常見的計算機病毒

常見的計算機病毒

（主要介紹危害性）班級：計科13152

姓名：張金飛梅利莎(Melissa，1999年)愛蟲(Iloveyou，2000年)求職信病毒(Klez，2001年)紅色代碼(CodeRed，2001年)AV終結者(2007年)磁碟機病毒(2007年)OnlineGames系列盜號木馬鬼影病毒（2010）知識拓展：測試病毒原理檢測殺毒軟件性能方法梅利莎(Melissa)

Melissa病毒由大衛(wèi)·史密斯(DavidL.Smith)制造，是一種迅速傳播的宏病毒，它作為電子郵件的附件進行傳播，梅麗莎病毒郵件的標題通常為“這是你要的資料，不要讓任何人看見(Hereisthatdocumentyouaskedfor，don'tshowanybodyelse)”。一旦收件人打開郵件，病毒就會自我復制，向用戶通訊錄的前50位好友發(fā)送同樣的郵件。因為它發(fā)出大量的郵件形成了極大的電子郵件信息流，它可能會使企業(yè)或其它郵件服務端程序停止運行，盡管Melissa病毒不會毀壞文件或其它資源。1999年3月26日爆發(fā)，感染了15%-20%的商業(yè)計算機。愛蟲(Iloveyou)

愛蟲病毒最初也是通過郵件傳播，而其破壞性要比Melissa強的多。標題通常會說明，這是一封來自您的暗戀者的表白信。郵件中的附件則是罪魁禍首。這種蠕蟲病毒最初的文件名為LOVE-LETTER-FOR-YOU.TXT.vbs。后綴名vbs表明黑客是使用VB腳本編寫的這段程序。很多人懷疑是菲律賓的奧尼爾·狄·古茲曼制造了這種病毒。由于當時菲律賓沒有制定計算機破壞的相關法律，當局只得以盜竊罪的名義傳訊他。最終由于證據(jù)不足,當局被迫釋放了古茲曼。根據(jù)媒體估計，愛蟲病毒造成大約100億美元的損失。求職信病毒

求職信病毒是病毒傳播的里程碑。出現(xiàn)幾個月后有了很多變種，在互聯(lián)網肆虐數(shù)月。最常見的求職信病毒通過郵件進行傳播，然后自我復制，同時向受害者通訊錄里的聯(lián)系人發(fā)送同樣的郵件。一些變種求職信病毒攜帶其他破壞性程序，使計算機癱瘓。有些甚至會強行關閉殺毒軟件或者偽裝成病毒清除工具。求職信病毒出現(xiàn)不久，黑客就對它進行了改進，使它傳染性更強。除了向通訊錄聯(lián)系人發(fā)送同樣郵件外，它還能從中毒者的通訊錄里隨機抽選一個人，將該郵件地址填入發(fā)信人的位置。紅色代碼

紅色代碼和紅色代碼Ⅱ(CodeRedII)兩種蠕蟲病毒都利用了在Windows

2000和WindowsNT中存在的一個操作系統(tǒng)漏洞，即緩存區(qū)溢出攻擊方式，當運行這兩個操作系統(tǒng)的機器接收的數(shù)據(jù)超過處理范圍時，數(shù)據(jù)會溢出覆蓋相鄰的存儲單元，使其他程序不能正常運行，甚至造成系統(tǒng)崩潰。與其它病毒不同的是，CodeRed并不將病毒信息寫入被攻擊服務器的硬盤，它只是駐留在被攻擊服務器的內存中。最初的紅色代碼蠕蟲病毒利用分布式拒絕服務(DDOS)對白宮網站進行攻擊。安裝了Windows2000系統(tǒng)的計算機一旦中了紅色代碼Ⅱ，蠕蟲病毒會在系統(tǒng)中建立后門程序，從而允許遠程用戶進入并控制計算機。病毒的散發(fā)者可以從受害者的計算機中獲取信息，甚至用這臺計算機進行犯罪活動。受害者有可能因此成為別人的替罪羊。雖然WindowsNT更易受紅色代碼的感染，但是病毒除了讓機器死機，不會產生其它危害。AV終結者

“AV終結者”又名“帕蟲”，“AV”即是“反病毒”的英文(Anti-Virus)縮寫，是一種是閃存寄生病毒，主要的傳播渠道是成人網站、盜版電影網站、盜版軟件下載站、盜版電子書下載站。禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶計算機失去安全保障;破壞安全模式，致使用戶根本無法進入安全模式清除病毒;AV終結者還會下載大量盜號木馬和遠程控制木馬。AV終結者病毒病毒運行后會生成后綴名.da磁碟機病毒

這是一個下載者病毒，會關閉一些安全工具和殺毒軟件并阻止其運行;對于不能關閉的某些輔助工具會通過發(fā)送窗口信息洪水使得相關程序因為消息得不到處理處于假死狀態(tài);破壞安全模式，刪除一些殺毒軟件和實時監(jiān)控的服務，遠程注入到其它進程來啟動被結束進程的病毒，病毒會在每個分區(qū)下釋放AUTORUN.INF來達到自運行。感染除SYSTEM32目錄外其它目錄下的所有可執(zhí)行文件。并且會感染RAR壓縮包內的文件。病毒造成的危害及損失10倍于“熊貓燒香”。OnlineGames系列盜號木馬

這是一類盜號木馬系列的統(tǒng)稱，這類木馬的特點就是通過進程注入盜取流行的各大網絡游戲(魔獸，夢幻西游等)的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟件，但經常伴隨著AV終結者、機器狗等病毒出現(xiàn)。鬼影病毒鬼影病毒是指寄生在磁盤主引導記錄（MBR），即使格式化重裝系統(tǒng)，也無法清除的病毒。2010年3月15日，國內某安全中心發(fā)現(xiàn)一種被命名為“鬼影”的電腦病毒，由于該病毒成功運行后，在進程中、系統(tǒng)啟動加載項里找不到任何異常，同時即使格式化重裝系統(tǒng)，也無法徹底清除該病毒。猶如“鬼影”一般“陰魂不散”，所以稱為“鬼影病毒“。該病毒也因此成為國內首個“引導區(qū)下載者病毒”。

在后來，還陸續(xù)出現(xiàn)“鬼影病毒”的變種，“鬼影2”“鬼影3”……“鬼影6”。測試病毒病毒的測試一般在虛擬機、沙盤、影子系統(tǒng)中測試一些主流的影子系統(tǒng)軟件能防機器狗穿透，其實整個過程中穿透確實發(fā)生過，病毒驅動提高自身優(yōu)先級把讀寫指令提交到磁盤硬件，這個是難以在軟件層阻止的，但是病毒完成硬盤真實更改后就退出了，影子系統(tǒng)軟件可以把更改還原，過程是:病毒穿透完成修改真實目錄文件-病毒退出-影子系統(tǒng)軟件找到被病毒修改的文件用備份還原它=最終結果還是是病毒沒有成功完成目的

，知道這個原理就知道只要病毒常駐內存運行保護更改不被還原就可以實現(xiàn)常駐穿透，可是這里樣本都沒有這個功能，一些影子系統(tǒng)軟件有一個軟件內核驅動層暴力重啟[效果跟按主機的重啟鍵是一樣的]來防止穿透。

---------------------請復制下面的代碼到文本中保存-------------------

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

---------------------請復制上面的代碼到文本中保存-------------------

測試方法：

1.鼠標右鍵點擊桌面空白處，創(chuàng)建一個“文本文檔”。

2.將上面這段測試代碼復制到“文本”里，保存，然后可以直接右鍵點擊這個文本，用殺毒軟件掃描也可以等一會，如果你的殺毒軟件還行，會自動報毒并將該文本刪除那就可以初步放心了。

測試原理：

該段代碼是歐洲計算機防病毒協(xié)會開發(fā)的一種病毒代碼，其中的特征碼已經包含在各種殺毒軟件的病毒代碼庫里，所以可以用做