五大计算机病毒简介
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
病毒特征
该蠕虫攻击安装有Microsoft SQL 的NT系 列服务器,该病毒尝试探测被攻击机器的 1434/udp端口,如果探测成功,则发送 376个字节的蠕虫代码。1434/udp端口为 Microsoft SQL开放端口。该端口在未打补 丁的SQL Server平台上存在缓冲区溢出漏 洞,使蠕虫的后续代码能够得以机会在被 攻击机器上运行并进一步传播。
冲击波2003
2003年8月11日,一种名为“冲击波” (Worm.Blaster)的电脑蠕虫病毒席卷全 球,瞬间造成大量电脑中毒,部分网络瘫 痪。“冲击波”病毒几乎能感染所有微软 “视窗”(Windows)操作系统。包括: WindowsNT4.0、Windows2000、 WindowsXP和Windows2003。
“求职信”病毒演变历程
2002年,1月 “求职信”(e /f /g版) “求职信”病毒的多个变种(Klez.e、Klez.f、Klez.g)集体出击。 在原病毒的基础上增加了更多的工作线程,可驻留系统、强行关闭用 户正在进行的正常操作、删除有用文件。已呈现恶性病毒的雏形。其 中的e版在每个单月6日这天爆发。Klez.e是有史以来互联网上传播速 度最快的病毒之一。 2002年,2月 “求职信”(h/i 版) 保留了以前版本的所有破坏伎俩,可破坏所有硬盘和网络盘,增加可 覆盖文件的类型。 2002年,4月16日 “求职信”(j/k 版) 具备对反病毒软件的反攻击能力、更大破坏性、以及高超的隐蔽特性, 由于该病毒程序存在缺陷,所以迅速转变为新的变种。 2002年,4月18日 “求职信”(l 版) 最新变体,迅速在全球扩散,势头凶猛异常,导致受害用户呈几何级 数直线上升。全球各反病毒机构均发出最高等级的病毒警报。
“求职信”病毒演变历程
2001年,10月 “求职信” 第一版“求职信”病毒,利用微软邮件系统自 动运行附件的安全漏洞,通过电子邮件传播,传 染能力极强。由于邮件中含有英文“我必须找到 一份工作来供养我的父母”的信息,故命名为 “求职信”病毒。它传染可执行文件,定时搜索 电脑中的所有文件,耗费大量系统资源,造成电 脑运行缓慢直至瘫痪。遇到单月13日时会自动发 作,将所有系统文件加长一倍,浪费大量硬盘空 间。 2001年,11月 “求职信”(b /c /d版) 结构基本与第一版相同,只是增加了一些更具 伪装性的邮件主题,破坏影响不大。
防范
安装微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3。 在防火墙或者路由器上阻塞外部对内的和 内部对外的UDP/1434端口的访问。 如果由于DoS导致系统反映缓慢,可先断 开网络连接,然后在Windows任务管理器 里面强行终止进程SqlServr.exe,在做过 相应的防范措施以后在SQL Server管理器 里面重新启动此服务。
清除方法
在Windows2000/XP系统下的清除。 清除方法基本和Windows95/98/ME系统下的清除方法 相同:先以安全模式启动计算机,运行注册表编辑工具, 同样删除该网络蠕虫增加的键值: HKEY_LOCAL_MACHINESystemCurrentControlSet Services,要删除病毒增加的表项是:wink开头的随机 的表项。当然你必须记住该项目的具体名称(虽然是随机 的),然后在系统目录下将该文件删除。注意该文件是隐 含的,您必须打开显示所有文件的选择项目才能查看该病 毒文件。同样的注册表项还有 HKEY_LOCAL_MACHINESoftwareMicrosoftWindow sCurrentVersionRun。
感染后的症状
莫名其妙地死机或重新启动计算机; IE浏览器不能正常地打开链接; 不能复制、粘贴; 有时出现应用程序,比如Word异常; 网络变慢; 最重要的是,在任务管理器里有一个叫 “msblast.exe”的进程在运行!
专攻微软漏洞
“冲击波”病毒是利用微软公司公布的Windows 操作系统RPC(Remote Procedure Call ,远 程过程调用)漏洞进行攻击和传染的。RPC是 Windows操作系统使用的一种远程过程调用协议, 它提供了一种远程间交互通信机制。通过这一机 制,在一台电脑上运行的程序可以顺畅地执行某 个远程系统上的代码。由于微软的RPC部分在通 过TCP/IP处理信息交换时存在一个漏洞,远程攻 击者可以利用这个漏洞以本地系统权限在系统上 执行任意指令。
预防方法
请尽快登陆微软网站下载相关补丁,为你 的系统打补丁。
尼姆达
2001年9月18日出现一种破坏力较强的新型病毒尼姆达 (W32.Nimda.A@mm),它在互联网上开始蔓延, Worms.Nimda是一个新型蠕虫,也是一个病毒,它通过 E-mail、共享网络资源、IIS服务器传播。同时它也是一 个感染本地文件的新型病毒。 这个新型W32.Nimda.A@mm蠕虫通过多种方式进行传 播,几乎包括目前所有流行病毒的传播手段: ①通过E-mail将自己发送出去; ②搜索局域网内共享网络资源; ③将病毒文件复制到没有打补丁的微软(NT/2000)IIS 服务器; ④感染本地文件和远程网络共享文件; ⑤感染浏览的网页;
袭击对象
此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器, 包括安装了如下程序的系统: Microsoft SQL Server 2000 SP2 Microsoft SQL Server 2000 SP1 Microsoft SQL Server 2000 Desktop Engine Microsoft SQL Server 2000 Microsoft Windows NT 4.0 SP6a Microsoft Windows NT 4.0 SP6 Microsoft Windows NT 4.0 SP5 Microsoft Windows NT 4.0 Microsoft Windows 2000 Server SP3 Microsoft Windows 2000 Server SP2 Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP3 Microsoft Windows 2000 Advanced Server SP2 Microsoft Windows 2000 Advanced Server SP1 。
预防与清除
建议用户立即到微软的站点去下载并安装该漏洞 的补丁;立即升级反病毒软件的病毒数据库;打 开个人防火墙屏蔽端口:5554和1068,防止名 为avserve.exe的程序访问网络。 如已经感染,应立刻断网,手工删除该病毒文件, 然后上网下载补丁程序,并升级杀毒软件或者下 载专杀工具。手工删除方法:查找该目录 C:\WINDOWS目录下产生名为avserve.exe的 病毒文件,将其删除。
病毒特征
该病毒会通过FTP的5554端口攻击电脑,一旦攻击失败, 会使系统文件崩溃,造成电脑反复重启;病毒如果攻击成 功,会将文件自身传到对方机器并执行病毒程序,然后在 C:\WINDOWS目录下产生名为avserve.exe的病毒体, 继续攻击下一个目标,用户可以通过查找该病毒文件来判 断是否中毒。 “震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算 机进行攻击,并会打开FTP的5554端口,用来上传病毒文 件,该病毒还会在注册表HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run中建立: "avserve.exe"=%windows%\avserve.exe的病毒键 值进行自启动。
CodeRedII(红色代码II)
Code Red蠕虫能够迅速传播,并造成大范围的访问速度下降甚 至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的 其他服务器进行攻击,被攻击的服务器又可以继续攻击其他服务器。 在20~27日,向特定IP地址 198.137.240.91()发动攻击。病毒最初于 2001年7月19日首次爆发,7月31日该病毒再度爆发,但由于大多 数计算机用户都提前安装了修补软件,所以该病毒第二次爆发的破坏 程度明显减弱。 Code Red采用了一种叫做"缓存区溢出"的黑客技术,利用网络 上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用 服务器的端口80进行传播,而这个端口正是WEB服务器与浏览器进 行信息交流的渠道。Code Red主要有如下特征:入侵IIS服务器, Code Red会将WWW英文站点改写为“Hello! Welcome to ! Hacked by Chinese!”; 与其他病毒不同的是,Code Red并不将病毒信息写入被攻击服 务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务 器的网络连接攻击其他的服务器。
预防与清除
Windows 2002补丁3 sp3 132M Windows XP 补丁 la 143M “冲击波”Windows2000微软补丁 “冲击波”WindowsXP微软补丁 Xp sp1
蠕虫王2003
2003年1月25日,互联网遭遇到全球性的 病毒攻击。这个病毒名叫 Win32.SQLExp.Worm,病毒体极其短小, 却具有极强的传播性,导致全球范围内的 互联网瘫痪,中国80%以上网民受此次全 球性病毒袭击影响而不能上网,很多企业 的服务器被此病毒感染引起网络瘫痪。而 美国、泰国、日本、韩国、马来西亚、菲 律宾和印度等国家的互联网也受到严重影 响。
预防与清除
要阻止该网络蠕虫利用电子邮件传播,用户必须安装相应 的补丁程序。 在WINDOWS95/98/ME系统下的清除:先运行在 WINDOWS95/98/ME系统下的安全模式,使用注册表 编辑工具regedit将网络蠕虫增加的键值删除: HKEY_LOCAL_MACHINESoftwareMicrosoftWindow sCurrentVersionRun 和 HKEY_LOCAL_MACHINESystemCurrentControlSet Services要删除的注册表项目是wink_?.exe的键值。同 时还必须相应的将WINDOWS的SYSTEM目录下的该随 机文件Wink_?.exe删除,注意还必须将回收站清空。
病毒特征
该蠕虫感染运行Microsoft Index Server 2.0的系统, 或是在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统。该蠕虫利用了一个缓冲区溢 出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变得不安全)。蠕虫只存 在于内存中,并不向硬盘中拷贝文件。 蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞, 蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓 冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。 一旦感染了当前的系统,蠕虫会检测硬盘中是否存在 c:\notworm,如果该文件存在,蠕虫将停止感染其他主 机。
红色代码
名称:Code Red 发现日期:2001/7/18 别名:W32/Bady.worm 2001年8月初,该病毒开始在我国互联网登陆并 且迅速蔓延。 这种集病毒、蠕虫、木马、黑客程序于一身的恶 意代码,能主动搜索、感染和攻击安装IIS(一种 微软的WEB服务器产品)系统的微软Windows 2000和NT操作系统,取得系统的控制权,进而 泄漏系统中的文件并同时导致网络通信与网络信 息服务的拥塞直至瘫痪。
常见 冲击波 蠕虫王 求职信 红色代码 尼姆达
震荡波
2004年“五一”黄金周第一日,一个新的 病毒——“震荡波(Worm.Sasser)”开始在 互联网上肆虐。该病毒利用Windows平台 的Lsass漏洞进行传播,中招后的系统将开 启128个线程去攻击其他网上的用户,可造 成机器运行缓慢、网络堵塞,并让系统不 停地进行倒计时重启。其破坏程度有可能 超过“冲击波”。