計算機病毒實例

1、計算機病毒MyDoom病毒 2004年1月26日，一種新的病毒MyDoom開始通過郵件傳播，并對SCO、微軟和波音等大公司的網(wǎng)站發(fā)起DDoS攻擊。造成了一些大型公司，比如波音公司、SCO公司網(wǎng)絡的癱瘓，但就像 2003年1月25日的Slammer病毒一樣，由于MyDoom正值中國的春節(jié)期間爆發(fā)，當時并未給中國的企業(yè)造成巨大損失。 網(wǎng)速極慢，無法接收郵件，而且持續(xù)的時間相當長。 該病毒已經(jīng)引起了國際反病毒廠商的高度重視，NAI公司已經(jīng)將 MyDoom病毒設置為“高危險級別” 。 MyDoom病毒從破壞性和實現(xiàn)原理上都沒有超過Slammer，它不是利用系統(tǒng)的漏洞，而純粹是郵件病毒，但是，其編寫技術

2、卻發(fā)生了重大改變，使得病毒呈現(xiàn)新的特征-病毒開始智能化! MyDoom病毒的智能化體現(xiàn)在：能通過一些關鍵字自己創(chuàng)造新的郵件地址，比如，通過關鍵字“John”，在前后加一些字母，然后加上、 等后綴，形成新的郵件地址，然后開始通過這些新創(chuàng)造出來的郵件地址一個個試探性地發(fā)送病毒和垃圾郵件；可自動封堵一些著名反病毒公司的網(wǎng)站，比如NAI公司的網(wǎng)站，使中毒用戶無法及時升級反病毒軟件；自動探測用戶計算機的端口，比如3127、8080端口，一旦發(fā)現(xiàn)沒有被防火墻封堵的端口，就將木馬和病毒程序通過這個端口置入用戶計算機中，使遠程攻擊得逞；將垃圾郵件技術和病毒技術結合，利用垃圾郵件對網(wǎng)站進行大規(guī)模的DDoS攻擊，

3、開創(chuàng)了網(wǎng)絡攻擊的新模式。 該病毒的傳播占全球電子郵件通信量的2030，超過了諸如SoBig等蠕蟲的傳播速度。該病毒已超過“沖擊波”成為最厲害的病毒。 從查殺MyDoom病毒本身來說，并不復雜。不像查殺 Slammer病毒，用戶需要下載補丁程序，對MyDoom病毒，只需要升級病毒代碼就可以了。目前，許多反病毒公司都已經(jīng)研究出了病毒代碼，用戶只要升級了代碼，并在郵件服務器中安裝郵件反病毒軟件，就能將該病毒消除。 MyDoom病毒的意義不在于病毒本身，而在于它從此將開創(chuàng)一個病毒智能化的時代。這是許多信息安全專家最為擔心的事情。Hotmail蠕蟲蠕蟲(Worm.Hotmatom) 病毒感染計算機后，會

4、把自己復制到“windows”目錄下，病毒文件名為“dho.exe”。 病毒會修改注冊表，每次打開計算機后都自動運行，然后在后臺監(jiān)視用戶的IE瀏覽器。當用戶登陸到MSN Hotmail發(fā)送郵件時，病毒會在發(fā)送的郵件后插入病毒文字和鏈接：“Hi, Happy San Valentin Day Download you Postcards from http:/*（情人節(jié)到了，去*網(wǎng)站下載賀卡吧）”，用戶點擊該鏈接后就會中毒。 對付：平時打開殺毒軟件的實時監(jiān)控并升級到最新版本查殺此類病毒，對于可疑的鏈接不要隨便點擊。 Trojan.PSW.Lmir 木馬程序，一個以竊取“傳奇”游戲的密碼和帳號為目

5、的的木馬病毒，該病毒能通過窗口標題，進程名關閉一些反病毒軟件，或防火墻軟件如：Symantec AntiVirus 、 天網(wǎng)防火墻個人版 、天網(wǎng)防火墻企業(yè)版等。 病毒還會通過注冊表搜索 “密碼防盜專家 綜合版”并且在起安裝目錄下搜索文件PasswordGuard.exe然后檢查此文件是否已經(jīng)運行，如果運行的話就將其強行結束。 病毒的主要危害為盜取用戶進行游戲時登錄的游戲賬號密碼并發(fā)送給病毒作者。 小不點木馬程序小不點木馬程序(TrojanDownloader.Small) 木馬程序，依賴系統(tǒng)：Win9X/NT/2000/XP?！靶〔稽c”木馬程序是一個開啟被感染計算機的后門，記錄鍵擊，盜取用戶機

6、密信息的木馬程序。 “小不點”變種arl運行后，在系統(tǒng)目錄下和Windows目錄下創(chuàng)建大量病毒文件。修改注冊表，實現(xiàn)開機自啟。打開系統(tǒng)目錄下的.sys病毒文件，隱藏自己在任務管理器中的進程，防止被查殺。開啟指定的TCP端口，偵聽黑客指令，盜取用戶計算機系統(tǒng)信息或網(wǎng)絡信息，發(fā)送特定郵件，訪問指定站點等。 “沖擊波(Worm.Blaster) ”病毒 該病毒于2003年8月11日發(fā)現(xiàn)，是一種新型蠕蟲病毒（WORM-MSBlast.A），已經(jīng)在國內(nèi)互聯(lián)網(wǎng)和部分專用網(wǎng)絡上傳播。該病毒利用微軟WINDOWS操作系統(tǒng)的RPC漏洞，通過網(wǎng)絡快速傳播。病毒運行時會不停地利用IP掃描技術尋找網(wǎng)絡上系統(tǒng)為Win2

7、K或XP的計算機，找到后就利用DCOM RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染。 一、沖擊波(Worm.Blaster)蠕蟲病毒癥狀： 1電腦不能正常復制粘貼，WORD、EXCEL、POWERPOINT等文件無法正常執(zhí)行，彈出找不到文件的對話框，一些軟件功能無法正常使用。 2系統(tǒng)網(wǎng)絡連接數(shù)增大，系統(tǒng)反應奇慢，并可導致計算機系統(tǒng)崩潰。 3 病毒會對NT/2000/2003版本的windows的IIS服務進行侵害，造成DCOM組件報錯，導致WWW服務癱瘓。 4 彈出窗口提示“RPC服務終止，需要重新啟動計算機”。此病毒主要對windows2000/2003

8、 server版本危害比較大。 另外，該病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務攻擊，導致該網(wǎng)站堵塞，在8月16日以后，該病毒還會使被攻擊系統(tǒng)喪失更新該漏洞補丁的能力。 二、解決方案 1終止該計算機病毒運行 病毒在內(nèi)存中建立一個名為：“msblast”的進程，用戶可以用任務管理器將該病毒進程終止。打開WINDOWS任務管理器，在運行的程序清單中查找進程“MSBLAST.EXE”終止該進程的運行。2刪除注冊表中的自啟動項單擊開始運行，輸入regedit命令，找到如下鍵值HKEY_LOCAL_MACHINESOFTWAREMICROSOFT WINDOWSCURRENTVERSIONRUN。在右邊

9、的列表中查找并刪除以下項目WINDOWS AUTO UPDATE= MSBLAST.EXE3、手動刪除該病毒文件 %systemdir%msblast.exe “C:Windowssystem”或：“C:Winntsystem32” 4安裝PRC漏洞的補丁程序5對135端口、69端口、4444端口的訪問進行過濾，使得只能進行受信任以及內(nèi)部的站點訪問。6運行殺毒軟件，對系統(tǒng)進行全面的病毒掃描和清除，然后重新啟動計算機，再次進行病毒掃描，確認病毒是否徹底清除。 三、網(wǎng)絡連接方面的解決方法1 Internet 連接防火墻 如果你在使用 Windows XP 或 Windows Server 2003

10、 中的 Internet 連接防火墻來保護你的 Internet 連接，則默認情況下會阻止來自 Internet 的入站 RPC 通信信息。 2 禁用所有受影響的計算機上的 DCOM 如果一臺計算機是一個網(wǎng)絡的一部分，則該計算機上的 COM 對象將能夠通過 DCOM 網(wǎng)絡協(xié)議與另一臺計算機上的 COM 對象進行通信。您可以禁用特定的計算機上的 DCOM，幫助其防范此漏洞，但這樣做會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信。 “妖怪”病毒 英文名稱：Worm.Bugbear 該變種病毒郵件的主題為英文信息，極力誘惑郵件接收者打開附件。如果用戶沒有修補漏洞，在預覽郵件時也會觸發(fā)病毒。

11、該病毒還會每20秒檢查一次系統(tǒng)進程，當發(fā)現(xiàn)有反病毒軟件的進程存在時就會結束其進程。 由于病毒感染可執(zhí)行文件，手工方法清除極為困難。 破壞： 感染W(wǎng)in32文件。病毒會感染部分系統(tǒng)目錄或Program Files里的特定可執(zhí)行程序，scandskw.exe；regedit.exe；mplayer.exe； Internet Exploreriexplore.exe等。 釋放黑客后門程序。該變種病毒在激活時會釋放后門程序記錄宿主機的鍵盤擊鍵操作，同時在本地系統(tǒng)監(jiān)聽1080端口，等待控制臺端的連入，連接成功后宿主機即被黑客遠程控制。 利用郵件和共享強烈傳播。該變種病毒會試圖從后綴后為.mmf,.nc

12、h,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出Email地址進行郵件傳播。該變種病毒可搜索局域網(wǎng)內(nèi)的共享資源，并把自己復制到對方系統(tǒng)開始菜單的啟動項目錄中。這樣一來，用戶下次開機時病毒就被觸發(fā)。V寶貝寶貝(Win32.Worm.BabyV)“V寶貝寶貝(Win32.Worm.BabyV)”病毒屬病毒屬木馬病毒，通過局域網(wǎng)、郵件、文件三種方式進行傳播，依賴系統(tǒng): WIN9X/NT/2000/XP。 病毒運行時會在系統(tǒng)安裝目錄中生成名為：123.txt，內(nèi)容為：“babyv ; made of Ran”的文本文件,用戶可以通過該特征來簡單判斷是否中毒。 病毒會釋放出一個名為：ec

13、ho.vbs的文件，該文件可以自動向外發(fā)送大量標題為：“Microsoft Pack3, ;o)”，內(nèi)容為：“Hi:This is Microsoft client server center，Check This!”的病毒郵件，影響互聯(lián)網(wǎng)數(shù)據(jù)的正常傳輸。 該病毒還會通過寫共享文件夾的方式瘋狂感染局域網(wǎng)，造成整個網(wǎng)絡病毒泛濫。 該病毒感染系統(tǒng)中的可執(zhí)行文件，將自身代碼插入到被感染文件中，造成所有可執(zhí)行文件被改寫，使系統(tǒng)運行速度變慢。 該病毒是繼“中國黑客”之后的又一個混合型病毒，它集文件感染、局域網(wǎng)傳播和郵件傳播多種特性于一體，因此傳播范圍廣、破壞性大，感染該病毒后很難象清除以往病毒那樣進行手

14、工清除。假“安全補丁”是病毒！ 如果現(xiàn)在收到所謂微軟公司的系統(tǒng)安全補丁，千萬不要打開！被稱為“嘲笑（Gibe）”和“斯文”（Swen）的新電腦病毒已被檢測到，該病毒假冒安全補丁以電子郵件附件形式迅速擴散。 每秒鐘能感染20臺電腦。 該病毒是一種惡性蠕蟲病毒，它將自己偽裝成微軟的升級郵件來誘惑用戶點擊，在“沖擊波”病毒以后，出現(xiàn)了許多以打補丁為內(nèi)容的郵件病毒，都是將自己偽裝成微軟公司的補丁程序來進行傳播的，像“藍盒子”、“V寶貝”和 “斯文”，因此電腦用戶一定要隨時警惕并及時升級殺毒軟件防毒。如果遭“嘲笑”和“斯文”襲擊，用戶打開電子郵件便會彈出看起來像真的安裝和更新窗口，出現(xiàn)如下對話框：“這將

15、安裝微軟安全更新系統(tǒng)，你希望繼續(xù)嗎？” 即便用戶點擊“No”，病毒也會自己安裝。當用戶運行該病毒時還會顯示安裝進度條，具有非常大的迷惑性，在網(wǎng)絡上泛濫后最終造成網(wǎng)絡堵塞。病毒對硬盤中的電子郵件地址進行搜索，大量復制發(fā)送，并且試圖使現(xiàn)有的防火墻和殺毒產(chǎn)品停止運作，使用戶電腦的安全防護失效，從而使用戶將來再次受到攻擊。另外它還會實時自動統(tǒng)計已被感染電腦的數(shù)量 。微軟公司此前已經(jīng)提醒用戶小心電子郵件病毒，并聲明公司沒有用電子郵件方式給用戶提供安全補丁，而是將補丁發(fā)送到公司網(wǎng)站由用戶下載。 “嘲笑”病毒還可以通過KaZaA音樂交流軟件傳播，途徑是自我復制到KaZaA共享文件夾中。惡意蠕蟲病毒“秋天的童

16、話” “秋天的童話”(Worm.Pereban，別名：秋天的故事I-Worm/AutuFairy)。該蠕蟲病毒似乎以紀念9.18事變?yōu)槟康?采用發(fā)送病毒郵件的方式進行傳播。病毒長度118784，使用VB編寫,文件特征看起來更像圖像文件，它會郵件聯(lián)系人來發(fā)送病毒郵件。 該蠕蟲用“秋天的童話”作為郵件主題,郵件內(nèi)容為：“曾經(jīng)有一份真誠的愛情擺在我面前,可是我沒有去珍惜”，附件即為病毒體。會嘗試格式化硬盤，或使計算機不能正常啟動。會嘗試使用指定的內(nèi)容覆蓋所有的asp、shtml、htm、html文件，造成計算機數(shù)據(jù)的丟失。 手工解決辦法: 打開任務管理器，結束.exe(未設鍵值).exe兩個進程；

17、手工刪除系統(tǒng)目錄(如C:WinNTSystem32)下的 .exe(空格.exe)文件、(未設鍵值).exe； 手工刪除Internet臨時目錄(如C:WindowsTemporary Internet FilesIslov.jpg.exe； 修改注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的鍵值； 修改注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService下的鍵值； 修改AutoExec.bat和WinStart.bat內(nèi)的異常命令行?！癚Q信使信使”病毒病毒 QQ信使信使(Trojan.QQMsender.L