18、第十八章 電腦病毒

第十八章電腦病毒第十八章電腦病毒一、計算機病毒的定義和特征:

1、定義：指能夠通過自身復(fù)制、傳染而起破壞作用的一種計算機程序2、特征：2.1傳染性：自行復(fù)制傳染并感染其他文件。2.2危害性：破壞系統(tǒng)，修改數(shù)據(jù)等2.3隱蔽性：沒有或不易找出文件名2.4可觸發(fā)性：悄悄感染，當(dāng)滿足條件時才顯示病毒程序2.5欺騙性：用欺騙的手段寄生在其它文件之上2.6不可預(yù)見性

：先有病毒,才有殺毒軟件

第十八章電腦病毒二、計算機病毒的分類：1、操作系統(tǒng)型病毒（引導(dǎo)病毒）病毒作為系統(tǒng)的一個模塊運行，激發(fā)后，病毒工作2、文件型病毒：寄生在文件上，裝載文件時，首先運行病毒，然后再運行指定的文件3、復(fù)合型病毒：既感染文件，又感染引導(dǎo)區(qū)4、宏病毒

：針對Office的

5、電子郵件病毒

：針對電子郵件

三、計算機病毒的模塊和機理:病毒程序安裝模塊感染模塊破壞模塊機器啟動安裝調(diào)用文件安裝病毒程序常駐內(nèi)存感染控制部份感染判斷部份感染操作部份激發(fā)控制部分破壞操作部份第十八章電腦病毒第十八章電腦病毒2、機理：2.1引導(dǎo)型：通過搶占系統(tǒng)引導(dǎo)扇區(qū)，計算機啟動時搶先運行，滿足條件就工作。2.2文件型：病毒附在可執(zhí)行文件之上，將此文件讀入內(nèi)存時病毒程序首先運行，開始工作.3、各模塊的工作：3.1安裝模塊：引導(dǎo)型：機器啟動時首先運行引導(dǎo)扇區(qū)中的程序，病毒放在此處執(zhí)行文件型：病毒附在可執(zhí)行文件上,調(diào)用文件時病毒首先進入內(nèi)存并駐留3.2感染模塊：感染控制：病毒有一控制條件，滿足就感染感染判斷:病毒有一標記，感染時的標記感染操作：滿足條件就進行感染操作第十八章電腦病毒四：電腦病毒的基本規(guī)律和現(xiàn)象1、內(nèi)存少了1KB2、引導(dǎo)扇區(qū)被強占3、文件被加長4、機器運行有問題：運行速度慢：病毒竊取CPU時間第十八章電腦病毒現(xiàn)象：

病毒被放在磁盤的引導(dǎo)扇區(qū)或可執(zhí)行文件后面，病毒程序被駐留在內(nèi)存的高端，且被保護，每個病毒有一標記，感染時通過修改磁盤的讀寫地址，感染病毒。運行慢，文件加長，屏幕可能出現(xiàn)一些非法畫面五、病毒防范:1、切斷傳播路徑

2、減少PC交叉使用第十八章電腦病毒3、軟件備份4、冷靜診治5、防病毒軟件第十八章電腦病毒六、殺毒軟件的功能和機理

:1、功能：備份主引導(dǎo)區(qū)快查內(nèi)存自我檢查、修復(fù)、自我解除自身感染的病毒檢測、修復(fù)、重建硬盤分區(qū)表功能機器不啟動：引導(dǎo)扇區(qū)被感染讀盤時間長：病毒要感染磁盤上所有可執(zhí)行文件設(shè)置Virus.dat(庫文件)存放病毒特征檢查代碼:庫文件向殺毒執(zhí)行文件提供已知病毒殺除代碼:根據(jù)代碼、發(fā)現(xiàn)病毒、殺除七、殺毒軟件的使用：殺毒軟件：瑞星殺毒KV殺毒王金山毒霸2、殺毒機理：第十八章電腦病毒瑞星殺毒軟件：1、實時監(jiān)控“防火墻功能”。2、可以檢測壓縮和解壓文件格式3、完全修復(fù)病毒破壞的硬盤數(shù)據(jù)4、可以清除“黑客”程序黑客：指侵入者或侵入行為5、解決“宏病毒”問題可以區(qū)分病毒宏和正常宏6、定時預(yù)約查毒7、提供檢查結(jié)果報告和實時監(jiān)控技術(shù)第十八章電腦病毒病毒一、"沖擊波"電腦病毒沖擊全球染病癥狀：電腦反復(fù)重啟(圖文)這是彈出ＲＰＣ服務(wù)終止的對話框的現(xiàn)象。沖擊波”病毒感染系統(tǒng)后，會使計算機產(chǎn)生下列現(xiàn)象：計算機中Ｗｏｒｄ、Ｅｘｃｅｌ、Ｐｏｗｅｒｐｏｉｎｔ等文件無法正常運行，有時會彈出ＲＰＣ服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴重影響，ＤＮＳ和ＩＩＳ服務(wù)遭到非法拒絕等。利用shutdown命令：在“開始” “運行”中輸入“shutdown–a”即可病毒二、震蕩波病毒：這兩天振蕩波病毒很厲害，各位當(dāng)心，如果出現(xiàn)下列癥狀（一個就夠了），請務(wù)必注意查殺病毒：

1、莫名其妙地死機或重新啟動計算機；

2、任務(wù)管理器里有一個叫"avserve.exe"、"avserve2.exe"或者"skynetave.exe"的進程在運行；

3、在系統(tǒng)目錄下，產(chǎn)生一個名為avserve.exe、avserve2.exe、skynetave.exe的病毒文件；

4、最系統(tǒng)速度極慢，cpu占用100%。

【>>快速判斷感染"震蕩波"病毒四招】應(yīng)對方法一：1、使用專殺工具：a、清除內(nèi)存中的病毒進程

要想徹底清除該病毒，應(yīng)該先清除內(nèi)存中的病毒進程，用戶可以按CTRL+SHIFT+ESC三或者右鍵單擊任務(wù)欄，在彈出菜單中選擇“任務(wù)管理器”打開任務(wù)管理器界面，然后在內(nèi)存中查找名為“avserve.exe”的進程，找到后直接將它結(jié)束。

b、刪除病毒文件

病毒感染系統(tǒng)時會在系統(tǒng)安裝目錄（默認為C:\WINNT）下產(chǎn)生一個名為avserve.exe的病毒文件，并在系統(tǒng)目錄下(默認為C:\WINNT\System32)生成一些名為<隨機字符串>_UP.exe的病毒文件，用戶可以查找這些文件，找到后刪除，如果系統(tǒng)提示刪除文件失敗，則用戶需要到安全模式下或DOS系統(tǒng)下刪除這些文件。c、刪除注冊表鍵值該病毒會在電腦注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項中建立名為“avserve.exe”，內(nèi)容為：“%WINDOWS%\avserve.exe”的病毒鍵值，為了防止病毒下次系統(tǒng)啟動時自動運行，用戶應(yīng)該將該鍵值刪除，方法是在“運行”菜單中鍵入“REGEDIT”然后調(diào)出注冊表編輯器，找到該病毒鍵值，然后直接刪除2、下載微軟補?。ㄕ垟嗑W(wǎng)打補?。篧indowsNT4.0Server：【中文版】【英文版】（推薦SP6以上版本，先安裝SP6）

Windows2000：【中文版】【英文版】（推薦SP3以上版本，先安裝SP3）

WindowsXP：【中文版】【英文版】

Windows2003Server：【中文版】【英文版】3、建議安裝防火墻，我自己使用的是NortonInternetSecurity感染震蕩波病毒的計算機有如下癥狀：1.在注冊表主鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加如下鍵值:avserve.exe=%SystemRoot%\avserve.exe2.拷貝其本身至系統(tǒng)目錄：%System%\<5位隨機數(shù)字>_up.exe；3.在C盤根目錄創(chuàng)建以下文件：C:\win.log(該文件用以記錄本地主機的IP地址)；4.該病毒會監(jiān)聽以1068起始的TCP端口，同時掃描隨機的IP地址；5.它還會開啟TCP端口5554來建立一個FTP服務(wù)器，用于傳播病毒本身；6.由于該病毒本身編寫的漏洞存在，它運行一段時間后會導(dǎo)致LSASS.EXE的崩潰，當(dāng)LSASS.EXE崩潰時系統(tǒng)默認會重啟。病毒三、愛情后門病毒介紹：該病毒群于2月25日被瑞星公司率先截獲，集蠕蟲、后門、黑客于一身，通過病毒郵件進行郵件傳播，通過建立后門給用戶的計算機建立一個泄密通道，通過放出后門程序與外界遠程木馬溝通，通過放出盜竊密碼程序主動盜竊計算機密碼，通過遠程瘋狂傳播局域網(wǎng)，最終導(dǎo)致所有計算機用戶受到病毒控制，網(wǎng)絡(luò)癱瘓、信息泄露等嚴重后果。

病毒的發(fā)現(xiàn)與清除：此病毒會有如下特征，如果用戶發(fā)現(xiàn)計算機中有這些特征，則很有可能中了此病毒，可以按照下面所說的方法手工清除“愛情后門（Worm.Lovgate.a/b/c/d/e）”病毒。1.病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒體,可以在系統(tǒng)盤上查找這些文件，找到后將這些文件刪除。

3.病毒會利用ipc$命名管道進行g(shù)uest和Administrator賬號的簡單密碼試探，如果成功將自己復(fù)制到對方的sytem32目錄中，命名為：stg.exe，并注冊成WindowRemoteService服務(wù),同時放出一個名為win32vxd.dll的盜密碼文件，以盜取用戶密碼,用戶可以在系統(tǒng)中查找這兩個文件，找到直接刪除。2.當(dāng)用戶系統(tǒng)為9X系統(tǒng)時，病毒會修改啟動文件win.ini，在其中加入run=rpcsrv.exe項，用戶可以用記事本程序?qū)⒃撐募蜷_，將這一病毒項刪除。

4.病毒不停地搜索網(wǎng)絡(luò)資源，導(dǎo)致整個局域網(wǎng)資源被占用，如果發(fā)現(xiàn)有共享目錄，則將自身復(fù)制過去，病毒文件名有以下幾種可能：humor.exe,fun.exe,docs.exe，s3msong.exe，midsong.exe，billgt.exe，Card.EXE，SETUP.EXE，searchURL.exe，tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe，joke.exe,images.exe,pics.exe,局域網(wǎng)的用戶如果在共享目錄中發(fā)現(xiàn)有這些文件，請直接刪除。

5.病毒會搜索系統(tǒng)中的*.ht*中的email地址，找到后，病毒就利用MAPI功能，向外不斷發(fā)送病毒郵件，郵件標題隨機從以下字符串中選出：

Cracks!

Thepatch

LastUpdate

TestthisROM!ITROCKS!.

Adultcontent!!!Usewithparentaladvi

Checkourlistandmailyourrequests!

Ithinkallwillworkfine.

Sendreplyifyouwanttobeofficialb

Testit30daysforfree.

當(dāng)用戶發(fā)現(xiàn)有這樣標題的信件時，不要隨便觀看這些郵件，最好直接將這些郵件刪除，以防止病毒運行。6.為了能徹底清除該病毒，最好能采用瑞星殺毒軟件2006版進行清除,對于有局域網(wǎng)的企事業(yè)單位，最好能采用網(wǎng)絡(luò)版查殺該病毒。為避免用戶遭受損失，瑞星公司已于截獲此病毒當(dāng)天就進行了緊急升級，瑞星殺毒軟件15.23.01及以上的版本可以自動截獲并清除此病毒，望廣大用戶及時升級。目前瑞星用戶只需及時升級手中的軟件即可徹底攔截“愛情后門（Worm.LovGate）”病毒。病毒四、CIH病毒

CIH病毒是一位名叫陳盈豪的臺灣大學(xué)生所編寫的，從臺灣傳人大陸地區(qū)的。CIH的載體是一個名為“ICQ中文Ch_at模塊”的工具，并以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當(dāng)然隨著時間的推移，其傳播主要仍將通過軟盤或光盤途徑。

CIH病毒，別名Win95.CIH\Spacefiller\Win32.CIH\PE_CIH等，屬文件型病毒，使用面向Windows的VxD技術(shù)編制，主要感染W(wǎng)indows

95/98下的可執(zhí)行文件，并且在DOS、Windows3.2及WindowsNT中無效。正是因為CIH病毒獨特地使用了VxD技術(shù)，使得這種病毒在Windows環(huán)境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。

第十八章電腦病毒CIH病毒出現(xiàn)至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破壞性，感染W(wǎng)indows

PE可執(zhí)行文件。v1.1版本能自動判斷運行系統(tǒng)，如是WindowsNT，則自我隱藏，被感染的文件長度并不增加。v1.2版本增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼，成為惡性病毒。感染ZIP自解壓包文件，導(dǎo)致ZIP壓縮包在解壓時出現(xiàn)錯誤警告信息，發(fā)作日是每年4月26日。v1.3版本不感染W(wǎng)INZIP類的自解壓程序，發(fā)作日改為每年6月26日。v1.4版本修改了發(fā)作日期及病毒的版權(quán)信息，發(fā)作日為每月26日。特征：該計算機病毒屬于W32家族，感染W(wǎng)indows95/98中以EXE為后綴的可行性文件。它具有極大的破壞性，可以重寫B(tài)IOS使之無用(只要計算機的微處理器是PentiumIntel430TX)，其后果是使用戶的計算機無法啟動，唯一的解決方法是替換系統(tǒng)原有的芯片（chip），該計算機病毒于4月26日發(fā)作，它還會破壞計算機硬盤中的所以信息。該計算機病毒不會影響MS/DOS、Windows3.x和WindowsNT操作系統(tǒng)。

第十八章電腦病毒

傳播途徑：CIH可利用所有可能的途徑進行傳播：軟盤、CD-ROM、Internet、FTP下載、電子郵件等。只有當(dāng)執(zhí)行受感染的文件時計算機病毒才會發(fā)作，否則計算機病毒將永遠處于潛伏狀態(tài)。癥狀：計算機病毒可能隱藏在任何以EXE為擴展名的可執(zhí)行文件中，但是，只有執(zhí)行這些文件，計算機病毒才會發(fā)作。一旦計算機病毒被激活（執(zhí)行了帶毒文件），計算機病毒就是進行破壞活動，有些是可見的，而另外一些則可能不被注意。第十八章電腦病毒

1、它會駐留內(nèi)存，這意味著Windows95/98系統(tǒng)調(diào)用任何（打開、關(guān)閉、重命名、復(fù)制或運行）以EXE為擴展名的文件時都會感染計算機病毒。2、覆蓋和重寫B(tài)IOS信息使之無法工作。

3、破壞硬盤中的所有信息（格式化硬盤）遭到計算機病毒破壞的計算機啟動時有如下提示?quot;DISKBOOTFAILURE，INSERTSYSTEMDISKANDPRESSENTER"。而且，如果用戶從軟盤引導(dǎo)并試圖訪問硬盤，就會出現(xiàn)如下信息"INVALIDDRIVESPECIFICATION"。該計算機病毒在其代碼中包含以下字符串"CIHv1.2TTIT"。

第十八章電腦病毒影響：該計算機病毒的第一個變種稱為CIHv1.3或CIH.1010，這個變種會在6月26日發(fā)作，它在其代碼中包含以下字符串：“CIHv1.3TTIT”。第二個變種稱為CIHv1.4或CIH.1019，它會在每個月的26日發(fā)作，具有極大的破壞性。它將刪除Flash-BIOS中的所有信息，因此會使計算機連系統(tǒng)盤都找不到，因為BIOS中已經(jīng)沒有執(zhí)行該功能的程序。但是，即使啟動了計算機，硬盤也找不到，因為硬盤信息也已丟失CHI.1019破壞硬盤信息的方式是重寫其中的內(nèi)容。這個變種在其代碼中包含以下字符串："CIHv1.4TATUNG"。

第十八章電腦病毒感染方式：CIH將自己的代碼放在硬盤受感染文件的可用扇區(qū)內(nèi)，因此這些文件的長度不會增加，達到了隱藏的目的。事實上，計算機病毒感染以EXE為擴展名的Windows可執(zhí)行文件的原因是這些文件內(nèi)有大量的可用扇區(qū)來隱藏計算機病毒代碼。CIH只影響32位文件，因此只限于Windows95/98系統(tǒng)。當(dāng)CIH計算機病毒進入內(nèi)