認識電腦病毒

認識電腦病毒99.11.152023/1/121電腦病毒

大綱基本介紹惡性程式的擴散基本的防毒常識防毒軟體的關(guān)鍵－病毒碼與掃瞄引擎

電腦病毒和駭客有什麼不同？

OfficeScan的操作Vbs_redlof.a-2病毒種類:

VBScript別名:

紅色結(jié)束符,

VBS/Redlof_A,

VBS:Redlof,

VBS/Redlof.A,

VBS.Redlof.A,

VBS/Exploit.C,

VBS/Redlof,

VBS.Redlof,

HTML.Redlof.A,

VBS/Redlof@MPropagatesviaemailInfectsfiles這種多形態(tài)的Visual

Basic

Script

(VBScript)病毒感染目標(biāo)系統(tǒng)上以下類型的檔：VBS、HTML、HTM、ASP、PHP、JSP、HTT2023/1/12電腦病毒4病毒-worm_lovgate.fMalwaretype:

WormAliases:

Email-Worm.Win32.LovGate.fThismemory-residentwormpropagatesthroughnetworksharesbydroppingcopiesofitselftosharedfolderswithread/writeaccess.ThefilesthatitdropscanhaveanyofthefollowingfilenamesAreyoulookingforLove.doc.exeautoexec.batTheworldoflovers.txt.exe2023/1/12電腦病毒5ThiswormalsogatherstargetemailaddressesfromHTMLfilesthatitfindsinthecurrent,Windows,andMyDocumentsfoldersandsendsanemailmessagewithitselfasattachmenttoallthesaidemailaddresses.Theemailmessageitsendsoutmaybeanyofthefollowing:Subject:Replytothis!

MessageBody:Forfurtherassistance,pleasecontact!

Attachment:About_Me.txt.pifSubject:Let'sLaugh

MessageBody:Copyofyourmessage,includingalltheheadersisattached.

Attachment:driver.exeSubject:LastUpdate

MessageBody:Thisisthelastcumulativeupdate.

Attachment:Doom3Preview!!!.exeSubject:foryou

MessageBody:TigerWoodshadtwoeaglesFridayduringhisvictoryoverStephenLeaney.(APPhoto/DenisPoroy)

Attachment:enjoy.exe2023/1/12電腦病毒6電腦病毒將本身複製到其他乾淨(jìng)的檔案或開機區(qū)的惡意程式，當(dāng)電腦使用者在不自覺的情形執(zhí)行到已受病毒感染的檔案或磁片開機時，這個惡意程式就以相同的方式繼續(xù)散播出去，例如PE_CIH就是一個典型的例子電腦病毒是不是都會在某特定日期發(fā)作且破壞電腦資料?這就和病毒的寫作者如何設(shè)計程式有關(guān)，並不屬於電腦病毒的特性。

惡意程式泛指所有不懷好意的程式碼，包括電腦病毒、特洛伊木馬程式、電腦蠕蟲。早期電腦病毒、特洛伊木馬程式、電腦蠕蟲都是各自獨立的程式而且彼此不相干，但近幾年來單一型態(tài)的惡性程式愈來愈少了，大部份都以『電腦病毒』加『電腦蠕蟲』或『特洛伊木馬程式』加『電腦蠕蟲』的型態(tài)存在以便造成更大的影響力，而且比率以前者居多。9『惡意程式』（MaliciousCode）定義--它是藉由駭客技術(shù)與病毒技術(shù)融合形成的。包括木馬、病毒、後門、間諜（偷資料）程式的綜合型工具。電腦被植入後門程式的特徵【Backdoor，以前又稱特洛依木馬（Trojan）】。這是一個遠端遙控程式。潛伏在電腦中，從事資訊蒐集（比如記錄你的鍵盤操作獲得密碼，或擷取你的螢?zāi)划嬅妫┓奖泷斂瓦h端連結(jié)登入（幫你開關(guān)機，增刪你的檔案，或讓你在自己的電腦控制遠端機器下達操作指令）。惡意程式(Cont.)例如：『梅莉莎』(MELISSA)便是結(jié)合『電腦病毒』及『電腦蠕蟲』的兩項特性。該惡性程式不但會感染W(wǎng)ord的Normal.dot（此為電腦病毒特性），而且會透過OutlookE-mail大量散播（此為電腦蠕蟲特性）。另外一個案例是結(jié)合了『特洛伊木馬程式』及『電腦蠕蟲』兩項特性的『探險蟲』（ExploreZip）。探險蟲並不會感染任何檔案，但是是會覆蓋掉(Overwrite)在區(qū)域網(wǎng)路上遠端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會透過區(qū)域網(wǎng)路將自己安裝到遠端電腦上（此為電腦蠕蟲特性）。特洛伊木馬程式以一些特殊管道進入使用者的電腦系統(tǒng)中，然後伺機執(zhí)行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。

檔案本身就是一個具破壞力的程式，執(zhí)行這個程式後會進行一些破壞性的行為。因為特洛依木馬型病毒並不是正常的檔案受到感染後而產(chǎn)生的問題檔案，而是本身就是一個有問題的程式，所以防毒軟體並不能“清除”感染這個檔案的病毒。應(yīng)該做的是刪除這個有問題的檔案及因為執(zhí)行了該檔案後所衍生的其他檔案。電腦蠕蟲『本尊』會複製出很多『分身』，然後像蠕蟲般在電腦網(wǎng)路中爬行，從一臺電腦爬到另外一臺電腦，最常用的方法是透過區(qū)域網(wǎng)路（LAN）、網(wǎng)際網(wǎng)路（Internet）或是E-mail來散佈自己。目前較為流行的病毒大都屬於特洛依木馬型病毒和蠕蟲程式。最近最著名的電腦蠕蟲案例就是『VBS_LOVELETTER』14惡意程式發(fā)展趨勢

1987-1993

1993-1995

1995-1998

1998-目前電腦病毒*DOS檔案型

*DOS常駐型

*開機型*Win16檔案型*針對MSOffice系列的巨集型病毒*Win32檔案型

*Win32常駐型

*跨應(yīng)用程式感染型(Win32及巨集)特洛伊木馬程式*毀滅型

(格式化磁碟)無典型代表*竊取資料的Backdoor型程式*阻斷服務(wù)型(DDOS)*遠程遙控的Backdoor型程式

Wireless型電腦蠕蟲無典型代表無典型代表無典型代表*Email散播型*網(wǎng)路散播型Networkworm*藉由安全漏洞散播型笑話一則有一次騎車在馬路上…正要左轉(zhuǎn)的時候…該死的紅燈竟然這個時候亮了來不及煞車…車子就不小心越過了停止線當(dāng)時是下班的時間…車子多到不行當(dāng)然也少不了中華民國的警察…這時看到他…他也看了我一下…不可思議的事情發(fā)生了…警察杯杯居然跟我比了個勝利的手勢

('_'v)我跟我同學(xué)互看了一下…都覺得不可思議…為了確定…往右邊再看一次…那個警察杯杯又比了一次勝利的手勢…當(dāng)時不知道該怎麼辦…只好也回敬了一個^.^>

(大頭貼裝可愛專用手勢)結(jié)果…警察杯杯終於開口說話了…"兩段式左轉(zhuǎn)啦…小姐！"

惡性程式的擴散以合法管道進行非法存取

閱讀E-MAIL時自動散播藉由E-MAIL主動散播

電腦病毒感染管道以合法管道進行非法存取『TROJ_EXPLOREZIP探險蟲』為例，它開創(chuàng)了另一種新的病毒行為模式，『探險蟲』病毒會以受感染的電腦為源頭，透過網(wǎng)路自動向外擴散，並嚐試進入將資料夾分享(Share)出來的電腦、刪除該電腦中的資料。2023/1/12電腦病毒17電腦病毒感染管道閱讀E-MAIL時自動散播以往我們認為在使用電子郵件時，只要不執(zhí)行或開啟附件（Attachment）就不會遭受病毒感染，但『VBS_BUBBLEBOY泡泡男孩』這隻由VBScript語言所寫成的病毒，即使是僅開啟電子郵件也可能遭受到病毒的威脅?！号菖菽泻ⅰ皇且噪娮余]件的型態(tài)在網(wǎng)路上傳播。郵件的主旨為"BubbleBoyisback!"，同時郵件的內(nèi)容為"TheBubbleBoyIncident，picturesandsounds."及一個由"bblboy.htm"結(jié)尾的沒有意義的網(wǎng)址。泡泡男孩被執(zhí)行後，會自動尋找使用者的通訊錄，再把同樣的郵件自動寄給通訊錄內(nèi)的地址2023/1/12電腦病毒18電腦病毒感染管道藉由E-MAIL主動散播『梅莉莎』病毒能藉由E-MAIL主動散播的病毒。美國聯(lián)邦調(diào)查局（ＦＢＩ）的文件巨集病毒是首隻會透過Outlook大量並以等比級數(shù)的速度散播的巨集病毒，短短一週內(nèi)毒性襲捲全球，許多知名大企業(yè)的郵件伺服器(E-MAILServer)也都因梅莉莎病毒所引起的郵件風(fēng)暴，導(dǎo)致伺服器不堪負荷而紛紛當(dāng)機。2023/1/12電腦病毒19病毒型態(tài)電腦病毒指的是會將本身複製到其他乾淨(jìng)的檔案或開機區(qū)的惡性程式，當(dāng)電腦使用者在不自覺的情形下再次執(zhí)行到已受病毒感染的檔案或重新開機時，這個惡性程式就以相同的方式繼續(xù)散播出去，例如PE_CIH就是一個典型的例子2023/1/12電腦病毒20病毒型態(tài)電腦病毒所影響的方式，可以區(qū)分為五大類：檔案型病毒：

指電腦病毒會依附在可執(zhí)行檔上面，根據(jù)統(tǒng)計，檔案型病毒佔了絕大部份比例的電腦病毒。常見到的檔案型病毒有Connie系列病毒與耶路撒冷(Jerusalem)系列病毒等等。2023/1/12電腦病毒21病毒型態(tài)開機型病毒：

開機型病毒通常會去感染硬碟或磁片的系統(tǒng)啟動部位，因此開機型病毒我們又稱之為系統(tǒng)型病毒。開機型病毒是以猴子(Monkey)病毒最為典型，另外像是曾經(jīng)流行一陣子的米開朗基羅病毒（又名石頭三號病毒）也是屬於此類型的病毒。2023/1/12電腦病毒22病毒型態(tài)混合型病毒：由檔案型病毒及開機型病毒的特性混合而成，所以稱之為混合型病毒是最恰當(dāng)不過的?；旌闲筒《镜睦酉喈?dāng)多，如目前已經(jīng)流傳開來的威力強大的3783病毒、有名的NATAS(4744)病毒及龍舌蘭(Tequila)病毒皆是。2023/1/12電腦病毒23病毒型態(tài)視窗型病毒：視窗型病毒與傳統(tǒng)DOS的檔案型病毒在感染方面並沒有什麼不同，只不過這一類型的病毒必須在Windows的環(huán)境之下才能夠啟動執(zhí)行。WinTiny、WinLamer、WinLamer2、BOZA及WINVIR都是屬於視窗型病毒。另外，像3783病毒除了會感染在DOS系統(tǒng)下的系統(tǒng)啟動部位及檔案之外，它也能夠在Windows的環(huán)境下運作。2023/1/12電腦病毒24病毒型態(tài)文件巨集型病毒：

傳統(tǒng)病毒需寄附於可執(zhí)行程式或區(qū)段，但文件巨集病毒的寄主卻是使用者的文件檔，換言之病毒感染對象不再是程式而是具有特定格式之文件檔，這是一種新型態(tài)的電腦病毒，也是目前最容易感染的病毒。每隻文件巨集病毒其破壞方式都不太相同，到目前為止以臺灣No.1巨集病毒流傳率最高，其次也常有臺灣劇場、釣魚臺、教師節(jié)、聖誕節(jié)以及亞特蘭大等文件巨集病毒發(fā)生的災(zāi)情傳出。2023/1/12電腦病毒25TaiwanNO.1Word文件巨集病毒臺灣有個『臺灣威力病毒組織(TPVO)』，後來改名為『臺灣威力病毒研究組織(OVEL)』。出現(xiàn)了所謂的『巨集病毒』，像是TaiwanNO.1Word文件巨集病毒就是針對Word而來。像這種鎖定特殊受歡迎的軟體的病毒，只要有該軟體就會有中毒的可能，達到一部份的跨平臺性（例如MacOS上也有Word就會感染）。大家漸漸有了一定的共識，不再隨意拷貝執(zhí)行檔，但是往往因為應(yīng)映各種不同的需要而交換文件，也因此造成Word,Excel,Access等巨集病毒流行一時。2023/1/12電腦病毒2627間諜程式(spyware)間諜程式掃瞄並非病毒或惡意的程式碼，而是危及您隱私的應(yīng)用程式，允許駭客在您毫無知覺的情況下取得您電腦的控制權(quán)經(jīng)常隨著您下載想要的應(yīng)用程式的同時，不知不覺地下載到您的電腦上。這些安全威脅包括間諜程式、廣告軟體、惡意撥號程式、惡作劇程式、駭客工具、遠端存取工具、密碼破解應(yīng)用程式，以及其他未分類的軟體。28微軟的後門程式例子WindowsXP上預(yù)掛的WindowsUpdate程式（後門程式），它的升級程序如下：程序目的1.開機時自動連上微軟的Update網(wǎng)站潛伏並常駐在記憶體中2.將電腦的現(xiàn)況回報給Windows網(wǎng)站蒐集電腦系統(tǒng)運作的相關(guān)資訊3.以WindowsUpdate程式通知使用者，更新檔案以特定的port進行系統(tǒng)版本更新29後門程式攻擊手法攻擊手法－－潛伏、蒐集、遠端管控。後門程式不一定會進行自我複製的動作，也就是後門程式不一定會「感染」到其他的電腦。它並不會進行破壞性的動作，而且所蒐集的資訊也不固定，因此防毒軟體無法針對單一行為進行攔截。30後門程式防治法後門程式是以單一程序（Process）的型式存在的，除非防毒軟體的病毒碼中記錄了所有已知的後門程式，否則後門程式是等同於一般程式。一般防毒軟體僅能攔截並刪除已知的後門程式，電腦使用者是以防毒軟體來防範(fàn)後門程式。但這不是正確的做法，因為新的或毫無名氣的後門程式是無法防範(fàn)的，正確的做法應(yīng)該是先修補系統(tǒng)或程式中的漏洞。31系統(tǒng)安全弱點安全弱點會讓攻擊者、病毒或其他網(wǎng)路安全威脅更容易傷害您的電腦。Microsoft已公開確認這些存在於其軟體中的安全弱點，並且發(fā)行其相對應(yīng)的修正檔。修正安全弱點可協(xié)助您有效降低您電腦受到攻擊或病毒感染的機會。電腦蠕蟲最常利用此弱點。典型的系統(tǒng)漏洞的例子大家都知道Windows9x

的螢?zāi)槐Ｗo程式可以設(shè)保護密碼，但可以經(jīng)由重新開機把密碼保護拿掉。想用高級一點的方法，使用AutoRun，那麼我們可以自行製作一張光碟片，在根目錄的地方寫一個autorun.inf純文字檔案，內(nèi)容如下：[autorun]OPEN=TEST.EXE如果碰到一臺正被螢?zāi)槐Ｗo程式鎖住的電腦，就可以把這片光碟插入光碟機裡面，於是TEST.EXE就會被執(zhí)行，然後螢?zāi)槐Ｗo程式就會被解除....2023/1/12電腦病毒3233巨集病毒它專門感染經(jīng)由WORD所編輯過的文件，而這一類型的病毒又是一隻跨平臺的病毒此類型的病毒其感染方式為，一旦我們開啟有巨集病毒的文件之後，以後我們所開啟的舊檔或是開啟新檔案等等都難逃WORD巨集病毒的惡夢。早期以『臺灣No.1』巨集病毒流傳率最高目前以梅莉莎病毒較有名34防止巨集病毒35防止巨集病毒自行決定是否開啟此巨集功能36如果中了巨集病毒怎麼辦檔案巨集病毒通常會放在C:\windows\ApplicationData\Microsoft\Templates\normal.dot然後感染ProgramFile\MicrosoftOffice\Templates\normal.dot因此必須移除上述兩個檔案複製一份新的normal.dot(使用者範(fàn)本)關(guān)閉巨集功能開啟帶病毒檔與另開新檔複製內(nèi)容再貼到新檔新檔存檔刪除原帶病毒檔完成37蠕蟲型病毒定義--利用作業(yè)系統(tǒng)漏洞進行攻擊模式的病毒模式（防毒系統(tǒng)無法百分之百防護）疾風(fēng)病毒簡介(著名病毒-代表作)：疾風(fēng)系列病毒鎖定的目標(biāo)，都是WindowsXP、Windows2000和WindowsNT4.0等微軟視窗作業(yè)系統(tǒng)的安全漏洞，然後在區(qū)域網(wǎng)路中大量寄送封包，最後癱瘓網(wǎng)路。38疾風(fēng)病毒W(wǎng)32.Blaster.Worm1.出現(xiàn)RPC服務(wù)意外終止倒數(shù)60秒重新啟動的訊息，造成系統(tǒng)不斷重開機.2.無法執(zhí)行複製或貼上的動作.3.無法拖曳圖示4.新增移除程式呈現(xiàn)空白狀態(tài)5.某些應(yīng)用程式無法執(zhí)行，如InternetExplorer、MicrosoftOutlook、OutlookExpress、MSOffice.6.網(wǎng)路與系統(tǒng)速度變慢.39疾風(fēng)病毒檢測方法11.【開始->執(zhí)行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗2.鍵入指令:netstat–a3.查看列出的清單中是否有下列字串:ProtocalLocalAddressForeignAddressStatusTCP<電腦名稱>:4444或<電腦名稱>:707<電腦名稱>:0LISTENINGUDP<電腦名稱>:69<電腦名稱>:0LISTENING40疾風(fēng)病毒檢測方法2執(zhí)行[工作管理員]點選[處理程序]查看是否有下列程式正在執(zhí)行

msblast.exe或dllhost.exe若有發(fā)現(xiàn)此檔名則是中了"疾風(fēng)病毒“Windows2000作業(yè)系統(tǒng)

C:\>cd\winnt\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現(xiàn)此兩個檔案即已中了"疾風(fēng)變種病毒")WindowsXP作業(yè)系統(tǒng)

C:\>cd\windows\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現(xiàn)此兩個檔案即已中了"疾風(fēng)變種病毒")

請將dllhost.exe及svchost.exe2個檔案刪除41疾風(fēng)病毒清除1.如果你的電腦會要求重開機，請立刻執(zhí)行以下動作：1.【開始->執(zhí)行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗。2.在DOS視窗下(C:\>)輸入【shutdown-a】，可停止關(guān)機程序。3.按“CTRL+SHIFT+ESC”叫出工作管理員，點選“處理程序”標(biāo)籤，找到下述執(zhí)行檔：MSBLAST.EXE或SVCHOST，然後按下"結(jié)束處理程序"的按鈕。42疾風(fēng)病毒清除2.下載防毒軟體廠商所提供的清除病毒工具。

.tw/avcenter/venc/data/w32.blaster.worm.removal.tool.html

/ftp/products/tsc/

3.下載微軟修正程式：

/taiwan/security/bulletins/MS03-026.asp

/taiwan/security/bulletins/MS03-007.asp43疾風(fēng)病毒清除4.拔除網(wǎng)路線5.執(zhí)行清除病毒(使用步驟2所下載的清毒工具)6.安裝Microsoft之修正程式7.重新啟動電腦8.接上網(wǎng)路線44疾風(fēng)變種病毒疾風(fēng)變種病毒(MSBLAST.D)賽門鐵克命名為威而加Welchia趨勢科技命名為假好心病毒這支病毒會在網(wǎng)路上搜尋已遭疾風(fēng)病毒感染的電腦，並將疾風(fēng)病毒蟲移除，然後利用微軟提供的8種修正程式修復(fù)遭疾風(fēng)感染的電腦，再以這些電腦為跳板，在網(wǎng)上搜尋其他有安全漏洞的電腦。45殺手病毒W(wǎng)32.Sasser.Worm1.會對外建立大量連線2.試圖感染其他網(wǎng)友的電腦。這不但會造成感染的電腦無法上網(wǎng)，同時也會造成網(wǎng)路的擁塞，3.也會倒數(shù)重開機。46殺手病毒檢測如果您的電腦路徑C:\Winnt或是C:\Windows有出現(xiàn)avserve.exe檔案，那麼您的電腦可能已經(jīng)感染Sasser蠕蟲47殺手病毒清除已中毒者，請先下載掃毒程式

/avcenter/FxSasser.exe48殺手病毒防止安裝了MicrosoftMS04-011的修正程式，將可以免於Sasser的威脅。建議您用防火牆阻擋有相關(guān)的port

Port139(tcp/udp)

Port445(tcp/udp)49「新型病毒」，特點為：結(jié)合了傳統(tǒng)的病毒、自動掃描、蠕蟲、後門程式。行蹤不定、變化多端，可以掌握被入侵電腦的系統(tǒng)資訊。病毒程式經(jīng)過加密、具有偽裝（ex：變更附檔名稱）的功能。採用大量、迅速、分段入侵的方式，對網(wǎng)路造成巨大的威脅。50『梅莉莎』(MELISSA)結(jié)合『電腦病毒』及『電腦蠕蟲』的兩項特性。該惡性程式不但會感染W(wǎng)ord的Normal.dot（此為電腦病毒特性），而且會透過OutlookE-mail大量散播（此為電腦蠕蟲特性）。讓mailServer負荷過重讓網(wǎng)路癱瘓51Melissa病毒感染流程1.當(dāng)使用者開啟一個含有梅莉莎病毒的Word文件時，病毒就會立刻感染W(wǎng)ord的範(fàn)本文件Normal.dot。2.接著病毒就會去讀取使用者Outlook中的「通訊錄」，自動從通訊錄中挑選收件者名單，並自動將自己透過e-mail傳送給這些人。3.當(dāng)上述的收件人開啟了e-mail中含有梅莉莎病毒的Word文件檔時，病毒便如法泡製的將自己再度透過Outlook傳播給其他人。4.梅莉莎病毒的傳播不但企業(yè)內(nèi)部網(wǎng)路會受到染感，甚至遠在國外或其他企業(yè)組織的人，只要是在Outlook通訊錄中出現(xiàn)的名單，都很難逃過一劫。52Melissa病毒清除同巨集病毒清除法53『探險蟲』（ExploreZip）結(jié)合了『特洛伊木馬程式』及『電腦蠕蟲』兩項特性。探險蟲並不會感染任何檔案，但是是會覆蓋掉(Overwrite)在區(qū)域網(wǎng)路上遠端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會透過區(qū)域網(wǎng)路將自己安裝到遠端電腦上（此為電腦蠕蟲特性）。54ExploreZip病毒外表Email使用者收到"「回覆」Re:"信件時，必須特別留意信件內(nèi)容是否如下：

HiPenny(收件人名字)!

IreceivedyouremailandIshallsendyouareplyASAP.

Tillthen,takealookattheattachedzippeddocs.

SincerelyJohnson

PS.問候語也有可能是Bye,Sincerely,All或是Salutation等。這時若你發(fā)現(xiàn)信中夾帶檔名為"zipped_files.exe"的附件，請千萬不要開啟，直接刪除該信件。否則將會展開一連串的破壞行動。55ExploreZip擴散方式Email:利用Microsoft的MAPI功能在使用者不知情的狀況下，反寄一封帶毒的電子郵件給原寄件者。企業(yè)網(wǎng)路："Explorezip探險蟲"一旦在任何一臺電腦中啟動，即會找尋網(wǎng)路上原設(shè)定讓中毒電腦分享資源的其他電腦，一旦找到目標(biāo)，"探險蟲"即會開始修改其開機設(shè)定(若是針對Windows95/98電腦，則加入WIN.INI中；針對NT電腦則是加入"Registry")並安裝一個具破壞性的執(zhí)行檔案(Explore.exeor_setup.exe)。該電腦將會成為帶原者，一旦重新開機，即會再度於網(wǎng)路上尋找下一個網(wǎng)路上的芳鄰，開始進行連鎖感染。56ExploreZip破壞力將以下副檔名的檔案內(nèi)容全數(shù)化為烏有，僅剩目錄而無內(nèi)文:

.c(csourcecodefiles)

.cpp(c++sourcecodefiles)

.h(programheaderfiles)

.asm(assemblysourcecode)

.doc(MicrosoftWord)

.xls(MicrosoftExcel)

.ppt(MicrosoftPowerPoint)使網(wǎng)路效率變慢57ExploreZip影響力企業(yè)組織內(nèi)若有一臺電腦沒有裝防毒軟體，或是有安裝防毒軟體但沒有更新至最新的防毒元件，極有可能導(dǎo)致重複性的全面感染。比如1000臺電腦中999臺都安全無毒，但漏掉一臺外務(wù)人員的Notebook，一旦這臺電腦連上網(wǎng)路，整個網(wǎng)路的感染又將再度展開。58如果已經(jīng)感染了EXPLORZIP探險蟲，您應(yīng)該怎麼辦？保護伺服器：如果這個病毒已經(jīng)在您的網(wǎng)路環(huán)境上造成某些程度的破壞了，首先將伺服器的存取權(quán)限改成“讀取”（Read-Only），必要時，請先關(guān)掉伺服器，以避免檔案進一步的被破壞。請利用“登錄編輯器”（regedit）刪掉以下目錄的數(shù)值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數(shù)值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經(jīng)在執(zhí)行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機後就自動執(zhí)行。59您應(yīng)該怎麼辦？保護您的工作站立刻讓工作站離開網(wǎng)路系統(tǒng)（例如，拔掉網(wǎng)路線）移除電腦上的共享目錄或是磁碟（至少先改成只有“讀取”權(quán)限）使用PC-cillin或是OfficeScan掃瞄所有磁碟機（請確定使用2.062以上的掃瞄引擎及543以上的病毒碼）。如果發(fā)現(xiàn)病毒時，立刻刪除。完全刪除後，再重新連接網(wǎng)路。如果您發(fā)現(xiàn)無法刪除該病毒，那麼代表這個病毒已經(jīng)在執(zhí)行中，所以無法刪除。此時請用乾淨(jìng)的開機片將電腦啟動到DOS模式。利用DOS下的掃瞄程式PCSCAN或是VBSCAN來找到病毒，並刪除病毒。

60瀏覽圖片也有可能會中毒？瀏覽圖片也有可能會中毒？沒錯，就是瀏覽圖片，不管你是從Email所收的圖片，或是上網(wǎng)路相簿瀏覽的圖片，或是根本只是用ACDSee秀圖軟體觀看在你電腦中的圖片，都有可能會中毒！這是在今年9月由微軟所公佈的一個名叫「JPEG處理程序(GDI+)處理緩衝區(qū)溢出」的安全性漏洞，只要是JPEG格式的圖片，經(jīng)過特殊的處理後，都有可能引發(fā)這個漏洞，導(dǎo)致駭客趁虛而入，引發(fā)你的系統(tǒng)中毒。61瀏覽圖片也有可能會中毒？主要的原因並不在於圖片檔，而在於微軟作業(yè)系統(tǒng)中一個「GDIPlus.dll」的動態(tài)連結(jié)檔案；當(dāng)我們要瀏覽JPEG圖片或是對JPEG檔案作影像處理時，多半都要用到這個檔案裡頭的程式指令，而漏洞就存在這個檔案裡頭。62「Microsoft安全性公告MS04-028」非常詳細公佈了關(guān)於「JPEG處理程序(GDI+)緩衝區(qū)溢位」這個問題的相關(guān)資訊，其中列出了微軟產(chǎn)品中受到影響的軟體清單。建議你趕快到這個網(wǎng)頁上去查一查，看看你有哪些軟體需要更新，該公告的網(wǎng)址為：/taiwan/security/bulletin/ms04-028.mspx。63病毒圖片製造機病毒介紹2004年的10月份，在網(wǎng)路上就出現(xiàn)一只叫做「JPGDownloader」的軟體，又被暱稱為「病毒圖片製造機」，這個程式可以讓任何人隨便用一個JPEG圖檔，製作出JPEG圖片病毒；不過這個程式攻擊的目標(biāo)，僅針對英文版的作業(yè)系統(tǒng)，所以國內(nèi)目前尚未聽到有人成為受害者。64可能病毒程式延伸副檔名為.PIF對於附件檔案是pif的電子郵件，千萬不要打開pif附件檔以免中毒，既使收到病毒信件，只要不打開.pif檔就不會中毒。這一隻病毒危害的系統(tǒng)相當(dāng)廣泛。包括Windows95,98,ME,NT,2000和XP系統(tǒng)都是目標(biāo)。延伸副檔名為.SCR螢?zāi)槐Ｗo程式65可能病毒程式兩種病毒(Beagleworm&NetSkyworm)的變種肆虐。

這些病毒都是透過email傳播，凡是附件為.pif以及.zip都請不要隨意開啟。由於這些病毒會假造寄件者，所以即使看到認識的寄件者寄來有問題的附加檔也不要輕易開啟。W32.Beagle.C@mm偽裝成ZIP壓縮檔，此變種病毒還會停止防毒軟體更新病毒碼的機制，造成防毒軟體無法偵測新病毒。66工作管理員被停用怎麼辦可能被特洛依木馬病毒入侵可下載移除木馬工具程式或手動移除(請小心使用)請利用“登錄編輯器”（regedit）刪掉以下目錄的數(shù)值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數(shù)值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經(jīng)在執(zhí)行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機後就自動執(zhí)行。67工作管理員被停用按「開始」>>「執(zhí)行」，輸入regedit按確定。到以下位置：（與檔案總管打開資料夾的操作類似，在每個機碼前的"+"上按一下，就可以展開到下一層）HKCU\Software\Microsoft\Windows\CurrentVersion\

Policies\System到System之後，注意看右邊窗格裡，在

DisableTaskMgr

上按兩下（double-click），把數(shù)值資料設(shè)為0（1是啟動封鎖工作管理員，0是解除封鎖），或者，直接在DisableTaskMgr

上按滑鼠右鍵選刪除。關(guān)閉Regedit程式，測試按Ctrl+Alt+

Del是否可以叫出工作管理員。（不需要重開機）如果你不熟悉，請勿使用regedit以免系統(tǒng)毀損。68善用工作管理員按Ctrl-Shift-Esc通常CPU使用率很低將正常開機出現(xiàn)的畫面紀(jì)錄下來觀察是否有不正常程式執(zhí)行如有兩個explorer.exe，因為正常只能有一個關(guān)閉可疑程式69網(wǎng)路芳鄰漏洞2005年在網(wǎng)路大流行的病毒，如myDoom、Netsky，除了以往的電子郵件之外，也出現(xiàn)變種透過網(wǎng)路芳鄰、P2P傳播等共享資料匣的服務(wù)來傳遞。此類傳染途徑結(jié)合「社交工程」（socialengineering）使病毒散佈情況更為嚴(yán)重。共享服務(wù)不是新傳染技術(shù)，不過卻因結(jié)合「社交工程」而使得病毒防堵難上加難。社交工程是一種利用人的互動行為來傳播的傳染方式。社交工程過去是真正產(chǎn)生人的互動，如向IT人員誘騙出總經(jīng)理電腦的密碼，轉(zhuǎn)變電子郵件偽裝出特定主旨、附檔名稱，利用人性的弱點，使電腦使用者被騙而打開郵件或附檔。70不要用網(wǎng)路芳鄰共享資料夾。病毒會利用網(wǎng)路芳鄰作散播的途徑，感染其他電腦共享資料夾中的檔案。WindowsNT/2000/XP安裝完成後，預(yù)設(shè)會把電腦中全部資料夾分享於網(wǎng)路上，造成資料被竊取及破壞。若要檢查電腦目前已分享了哪些資料夾，請在Windows的「開始」，「執(zhí)行」輸入“cmd”，再輸入“netshare”即可。關(guān)閉預(yù)設(shè)分享資料夾之方法71關(guān)閉預(yù)設(shè)分享資料夾之方法注意：下列操作會更動Windows作業(yè)系統(tǒng)之重要檔案，若操作有誤，有可能會導(dǎo)致無法開機或作業(yè)系統(tǒng)損毀，請使用者自行評估風(fēng)險。於「開始」→「執(zhí)行」→輸入「regedit」，打開下列路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

增加一個「REG_DWORD」的類型，名稱為AutoShareServer(大小寫需相符)，值設(shè)定為「0」，然後重開機即可生效。72如何關(guān)閉「網(wǎng)路芳鄰」?「控制臺」→「網(wǎng)路和網(wǎng)際網(wǎng)路連線」→「網(wǎng)路連線」→「區(qū)域連線」→「一般」→取消以下元件：ClientforMicrosoftNetworksFileandPrinterSharingforMicrosoftNetworks「控制臺」→「網(wǎng)路和網(wǎng)際網(wǎng)路連線」→「網(wǎng)路連線」→「區(qū)域連線」→「一般」→「InternetProtocol(TCP/IP)」→「內(nèi)容」→「進階」→「WINS」→停用[NetBIOSoverTCP/IP]73如何關(guān)閉「網(wǎng)路芳鄰」?「控制臺」→「效能及維護」→「系統(tǒng)管理工具」→「服務(wù)」→找到以下服務(wù)項目,將其更換為手動或停用Messenger

TCP/IPNetBIOSHelperServices

74首頁綁架例如：首頁無法更改、首頁被更改設(shè)定、瀏覽器名稱被修改、瀏覽器被自動執(zhí)行、開機被鎖定、瀏覽器上的奇怪選項、按滑鼠右鍵有奇怪的選項、按滑鼠右鍵的另存目標(biāo)變成灰色、廣告視窗自動跳出……等等，還有最惡劣的登錄編輯器被停用、“開始”→“執(zhí)行”被移除，這些種種的問題。/home2/nomo/teach/un-web-kidnap.htm75預(yù)防首頁綁架養(yǎng)成好習(xí)慣：網(wǎng)際網(wǎng)路選項中的安全層級至少為「中」、不要看到出現(xiàn)安裝軟體的對話框就急著選「是」、經(jīng)常使用WindowsUpdate做安全性更新、安裝防火牆軟體、安裝防毒軟體、安裝間諜軟體掃描程式。76IE中起碼要維持的安全性設(shè)定：預(yù)設(shè)層級「中」就已經(jīng)非常夠用，絕對不要調(diào)降為「低」，如果某個網(wǎng)站，一定要你調(diào)降為「低」才能正常顯示它的網(wǎng)頁，請三思，危險後果自己負責(zé)。關(guān)閉所有的程式視窗，到控制臺>>網(wǎng)際網(wǎng)路選項。77控制臺>>網(wǎng)際網(wǎng)路選項「安全性」標(biāo)籤的部分：按「自訂層級」，檢查以下項目。下載未簽署的ActiveX控制項：停用下載簽名的ActiveX控制項：提示起始不標(biāo)示為安全的ActiveX控制項：停用在IFRAME中啟動程式或檔案：提示安裝桌面項目：提示如果你的安全層級是「中」，就會符合以上的標(biāo)準(zhǔn)，只需一次確認檢查，不必修改。78「內(nèi)容」標(biāo)籤的部分按「發(fā)行者」，到「授信任的發(fā)行者」是否有很奇怪、懷疑是廣告商的憑證，若有，刪除。為什麼要刪除不明的發(fā)行者？「授信任的發(fā)行者」清單中的發(fā)行者，表示都以取得你的信任，元件安裝進來前就不會再問你，所以這邊有莫名其妙的物件，就要刪除。79「進階」標(biāo)籤的部分檢查：在「瀏覽」段落：不勾：「啟用隨選安裝（其他）」這一項。注意：是「啟用隨選安裝（其他）」，不是「啟用隨選安裝（InternetExplorer）」，請看清楚?！竼⒂秒S選安裝（InternetExplorer）」維持預(yù)設(shè)值（有勾）即可。80設(shè)定結(jié)果經(jīng)過了以上的設(shè)定，每當(dāng)網(wǎng)站要下載元件到你的電腦上時，就會出現(xiàn)是否要下載的對話框，請看清楚內(nèi)容再按確定，如果你實在不能判別這個元件的用途，就按取消。81善用防火牆SymantecClientFirewall偵測與防止利用通訊埠對主機的攻擊使用說明WindowsXP防火牆設(shè)定(SP1)：82WindowsXP防火牆設(shè)定(SP1)：83848586878889WindowsXP防火牆請注意,WindowsXP防火牆的功能只能阻擋"連入"要求,而不會阻擋任何連外之連線要求!90中毒了,怎麼辦?將中毒電腦的網(wǎng)路線拔掉.(避免繼續(xù)中毒或散播病毒給別人)使用其它安全、乾淨(jìng)電腦上網(wǎng),連線到防毒公司網(wǎng)站,下載該病毒的「移除工具」:趨勢科技

賽門鐡克

使用「移除工具」將中毒電腦的病毒清除掉安裝個人防火牆,並啟動防駭功能91中毒了,怎麼辦?關(guān)閉「網(wǎng)路芳鄰」接上網(wǎng)路線修正Windows的漏洞:在Windows執(zhí)行「開始」→「控制臺」→「WindowsUpdate」在IE瀏覽器執(zhí)行「工具」→「WindowsUpdate」安裝防毒軟體,並且立即更新「病毒碼」及「掃瞄引擎」92建議保持電腦中的作業(yè)系統(tǒng)及應(yīng)用軟體沒有任何漏洞。安裝防毒軟體。安裝防火牆軟體。請更改Windows作業(yè)系統(tǒng)之管理者帳號名稱及密碼。不要開啟或預(yù)覽任何來歷不明及主旨語意不清的電子郵件，亦不要開啟任何不明確的附件檔案。不使用網(wǎng)路芳鄰共享資料夾。關(guān)閉作業(yè)系統(tǒng)內(nèi)不需要之服務(wù)項目。勿隨意安裝軟體。勿隨意點選網(wǎng)址。93趨勢科技--全球病毒即時監(jiān)控中心.tw/wtc/賽門鐵克—安全應(yīng)變機制/region/tw/avcenter/index.html網(wǎng)路安全診斷室94MailSpammailspam:將一份相同內(nèi)容的電子信件送給很多人Mailserver被某些機器用來轉(zhuǎn)信(mailrelay)蠕蟲程式網(wǎng)路釣魚通常發(fā)生於unix或server級機器個人系統(tǒng)則是可能是蠕蟲做怪如果發(fā)生此問題怎麼辦unix更新版本sendmail到8.9

版清除蠕蟲95您的電腦是否已被裝了木馬？檢查註冊表。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的檔案名。如果有，就需要刪除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程式。96您的電腦是否已被裝了木馬？檢查啟動組。

木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽，但這裏的確是自動載入運行的好場所，因此還是有木馬喜歡在這裏駐留的。啟動組對應(yīng)的檔夾為：C:\windows\startmenu\programs\startup，在註冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="C:\windows\startmenu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦！

97您的電腦是否已被裝了木馬？Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意這些地方。比方說，Win.ini的[Windows]小節(jié)下的load和run後面在正常情況下是沒有跟什麼程式的，如果有了那就要小心了，看看是什麼；在System.ini的[boot]小節(jié)的Shell=Explorer.exe後面也是載入木馬的好場所，因此也要注意這裏了。當(dāng)你看到變成這樣：Shell=Explorer.exewind0ws.exe，請注意那個wind0ws.exe很有可能就是木馬服務(wù)端程式！趕快檢查吧。

98您的電腦是否已被裝了木馬？檢查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。木馬們也很可能隱藏在那裏。如果是EXE檔啟動，那麼運行這個程式，看木馬是否被裝入記憶體，埠是否打開。如果是的話，則說明要麼是該檔啟動木馬程式，要麼是該檔捆綁了木馬程式，只好再找一個這樣的程式，重新安裝一下了。網(wǎng)路釣魚(Phishing)根據(jù)反網(wǎng)路釣魚工作小組（APWG）定義，「Phishing」（網(wǎng)路釣魚）是利用偽造電子郵件與網(wǎng)站作為誘餌，愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料。利用知名品牌所建立的信賴感，幾可亂真的偽造網(wǎng)站與郵件也讓此類詐騙行為成功機率達5%。網(wǎng)路釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於駭客始祖起初是以電話作案，所以用“Ph”來取代“F”，創(chuàng)造了”Phishing”,Phishing發(fā)音與Fishing相同。2023/1/12電腦病毒99如何辨識網(wǎng)路釣魚郵件大多數(shù)人都能夠在現(xiàn)在意識到不能在網(wǎng)際網(wǎng)路上隨意透露個人資訊。但是對於新型態(tài)的phishing電子郵件騙局來說，大多數(shù)網(wǎng)友卻很難加以判別真?zhèn)危驗樵p騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。Phishing有一個很好的中文直譯典故：「姜太公釣魚，願者上鉤」正如字面所告訴我們的，phishing是透過垃圾郵件來詐騙網(wǎng)友的個人資料，一般多半是藉口他們的資料需要更新，或者基於安全理由需要重新進行身份驗證，如此便可騙取網(wǎng)友的帳號ID與密碼。網(wǎng)友則在毫無懷疑的情況下提供了他們的資訊，然而就在數(shù)小時甚至幾分鐘的短時間內(nèi)，那些未經(jīng)授權(quán)的交易就可能造成受騙者巨大的損失。2023/1/12電腦病毒100phishing通常也會使用HTML格式的網(wǎng)頁電子郵件除了捏造資料外，這類郵件通常也會使用HTML格式的網(wǎng)頁電子郵件。乍看之下，不管是商標(biāo)、標(biāo)識、圖形，以及公司的鏈結(jié)全都應(yīng)有盡有，像是值得信任的。事實上，在很多情況下，他們都直接使用了正牌網(wǎng)站的圖檔也就是仿冒的一模一樣。曾有網(wǎng)友收到過仿冒線上刷卡公司網(wǎng)頁的phishing電子郵件，所顯示的網(wǎng)址似乎是真實的，似乎只需要輕輕點下這些鏈結(jié)就能夠登錄線上刷卡公司的網(wǎng)站。然而這些鏈結(jié)卻正是網(wǎng)頁所設(shè)置的陷阱，它們實際上鏈結(jié)的是一個無法解讀的IP網(wǎng)址，而非真實的線上刷卡頁面。參考資料/news/new21/new_21_14_1.htm

上述文章來至"不一樣新聞電子雙周報"2023/1/12電腦病毒101102免費線上病毒掃瞄防毒軟體名稱：Kaspersky/service?chapter=161739400

防毒軟體名稱：Norton/sscv6/home.asp?langid=ch&venid=sym&plfid=23&pkj=LNUVWYDMGJCDBXWVPGC

防毒軟體名稱：PC-cillin/housecall/start_corp.asp

基本的防毒常識四不兩要不使用來源不明之磁片不開啟來源不明之電子郵件不安裝不確定來源之軟體(遊戲、算命、螢?zāi)槐Ｗo程式…等)不任意分享資料夾要先掃毒才將外界的檔案傳至電腦要隨時保持最新的防毒引擎與病毒碼笑話兩則小白這天去換駕照，路經(jīng)一個十字路口時，瞧見有位媽媽背著一個小孩，前面還載一個大一點的小孩被條子攔下來...條子說：「這位太太，你的小孩沒帶安全帽也就算了，你怎麼自已也不戴？這樣說不過去哦?！箣寢專骸感∨笥训倪@麼小買不到ㄇㄟ?！箺l子：「但你自已應(yīng)該要戴啊！」媽媽：「我戴幹嘛？萬一我的孩子出了什麼事，我也不想活了！」有一天，志維超速被警察攔下警察：「嘿嘿！我從一大早就在這裡等你了！」志維：「我知道，我怕你等太久，所以才一路狂飆的趕來了?！狗蓝拒涹w的關(guān)鍵－

病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當(dāng)防毒軟體公司收集到一隻新的病毒時，他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的程式碼，來當(dāng)做掃毒程式辨認此病毒的依據(jù)，這段獨一無二的程式碼就是所謂的病毒碼。掃瞄引擎可以說是防毒軟體中最精華的部份。事實上，當(dāng)您操作防毒軟體去掃描某一個磁碟機或目錄時，它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描，真正影響掃描速度及偵測率的因素就是掃瞄引擎，它被放在防毒軟體所安裝的目錄之下，就好像汽車引擎平常是無法直接看見的，可是它卻是影響汽車性能最主要的關(guān)鍵。病毒的種類及型態(tài)一直在改變，新病毒也每天不斷的被產(chǎn)生，如果不經(jīng)常更換最新的病毒碼以及掃瞄引擎，再強悍的防毒軟體也會有失靈的一天。因為病毒碼和掃毒引擎是防毒工作中相當(dāng)重要的一環(huán)，只單單更換病毒碼或掃毒引擎是不夠的，必須兩者都進行更新。

電腦病毒和駭客所謂電腦駭客(Hacker)指的是”以非法手段侵入別人電腦，來竊取或修改電腦中重要資料的人，或利用系統(tǒng)本身漏洞，來攻擊散播駭客工具”。電腦病毒與駭客，原本不可混為一談，但紅色警戒病毒（CodeRed）將兩者的特性結(jié)合，進而繁衍出強大的破壞力。

防止電腦駭客的入侵方式，最常見的就是裝置「防火牆」(Firewall)，這是一套專門放在Internet大門口(Gateway)的身份認證系統(tǒng)，其目的是用來隔離Internet外面的電腦與企業(yè)內(nèi)部的區(qū)域網(wǎng)路，任何不受歡迎的使用者都無法通過防火牆而進入內(nèi)部網(wǎng)路，而利用系統(tǒng)漏洞來政擊或散播駭客工具的程式，最好的防止方式就是更新”修正程式”。一般而言，電腦駭客想要輕易的破解防火牆並入侵企業(yè)內(nèi)部主機並不是件容易的事，所以駭客們通常就會用採用另一種迂迴戰(zhàn)術(shù)，直接竊取使用者的帳號及密碼或者利用系統(tǒng)的漏洞，如此一來便可以名正言順的進入企業(yè)內(nèi)部。而CodeRed即是利用微軟公司的IIS(InternetInformationServices)網(wǎng)頁伺服器作業(yè)系統(tǒng)漏洞，大肆為所欲為。

InternetInformationServices(IIS)formerlycalledInternetInformationServer–isawebserverapplicationandsetoffeatureextensionmodulescreatedbyMicrosoftforusewithMicrosoftWindows.ItisthesecondmostusedwebserverbehindApacheHTTPServer.AsofMarch2010[update],itserved24.47%ofallwebsitesontheInternetaccordingtoNetcraft.[1]TheprotocolssupportedinIIS7.5include:FTP,FTPS,SMTP,NNTP,andHTTP/HTTPS.2023/1/12電腦病毒110CodeRed的入侵CodeRed是首宗駭客結(jié)合電腦蠕蟲、特洛依病毒的新型態(tài)強勁攻勢，它專門針對安裝微軟IIS網(wǎng)頁伺服器的作業(yè)系統(tǒng)進行感染如WindowsNTServer及Windows2000Server，用戶遭到CodeRed入侵可能會造成網(wǎng)頁被置換，網(wǎng)路壅塞或是伺服器當(dāng)機。當(dāng)駭客破解了IIS伺服器門禁（此為駭客行徑）則以100、300或600的等比級數(shù)尋覓下毒目標(biāo)電腦（此為電腦蠕蟲特性）並透過80PORT來散播和複製自己（此為特洛伊木馬程式特性），從此這些傀儡電腦便得任意被駭客操縱了，無論是發(fā)動攻勢攻擊指定網(wǎng)站、或染指亂數(shù)產(chǎn)生的IIS用戶，皆使得網(wǎng)路頻寬資源大受影響，甚至無法運作。2023/1/12電腦病毒112如何阻絕CodeRed型態(tài)的病毒電腦病毒結(jié)合網(wǎng)路駭客技術(shù)，已成為一種強大威脅性的可怕工具，CodeRed與Nimda都屬於此類針對此類的攻擊，企業(yè)用戶可說是防不勝防。雖然CodeRed的傳播方式是利用電腦蠕蟲與特洛伊木馬程式的特性，然而它最主要的攻擊點，本質(zhì)上是針對某些特定應(yīng)用程式(如IIS)的弱點或後門來做攻擊。若想阻絕此類病毒，唯有從這些應(yīng)用程式的安全上著手。換句話說，隨時更新各類應(yīng)用程式的修補程式(patch)，便是資訊安全上相當(dāng)重要的一項課題。2023/1/12電腦病毒113如何阻絕CodeRed型態(tài)的病毒（cont.）臺灣微軟便在微軟網(wǎng)站提供【CodeRed病毒嚴(yán)重威脅網(wǎng)站伺服器，請即刻安裝修復(fù)程式】的網(wǎng)頁，針對IIS的安全提出相關(guān)說明，因此資訊相關(guān)人員除了安裝防毒軟體外，更要加強以下動作：定期更新軟體程式，如微軟IIS等的相關(guān)修正程式。除了安裝防火牆(Firewall)外，還應(yīng)搭配入侵偵測軟體(Scanner)及弱點評估軟體(Intrusiondetection)，並在伺服器端安裝防毒軟體，並確定掃瞄引擎及病毒碼也必須同時更新。

2023/1/12電腦病毒114真正的防毒之道防毒軟體的關(guān)鍵－病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當(dāng)防毒軟體公司收集到一隻新的病毒時，他們會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼(BinaryCode)，來當(dāng)做掃毒程式辨認此病毒的依據(jù)，這段獨一無二的二進位程式碼就是所謂的病毒碼。那麼，什麼叫二進位程式碼呢?在電腦中所有可以執(zhí)行的程式(如*.EXE,*.COM)幾乎都是由二進位程式碼所組成，也就是電腦的最基本語言--機械碼。就連當(dāng)紅的文件巨集病毒，雖然它只是包含在Word文件檔案中的巨集，可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。2023/1/12電腦病毒115真正的防毒之道(cont.)掃瞄引擎可以說是防毒軟體中最精華的部份。當(dāng)您使用一套防毒軟體時，不論它的畫面是否精美，操作是否簡便，功能是否完善，這些其實都還不足以證明一套防毒軟體的好壞。事實上，當(dāng)您操作防毒軟體去掃描某一個磁碟機或目錄時，它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描，也就是說您所看到的漂亮畫面其實只是一個使用者介面(UI,UserInterface)，真正影響掃描速度及偵測率的因素就是掃瞄引擎，掃瞄引擎是一個沒有畫面，沒有包裝的核心程式，它被放在防毒軟體所安