解析:
常见电脑病毒分类
引导区病毒:
这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。
文件型病毒:
文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。同时还经常将控制权还给主程序,伪装计算机系统正常运行。
一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的 *** 作,并进行自我复制,同时附着在您系统其他可执行文件上伪装自身,并留下标记,以后不再重复感染。
宏病毒:
它是一种特殊的文件型病毒,一些软件开发商在产品研发中引入宏语言,并允许这些产品在生成载有宏的数据文件之后出现。
宏的功敏裂能十分强大,但是便给宏病毒留下可乘之机!
脚本病毒:
脚本病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。
网络蠕虫程序:
网络蠕虫程序耐拿拦是一种通过间接方式复制自身非感染型病毒。有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品;有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。它的传播速度相当惊人,成千上万的病毒感染造成众多邮件服务器先后崩溃,给人们带来难以弥补的损失。
“特洛伊木马”程序:
特洛伊木马程序通常是指伪装成合法软件的非感染型病毒,但它不进行自我复制。有些木马可以模仿运行环境,收集所需的信息,最常见的木马便是试图窃取用户名和密码的登录窗口,或者试图从众多的Inter服务器提供商(ISP)盗窃用户的注册信息和账号信息。
磁芯大战--第一个电脑病毒
电脑病毒并非是最近才出现的新产物 ,事实上 ,早在一九四九年 ,距离第一部商用电脑的出现仍有好几年时 ,电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》里,即已把病毒程式的蓝图勾勒出来 ,当时 ,绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的 ,可是少数几个科学家默默的研究范纽曼的所提出的概念 ,直到十年之后 ,在美国电话电报公司(AT&T) 的贝尔(Bell)实验室中 ,这些概念在一种很奇怪的电子游戏中成形了 ,这种电子游戏叫做 “磁蕊大战”(core war)。
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工余想出来的 ,他们是道格拉斯麦耀莱(H, Douglas McIlroy) ,维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris) ,当时三人年纪都只有二十多岁。
附注: Robert T. Morris 就是后来写了一个 Worm ,把 Inter 搞的天翻地覆的那个 Robert T. Morris Jr.(上图) 的爸爸 ,当时大 Morris 刚好是负责 Arpa网路安全 。
磁昌胡芯大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑? 记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 当它被困时,也可以把自己复制一次,逃离险境,因为它们都 在电脑的记忆磁芯中游走,因此得到了磁芯大战之名.
这个游戏的特点,在于双方的程式进入电脑之后,玩游戏的人只能看着萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.磁芯大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫[达尔 文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言 (Assembly Language) 各写一套程式,叫有机体(ani *** ),这两个机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛 时 Morris 经常匠心独具,击败对手.
另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑 [爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.
为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.
[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址] (address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是 MOV 01 。MOV是[MOVE]的代表,即移动的意思. 它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句 话说, 萤光幕上留下一大堆[MOV 01].
[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].
从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后而[大雪人](Bigfoot)则把正本 和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外, 还有全录(Xerox)柏路阿图研究中心的约翰.索 殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑
中国一号”(尼姆达)及其变种网络蠕虫大面积流行“中国一号”网络蠕虫根据病毒体内特有的标记“R.P.China Version 1.0,特将其命名为:
I-WORM/CHINA-1#“中国一号”网络蠕虫。特此说明,病毒体内有此标记,不等于就是中国人编写的病毒,现也有称为Nimda“尼姆达”病毒的,但病毒体内无此标记。
Nimda“尼姆达”变种病毒该病毒是原来的“中国一号”病毒的变种,修改了原来病毒的一些错误(BUG)并且对病毒程序做了一些修改,目的是防止一些反病毒软件来查杀。变种病毒体内有以下的字符串:
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)
该病毒声明它不称为“Nimda尼姆达”病毒。
变种蠕虫程序使用了不同的文件名称以及文件的大小都是不同的。
江民公司提醒广大用户,这类病毒传染能力极强,请加强防范,立即升级反病毒软件。
该病毒特性如下:
病毒传染WINDOWS 9X/ME、WINDOWS NT、肢唤WINDOWS 2000。
当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。
这些网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。
在链罩功能的设计上,新的变种和原来的“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同历唤凯样是病毒用来感染局域网络的;Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称) 在合法的WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。
变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。
当然在邮件中是看不到该附件的。
病毒传染Html、nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。
病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的
shell=explorer.exe load.exe -dontrunold,
这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。
变种网络蠕虫有4种传播方式:
(1)通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞;
(2)通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;
(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防, 这是我们日常工作的习惯性的问题,或者说不是问题,但是病毒利用了我们的"问题"。
病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:
mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。
病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)该病毒存在的文件名称可能是以下的几种:
load.exemmc.exeriched20.dlladmin.dllreadme.exemep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll
(6)为了隐含文件,病毒修改了以下的系统注册表:
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了.
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?
请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
4 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
相信你所提就是上面的这个问题,其实你这个问题很简单,如果不是开了防火墙的问题,那就是Internet选项安全页里自定义级别的一个设置问题。
首先你打开Internet选项,选择安全页闹贺,点击自定义级别
其次,找到文件下载的选项,看到原先默认是禁用,我们选择启用,然后点击确定,再点击是即可,如世弯扒果不行,那可能就是得重启,重启后查看是否能下载
虽然我展示的是服务器系统,但问题依旧是一个样子,搜昌解决步骤可能还是一样的。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)