计算机病毒实例剖析

MyDoom病毒的智能化体现在： ①能通过一些关键字自己创造新的邮件地址，比如， 通过关键字“John”，在前后加一些字母，然后加 上sina.com、 263.com等后缀，形成新的邮件地址， 然后开始通过这些新创造出来的邮件地址一个个试 探性地发送病毒和垃圾邮件； ②可自动封堵一些著名反病毒公司的网站，比如NAI 公司的网站，使中毒用户无法及时升级反病毒软件； ③自动探测用户计算机的端口，比如3127、8080端口， 一旦发现没有被防火墙封堵的端口，就将木马和病 毒程序通过这个端口置入用户计算机中，使远程攻 击得逞； ④将垃圾邮件技术和病毒技术结合，利用垃圾邮件对 网站进行大规模的DDoS攻击，开创了网络攻击的 新模式。
4．安装PRC漏洞的补丁程序 5．对135端口、69端口、4444端口的访问 进行过滤，使得只能进行受信任以及内 部的站点访问。 6．运行杀毒软件，对系统进行全面的病 毒扫描和清除，然后重新启动计算机， 再次进行病毒扫描，确认病毒是否彻底 清除。
三、网络连接方面的解决方法 1． Internet 连接防火墙
V宝贝(Win32.Worm.BabyV)
“V 宝 贝 (Win32.Worm.BabyV)” 病 毒 属 木 马 病 毒，通过局域网、邮件、文件三种方式进行 传播，依赖系统: WIN9X/NT/2000/XP。 • 病毒运行时会在系统安装目录中生成名为： 123.txt，内容为：“babyv ; made of Ran”的 文本文件,用户可以通过该特征来简单判断是 否中毒。 • 病毒会释放出一个名为： echo.vbs 的文件， 该文件可以自动向外发送大量标题为： “Microsoft Pack3, ;o)”，内容为：“Hi:This is Microsoft client server center，Check This!” 的病毒邮件，影响互联网数据的正常传输。
• 木马程序，依赖系统：Win9X/NT/2000/XP。 “小不点”木马程序是一个开启被感染计算机 的后门，记录键击，盗取用户机密信息的木马 程序。 • “小不点”变种arl运行后，在系统目录下和 Windows目录下创建大量病毒文件。修改注册 表，实现开机自启。打开系统目录下的.sys病 毒文件，隐藏自己在任务管理器中的进程，防 止被查杀。开启指定的TCP端口，侦听黑客指 令，盗取用户计算机系统信息或网络信息，发 送特定邮件，访问指定站点等。
恶意蠕虫病毒—“秋天的童话”
• “ 秋天的童话” (Worm.Pereban ，别名：秋天的 故事 I-Worm/AutuFairy) 。该蠕虫病毒似乎以纪 念9.18事变为目的,采用发送病毒邮件的方式进 行传播。病毒长度 118784 ，使用 VB 编写 , 文件 特征看起来更像图像文件，它会邮件联系人来 发送病毒邮件。 • 该蠕虫用“秋天的童话”作为邮件主题,邮件内 容为：“曾经有一份真诚的爱情摆在我面前,可 是我没有去珍惜……”，附件即为病毒体。会 尝试格式化硬盘，或使计算机不能正常启动。 会尝试使用指定的内容覆盖所有的asp、shtml、 htm、html文件，造成计算机数据的丢失。
• 该病毒的传播占全球电子邮件通信量的20 ％—30％，超过了诸如SoBig等蠕虫的传播速 度。该病毒已超过“冲击波”成为最厉害的 病毒。 • 从查杀MyDoom病毒本身来说，并不复杂。 不像查杀 Slammer病毒，用户需要下载补丁 程序，对MyDoom病毒，只需要升级病毒代 码就可以了。目前，许多反病毒公司都已经 研究出了病毒代码，用户只要升级了代码， 并在邮件服务器中安装邮件反病毒软件，就 能将该病毒消除。 • MyDoom病毒的意义不在于病毒本身，而在 于它从此将开创一个病毒智能化的时代。这 是许多信息安全专家最为担心的事情。
• 该病毒还会通过写共享文件夹的方式疯狂感 染局域网，造成整个网络病毒泛滥。 • 该病毒感染系统中的可执行文件，将自身代 码插入到被感染文件中，造成所有可执行文 件被改写，使系统运行速度变慢。 • 该病毒是继“中国黑客”之后的又一个混合 型病毒，它集文件感染、局域网传播和邮件 传播多种特性于一体，因此传播范围广、破 坏性大，感染该病毒后很难象清除以往病毒 那样进行手工清除。
Hotmail蠕虫(Worm.Hotmatom)
• 病毒感染计算机后，会把自己复制到“windows”目 录下，病毒文件名为“dho.exe”。 • 病毒会修改注册表，每次打开计算机后都自动运行， 然后在后台监视用户的IE浏览器。当用户登陆到 MSN Hotmail发送邮件时，病毒会在发送的邮件后 插入病毒文字和链接：“Hi, Happy San Valentin Day Download you Postcards from http://***.miarroba.com（情人节到了，去**网站下 载贺卡吧）”，用户点击该链接后就会中毒。 • 对付：平时打开杀毒软件的实时监控并升级到最新 版本查杀此类病毒，对于可疑的链接不要随便点击。
• 破坏：
– 感染Win32文件。病毒会感染部分系统目录或 Program Files里的特定可执行程序，scandskw.exe； regedit.exe；mplayer.exe； Internet Explorer\iexplore.exe等。 – 释放黑客后门程序。该变种病毒在激活时会释放 后门程序记录宿主机的键盘击键操作，同时在本 地系统监听1080端口，等待控制台端的连入，连 接成功后宿主机即被黑客远程控制。 – 利用邮件和共享强烈传播。该变种病毒会试图从 后缀后为.mmf,.nch,.mbx,.eml,.tbb,.dbx,.ocs的文件 中搜出Email地址进行邮件传播。该变种病毒可搜 索局域网内的共享资源，并把自己复制到对方系 统开始菜单的启动项目录中。这样一来，用户下 次开机时病毒就被触发。
计算机病毒
MyDoom病毒
• 2004年1月26日，一种新的病毒—MyDoom开始通过 邮件传播，并对SCO、微软和波音等大公司的网站发 起DDoS攻击。造成了一些大型公司，比如波音公司、 SCO公司网络的瘫痪，但就像 2003年1月25日的 Slammer病毒一样，由于MyDoom正值中国的春节期 间爆发，当时并未给中国的企业造成巨大损失。 • 网速极慢，无法接收邮件，而且持续的时间相当长。 • 该病毒已经引起了国际反病毒厂商的高度重视，NAI 公司已经将 MyDoom病毒设置为“高危险级别” 。 • MyDoom病毒从破坏性和实现原理上都没有超过 Slammer，它不是利用系统的漏洞，而纯粹是邮件病 毒，但是，其编写技术却发生了重大改变，使得病毒 呈现新的特征----病毒开始智能化!
– 如果你在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护你 的 Internet 连接，则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
2． 禁用所有受影响的计算机上的 DCOM
– 如果一台计算机是一个网络的一部分，则该 计算机上的 COM 对象将能够通过 DCOM 网 络协议与另一台计算机上的 COM 对象进行 通信。您可以禁用特定的计算机上的 DCOM， 帮助其防范此漏洞，但这样做会阻断该计算 机上的对象与其他计算机上的对象之间的所 有通信。
假“安全补丁”是病毒！
如果现在收到所谓微软公司的系统安全补丁，千 万不要打开！被称为“嘲笑（Gibe ）”和“斯文” （Swen）的新电脑病毒已被检测到，该病毒假冒 安全补丁以电子邮件附件形式迅速扩散。 每秒钟 能感染20台电脑。 该病毒是一种恶性蠕虫病毒，它将自己伪装成 微软的升级邮件来诱惑用户点击，在“冲击波” 病毒以后，出现了许多以打补丁为内容的邮件病 毒，都是将自己伪装成微软公司的补丁程序来进 行传播的，像“蓝盒子”、“V宝贝”和 “斯 文”，因此电脑用户一定要随时警惕并及时升级 杀毒软件防毒。
Trojan.PSW.Lmir
• 木马程序，一个以窃取“传奇”游戏的密码和帐号为 目的的木马病毒，该病毒能通过窗口标题，进程名关 闭一些反病毒软件，或防火墙软件 如：Symantec AntiVirus 、 天网防火墙个人版 、天网 防火墙企业版等。 • 病毒还会通过注册表搜索 “密码防盗专家 综合版” 并且在起安装目录下搜索文件PasswordGuard.exe然后 检查此文件是否已经运行，如果运行的话就将其强行 结束。 • 病毒的主要危害为盗取用户进行游戏时登录的游戏账 号密码并发送给病毒作者。
二、解决方案 1．终止该计算机病毒运行
病毒在内存中建立一个名为：“msblast”的进程，用户可 以用任务管理器将该病毒进程终止。打开WINDOWS任务 管理器，在运行的程序清单中查找进程“MSBLAST.EXE” 终止该进程的运行。 2．删除注册表中的自启动项 单击开始→运行，输入regedit命令，找到如下键值 HKEY_LOCAL_MACHINE>SOFTWARE>MICROSOFT> WINDOWS>CURRENTVERSION>RUN。在右边的列表 中查找并删除以下项目WINDOWS AUTO UPDATE= MSBLAST.EXE 3、手动删除该病毒文件 %systemdir%\msblast.exe “C:\Winnt\system32” “C:\Windows\system”或：
小不点木马程序 (TrojanDownloader.Small)
“冲击波(Worm.Blaster) ”病毒
该病毒于2003年8月11日发现，是一种新 型蠕虫病毒（WORM-MSBlast.A），已 经在国内互联网和部分专用网络上传播。 该病毒利用微软WINDOWS操作系统的 RPC漏洞，通过网络快速传播。病毒运 行时会不停地利用IP扫描技术寻找网络 上系统为Win2K或XP的计算机，找到后 就利用DCOM RPC缓冲区漏洞攻击该系 统，一旦攻击成功，病毒体将会被传送 到对方计算机中进行感染。
“百度文库怪”病毒
• 英文名称：Worm.Bugbear • 该变种病毒邮件的主题为英文信息，极力诱 惑邮件接收者打开附件。如果用户没有修补 漏洞，在预览邮件时也会触发病毒。该病毒 还会每20秒检查一次系统进程，当发现有反 病毒软件的进程存在时就会结束其进程。 • 由于病毒感染可执行文件，手工方法清除极 为困难。
一、"冲击波(Worm.Blaster)"蠕虫病毒症状：
– 1．电脑不能正常复制粘贴，WORD、EXCEL、 POWERPOINT等文件无法正常执行，弹出找不到 文件的对话框，一些软件功能无法正常使用。 – 2．系统网络连接数增大，系统反应奇慢，并可导 致计算机系统崩溃。 – 3． 病毒会对NT/2000/2003版本的windows的IIS服 务进行侵害，造成DCOM组件报错，导致WWW服 务瘫痪。 – 4． 弹出窗口提示“RPC服务终止，需要重新启动 计算机”。此病毒主要对windows2000/2003 server 版本危害比较大。 – 另外，该病毒还会对微软的一个升级网站进行拒绝 服务攻击，导致该网站堵塞，在8月16日以后，该 病毒还会使被攻击系统丧失更新该漏洞补丁的能力。
如果遭“嘲笑”和“斯文”袭击，用户打开电子邮 件便会弹出看起来像真的‘安装和更新’窗口，出 现如下对话框：“这将安装微软安全更新系统，你 希望继续吗？” • 即便用户点击“No”，病毒也会自己安装。当用户 运行该病毒时还会显示安装进度条，具有非常大的 迷惑性，在网络上泛滥后最终造成网络堵塞。病毒 对硬盘中的电子邮件地址进行搜索，大量复制发送， 并且试图使现有的防火墙和杀毒产品停止运作，使 用户电脑的安全防护失效，从而使用户将来再次受 到攻击。另外它还会实时自动统计已被感染电脑的 数量 。微软公司此前已经提醒用户小心电子邮件 病毒，并声明公司没有用电子邮件方式给用户提供 安全补丁，而是将补丁发送到公司网站由用户下载。 • “嘲笑”病毒还可以通过KaZaA音乐交流软件传播， 途径是自我复制到KaZaA共享文件夹中。