林妹妹”病毒病毒4“QQ武漢男生武漢男生”病毒病毒5MSN“性感雞性感雞”病毒病毒第第52頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（1）該病毒的主要特征）該病毒的主要特征 這種病毒并不是利用這種病毒并不是利用QQ本身的漏洞進(jìn)行傳播，它其實(shí)是在某個(gè)本身的漏洞進(jìn)行傳播，它其實(shí)是在某個(gè)網(wǎng)站首頁(yè)上嵌入了一段惡意代碼，利用網(wǎng)站首頁(yè)上嵌入了一段惡意代碼，利用IE的的iFrame系統(tǒng)漏洞自動(dòng)系統(tǒng)漏洞自動(dòng)運(yùn)行惡意木馬程序，從而達(dá)到侵入用戶系統(tǒng)的目的，進(jìn)而借助運(yùn)行惡意木馬程序，從而達(dá)到侵入用戶系統(tǒng)的目的，進(jìn)而借助QQ進(jìn)行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒安裝漏洞補(bǔ)丁或

37、進(jìn)行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒安裝漏洞補(bǔ)丁或沒將沒將IE升級(jí)到最高版本，那么訪問這些網(wǎng)站的時(shí)候其訪問的網(wǎng)頁(yè)升級(jí)到最高版本，那么訪問這些網(wǎng)站的時(shí)候其訪問的網(wǎng)頁(yè)中嵌入的惡意代碼即被運(yùn)行，就會(huì)緊接著通過中嵌入的惡意代碼即被運(yùn)行，就會(huì)緊接著通過IE的漏洞運(yùn)行一個(gè)的漏洞運(yùn)行一個(gè)木馬程序進(jìn)駐到用戶計(jì)算機(jī)。然后在用戶使用木馬程序進(jìn)駐到用戶計(jì)算機(jī)。然后在用戶使用QQ向好友發(fā)送信向好友發(fā)送信息的時(shí)候，該木馬程序會(huì)自動(dòng)在發(fā)送的消息末尾插入一段廣告詞，息的時(shí)候，該木馬程序會(huì)自動(dòng)在發(fā)送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。通常都是以下幾句中的一種。第第53頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下

38、一頁(yè)下一頁(yè)退退 出出 HoHo *.com剛才朋友給我發(fā)來(lái)的這個(gè)東東。你不剛才朋友給我發(fā)來(lái)的這個(gè)東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧?？纯淳秃蠡谂?，嘿嘿。也給你的朋友吧。 呵呵，其實(shí)我覺得這個(gè)網(wǎng)站真的不錯(cuò)，你看看呵呵，其實(shí)我覺得這個(gè)網(wǎng)站真的不錯(cuò)，你看看*.com/。 http/*.com 幫忙看看這個(gè)網(wǎng)站打不打的開。幫忙看看這個(gè)網(wǎng)站打不打的開。 * 看看啊。我最近照的照片，才掃描到網(wǎng)看看啊。我最近照的照片，才掃描到網(wǎng)上的?？纯次沂遣皇亲兞藰由系摹？纯次沂遣皇亲兞藰? 第第54頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第55頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)

39、下一頁(yè)退退 出出（1）該病毒的主要特征）該病毒的主要特征病毒運(yùn)行時(shí)會(huì)將自身復(fù)制到系統(tǒng)目錄下，命名為：病毒運(yùn)行時(shí)會(huì)將自身復(fù)制到系統(tǒng)目錄下，命名為：WebAuto.exe。病毒會(huì)修改注冊(cè)表，在病毒會(huì)修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun啟動(dòng)項(xiàng)中添加鍵值啟動(dòng)項(xiàng)中添加鍵值WebAuto.exe，該鍵值的內(nèi)，該鍵值的內(nèi)容是病毒的文件路徑，在下一次啟動(dòng)計(jì)算機(jī)時(shí)，病毒就會(huì)自動(dòng)運(yùn)行。容是病毒的文件路徑，在下一次啟動(dòng)計(jì)算機(jī)時(shí)，病毒就會(huì)自動(dòng)運(yùn)行。病毒會(huì)將用戶系統(tǒng)中的病毒會(huì)將用戶系統(tǒng)中的IE默認(rèn)首頁(yè)改為：默認(rèn)首頁(yè)改為： ，

40、使用戶一上網(wǎng)就中招。，使用戶一上網(wǎng)就中招。病毒會(huì)尋找病毒會(huì)尋找QQ的發(fā)送消息窗口，給用戶所有好友隨機(jī)發(fā)送以下消的發(fā)送消息窗口，給用戶所有好友隨機(jī)發(fā)送以下消息：息：“快去這看看，里面有蠻好的東西快去這看看，里面有蠻好的東西”?！吧洗慰戳藗€(gè)網(wǎng)站不錯(cuò)，去看看吧上次看了個(gè)網(wǎng)站不錯(cuò)，去看看吧”。第第56頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）“QQ連發(fā)器連發(fā)器”病毒的檢測(cè)與清除病毒的檢測(cè)與清除 打開打開“任務(wù)管理器任務(wù)管理器”，看一看是否有，看一看是否有Webauto.exe進(jìn)程，進(jìn)程，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了“QQ連發(fā)器連發(fā)器”病毒。病

41、毒。 看一看看一看IE默認(rèn)首頁(yè)是否改成。默認(rèn)首頁(yè)是否改成。 使用使用QQ專殺工具可以清除這種病毒，如圖所示。專殺工具可以清除這種病毒，如圖所示。 使用瑞星注冊(cè)表清除工具，可以修復(fù)注冊(cè)表被修改的問題。使用瑞星注冊(cè)表清除工具，可以修復(fù)注冊(cè)表被修改的問題。如圖和圖所示，先使用如圖和圖所示，先使用“立即掃描注冊(cè)表立即掃描注冊(cè)表”按鈕，掃出注按鈕，掃出注冊(cè)表被修改的項(xiàng)目，如圖所示。然后選中要修復(fù)的項(xiàng)目，冊(cè)表被修改的項(xiàng)目，如圖所示。然后選中要修復(fù)的項(xiàng)目，最后使用最后使用“修復(fù)選中的項(xiàng)目修復(fù)選中的項(xiàng)目”按鈕修復(fù)，如圖所示。按鈕修復(fù)，如圖所示。第第57頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出

42、出第第58頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第59頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（1）該病毒的主要特征）該病毒的主要特征 該病毒發(fā)作時(shí)，會(huì)自動(dòng)利用該病毒發(fā)作時(shí)，會(huì)自動(dòng)利用QQ發(fā)送如圖所示發(fā)送如圖所示的消息。的消息。第第60頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第61頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 當(dāng)此病毒文件被運(yùn)行后，會(huì)將自身復(fù)制到當(dāng)此病毒文件被運(yùn)行后，會(huì)將自身復(fù)制到Windows的系統(tǒng)目錄的系統(tǒng)目錄System32文件夾里，并將文件夾里，并將文件名改成文件名改成wupdate.ex

43、e。 病毒修改注冊(cè)表的自啟動(dòng)項(xiàng)，使自己在系統(tǒng)病毒修改注冊(cè)表的自啟動(dòng)項(xiàng)，使自己在系統(tǒng)啟動(dòng)時(shí)可以自動(dòng)運(yùn)行，如圖所示。啟動(dòng)時(shí)可以自動(dòng)運(yùn)行，如圖所示。第第62頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第63頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunWindows Update項(xiàng)，使項(xiàng)，使自己在系統(tǒng)啟動(dòng)時(shí)可以自動(dòng)運(yùn)行。自己在系統(tǒng)啟動(dòng)時(shí)可以自動(dòng)運(yùn)行。 病毒修改注冊(cè)表，將病毒修改注冊(cè)表，將IE主頁(yè)地址設(shè)置成，如圖所示。主頁(yè)地址設(shè)置成，如圖所示。HKEY

44、_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page項(xiàng)。項(xiàng)。第第64頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第65頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 “QQ林妹妹林妹妹”病毒的檢測(cè)與清除病毒的檢測(cè)與清除 打開任務(wù)管理器，看一看是否有打開任務(wù)管理器，看一看是否有wupdate.exe進(jìn)程，如進(jìn)程，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染上了果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染上了“QQ林妹妹林妹妹”病毒。病毒。 看一看看一看IE默認(rèn)首頁(yè)是否改成。默認(rèn)首頁(yè)是否改成。 使用使用QQ專殺工具可以清除這種

45、病毒，如圖所示。專殺工具可以清除這種病毒，如圖所示。 使用瑞星注冊(cè)表清除工具修復(fù)注冊(cè)表，如圖和使用瑞星注冊(cè)表清除工具修復(fù)注冊(cè)表，如圖和8.17所所示。示。第第66頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（1）該病毒的主要特征）該病毒的主要特征 該病毒是一種木馬病毒，病毒運(yùn)行后，除定時(shí)該病毒是一種木馬病毒，病毒運(yùn)行后，除定時(shí)發(fā)給發(fā)給QQ網(wǎng)友同樣的網(wǎng)址外還會(huì)趁機(jī)盜取網(wǎng)友同樣的網(wǎng)址外還會(huì)趁機(jī)盜取“傳傳奇奇”游戲的賬戶、密碼以及其他信息，并以郵游戲的賬戶、密碼以及其他信息，并以郵件形式發(fā)給盜密碼者，還會(huì)結(jié)束多種反病毒軟件形式發(fā)給盜密碼者，還會(huì)結(jié)束多種反病毒軟件，以保護(hù)自身不被清除。

46、件，以保護(hù)自身不被清除。第第67頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）“QQ武漢男生武漢男生”病毒的檢測(cè)與清除病毒的檢測(cè)與清除 打開打開“任務(wù)管理器任務(wù)管理器”，看一看是否有，看一看是否有WINSCOK.EXE進(jìn)程，進(jìn)程，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了“QQ武漢男生武漢男生”病毒。病毒。 看一看系統(tǒng)文件下是否有看一看系統(tǒng)文件下是否有WINSCOK.EXE、Install.dll和和winscok.dll這這3個(gè)文件，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染個(gè)文件，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了了“QQ武漢男生武漢男生”病毒。病毒。 使用使用

47、QQ專殺工具可以清除這種病毒，如圖和專殺工具可以清除這種病毒，如圖和8.17所示。所示。第第68頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出 自動(dòng)向用戶所有自動(dòng)向用戶所有MSN好友發(fā)送帶毒文件，如圖所示。好友發(fā)送帶毒文件，如圖所示。 中毒后顯示如圖所示的圖片。中毒后顯示如圖所示的圖片。釋放釋放“羅伯特羅伯特”病毒最新變種程序病毒最新變種程序winhost.exe。winhost.exe運(yùn)行后，會(huì)將自身運(yùn)行后，會(huì)將自身復(fù)制到復(fù)制到%SystemDir%winhost.exe（124 416字節(jié)），并在注冊(cè)表啟動(dòng)項(xiàng)：字節(jié)），并在注冊(cè)表啟動(dòng)項(xiàng)：HKEY_LOCAL_MACHINESo

48、ftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中添加：中添加：“win32” = “winhost.exe”，這樣，系統(tǒng)每次啟動(dòng)時(shí)，病毒都可以自動(dòng)運(yùn)，這樣，系統(tǒng)每次啟動(dòng)時(shí)，病毒都可以自動(dòng)運(yùn)行。行。病毒程序病毒程序winhost.exe會(huì)通過微軟的會(huì)通過微軟的WebDav漏洞、沖擊波漏洞、震蕩波漏洞和漏洞、沖擊波漏洞、震蕩波漏洞和管理員賬號(hào)口令等途徑傳播。并從管理員賬號(hào)口令等途徑傳播。并從IRC上接收黑客命令，使被感染計(jì)算機(jī)完全上接

49、收黑客命令，使被感染計(jì)算機(jī)完全被黑客控制，成為被黑客控制，成為“僵尸計(jì)算機(jī)僵尸計(jì)算機(jī)”。第第69頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第70頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）MSN“性感雞性感雞”病毒的檢測(cè)與清除病毒的檢測(cè)與清除 打開打開“任務(wù)管理器任務(wù)管理器”，看一看是否有，看一看是否有winhost.exe、winis.exe、msnus.exe和和dnsserv.exe進(jìn)程，如果有就說(shuō)進(jìn)程，如果有就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了明你的計(jì)算機(jī)已經(jīng)感染了MSN“性感雞性感雞”病毒。病毒。 在使用在使用MSN聊天時(shí)，如果看到如圖所示的圖片，就說(shuō)

50、聊天時(shí)，如果看到如圖所示的圖片，就說(shuō)明你的計(jì)算機(jī)已經(jīng)感染了明你的計(jì)算機(jī)已經(jīng)感染了MSN“性感雞性感雞”病毒。病毒。 使用使用MSN“性感雞性感雞”專殺工具可以清除這種病毒。下專殺工具可以清除這種病毒。下載網(wǎng)址：載網(wǎng)址：。第第71頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出8.3.1 任務(wù)一任務(wù)一 使用卡巴斯基反病毒單機(jī)版查殺病使用卡巴斯基反病毒單機(jī)版查殺病毒毒8.3.2 任務(wù)二任務(wù)二 使用瑞星使用瑞星2006查殺病毒查殺病毒8.3.3 任務(wù)三任務(wù)三 使用江民殺毒軟件使用江民殺毒軟件KV2006查殺病查殺病毒毒8.3.4 任務(wù)四任務(wù)四 使用金山毒霸使用金山毒霸2006殺毒軟件查殺

51、病殺毒軟件查殺病毒毒第第72頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出1使用使用“掃描我的電腦掃描我的電腦”查殺病毒查殺病毒（1）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。第第73頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第74頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出（2）在）在“掃描我的電腦掃描我的電腦”上單擊鼠標(biāo)，打開上單擊鼠標(biāo)，打開“正在掃描正在掃描”對(duì)話框，這時(shí)開始了查殺對(duì)話框，這時(shí)開始了查殺“我的我的電腦電腦”中病毒的工作，如圖所示。中病毒的工作，如圖所示。第第75頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一

52、頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第76頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出2使用使用“掃描可移動(dòng)驅(qū)動(dòng)器掃描可移動(dòng)驅(qū)動(dòng)器”查殺病毒查殺病毒（1）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。（2）在）在“掃描可移動(dòng)驅(qū)動(dòng)器掃描可移動(dòng)驅(qū)動(dòng)器”上單擊鼠標(biāo)，打上單擊鼠標(biāo)，打開開“正在掃描正在掃描”對(duì)話框，開始查殺軟盤和可移對(duì)話框，開始查殺軟盤和可移動(dòng)磁盤中的病毒，如圖所示。動(dòng)磁盤中的病毒，如圖所示。第第77頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第78頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出3使用使用“掃描對(duì)象

53、掃描對(duì)象”查殺病毒查殺病毒（1）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。）啟動(dòng)卡巴斯基殺毒軟件，界面如圖所示。（2）在）在“掃描對(duì)象掃描對(duì)象”上單擊鼠標(biāo)，打開上單擊鼠標(biāo)，打開“選擇選擇掃描對(duì)象掃描對(duì)象”對(duì)話框，如圖所示。對(duì)話框，如圖所示。（3）選擇要掃描的對(duì)象，然后單擊）選擇要掃描的對(duì)象，然后單擊“掃描掃描”命命令按鈕，就開始查殺選擇對(duì)象的病毒。令按鈕，就開始查殺選擇對(duì)象的病毒。第第79頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第80頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出使用使用“信息中心信息中心”查殺病毒查殺病毒（1）啟動(dòng)瑞星）啟動(dòng)瑞星2006殺毒軟件，

54、然后在殺毒軟件，然后在“信息中信息中心心”選擇要查殺的目標(biāo)，如圖所示。選擇要查殺的目標(biāo)，如圖所示。（2）單擊）單擊“殺毒殺毒”命令按鈕，開始對(duì)選擇的目命令按鈕，開始對(duì)選擇的目標(biāo)查殺病毒，如圖所示。標(biāo)查殺病毒，如圖所示。第第81頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第82頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出第第83頁(yè)頁(yè)共共98頁(yè)頁(yè)目目 錄錄上一頁(yè)上一頁(yè)下一頁(yè)下一頁(yè)退退 出出2. 使用使用“快捷方式快捷方式”查殺病毒查殺病毒（1）啟動(dòng)瑞星）啟動(dòng)瑞星2006殺毒軟件，然后單擊殺毒軟件，然后單擊“快捷快捷方式方式”標(biāo)簽，打開標(biāo)簽，打開“快捷方式快捷方式”選項(xiàng)卡，如圖選項(xiàng)卡，如圖所示。所示。（2）單擊）單擊“可移動(dòng)介質(zhì)可移動(dòng)介質(zhì)”快捷方式的啟動(dòng)命令，快捷方式的啟動(dòng)命令，如圖所示。如圖所示。（3）打開）打開“可移動(dòng)介質(zhì)可移動(dòng)介質(zhì)”為查殺目標(biāo)的工作界為查殺目標(biāo)的工作界面，并且開始查殺病毒，如圖所示。面，并且開始查殺病毒，如圖所示。第