荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gordonlot (人渣有理), 信区: Virus
标 题: 近期的计算机热门病毒特征及防毒透视
发信站: 荔园晨风BBS站 (Tue May 14 12:54:01 2002), 转信
计算机病毒作为伴随计算机发展过程中的产物,从一诞生就像黑色的幽灵时常游
荡在计算机用户的身边,不仅侵害用户的计算机系统,还给广大的用户带来各种经
济损失。近日,计算机病毒再次肆虐全球,引起了人们的重视。据了解,一种新型
“求职信”变种病毒能够携带CIH1.2版本通过邮件向外大量传播,这种新的
变种病毒属于双重交叉感染的病毒,是一个CIH1.2版本包含在求职信病毒K
lez中来传播的情况;另外还有“CIH病毒”,该病毒将破坏硬盘数据甚至损
坏硬件;“求职信”新变种H,该病毒用户只要预览就可能感染
,它会自动搜索邮件地址传播自身。
尽管计算机专家一直提醒电脑个人及企业用户应当注意防范电脑病毒,但4.
26来临时电脑病毒还是阴魂不散,愈演愈烈,给用户带来了不少危害。如今,4
.26已过,但还是需要提醒广大用户要时刻警惕。下面我们就介绍一下这几种电
脑病毒的特征及防治方法。
目前大规模流行的“求职信”病毒新变种和原来的“求职信”病毒一样,通过邮件
进行传播,并具有七大特征:
1、“求职信”系列变种病毒利用微软系统的漏洞,可以自动感染,无须打开附件
,因此危害性很大。
2、这次的变种具有很强的隐蔽性,可以“随机应变”地自动改换不同的邮件主题
和内容,瓦解邮件接收者的警惕性。
3、在邮件内部存放发送信息的一部分,这些变种病毒会伪造虚假信息,掩盖病毒
的真实来源。
4、能够绕开一些流行杀毒软件的监控,甚至专门针对一些杀毒软件进行攻击。
5、除开可以在网络上利用邮件进行传播外,这些变种病毒还可以利用局域网上的
共享文件夹进行传染,其传播特点类似“尼姆达”病毒,因此对于某些不能查杀局
域网共享文件病毒的单机版杀毒软件,这将意味着在网络环境下,根本无法彻底清
除病毒。
6、目前已经开始在网络上出现的一些“求职信”变种的专杀工具,由于无法适用
于所有的变种,因此在杀除一些变种病毒时,会连病毒带文件一同删除,结果造成
杀病毒把电脑一起“杀死”的情况。
7、传统杀毒软件清除该病毒需要在DOS系统下进行。
需要注意的是:一旦该网络蠕虫被运行的话,大多数的反病毒软件会被自动终
止。那么如何预防和清除该病毒呢?
预防方法:要阻止该网络蠕虫利用电子邮件传播,用户必须安装相应的补丁程序,
下载地址如下:www.microsoft.com/technet/sec
urity/bulletin/MS01-020.asp。
在WINDOWS 9598ME系统下的清除:先运行在WINDOWS 9
598ME系统下的安全模式下,使用注册表编辑工具regedit将网络
蠕虫增加的键值删除: HKEY_LOCAL_MACHINESoftwar
eMicrosoft Windows Current VersionRu
n和HKEY_LOCAL_MACHINESystemCurrentCon
trolSetServices要删除的注册表项目是wink--?.exe
的键值。
同时还必须相应地将WINDOWS的SYSTEM目录下的该随机文件Wink
--﹖.exe删除注意还必须将回收站清空。删除了相应的病毒文件后,可以
重新启动计算机,然后,在KVW3000的安装目录下执行KVD3000.E
XE来清除该病毒。注意:一些全部是网络蠕虫的程序或者文件是需要按照提示完
全删除的。
2在Windows 2000XP系统下的清除
清除方法基本和Windows 9598ME系统下的清除方法相同:先以
安全模式启动计算机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:H
KEY_LOCAL_MACHINESystemCurrentContro
lSetServices要删除病毒增加的表项是:
wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的)
然后在系统目录下将该文件删除。注意该文件是隐含的,您必须打开显示所有文件
的选择项目才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_M
ACHINESoftwareMicrosoft WindowsCurre
ntVersionRun。从以上分析可以看出,该网络蠕虫的传播感染使用了
多种手段、方法,几乎覆盖所有目前流行的传播方式,建议用户及时升级自己的K
V3000查杀病毒软件来查杀该病毒。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefille
r、Win32.CIH、PE_CIH,它主要感染Windows95/98
下的可执行文件PE格式,Portable Executable Form
at,目前的版本不感染DOS以及WIN 3.X下的可执行文件,并且在W
in NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3
、v1.4总共5个版本,目前最流行的是v1.2版本。
CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏B
IOS程序,其发作特征是:
1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,
直到硬盘数据被全部破坏为止
。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。
2、某些主板上的Flash Rom中的BIOS信息将被清除。
感染CIH病毒的特征:
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过
搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CI
H v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“C
IH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1
.4 TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很多的
正常程序中也存在。它们的特征码正好是“CIH(0x43;0x49;0x4
8)”,容易产生误判。
具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具>查找
>文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”中输入查找
路径及文件名如:.EXE,然后在“高级>包含文字”栏中输入要查找的
特征字符串——“CIH v”,最后点取“查找键”即可开始查找工作。如果在
查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您的计算机上已经
感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SI
GNATUR字段,也就是 0x00004550,其代表的识别字符为“PE
00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,
如果为其他数值,则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段——“P
E00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8
33 DB 64,如果是,则表示此程序已被感染。
防治方法:由于CIH病毒发作时的破坏性是破坏硬盘数据和清除某些主板上的F
lash Rom中的BIOS信息,因此下面我们就介绍一下有关数据恢复的方
法。
对于硬盘数据恢复,瑞星为消费者提供了多种方法:
首先,可以直接使用瑞星杀毒软件来恢复。《瑞星杀毒软件2002版》和《瑞星
杀毒软件2002增强版》都具备了此项功能。当计算机遭到病毒侵害后,可以用
瑞星杀毒软件A盘来启动计算机,进入瑞星杀毒软件DOS版界面,选择“实用工
具”菜单中的“修复硬盘数据”选项,根据瑞星的提示,就可以很容易地对硬盘进
行恢复,恢复完毕后,重启计算机,数据将会失而复得。
其次,用户也可以登陆瑞星网站http//www.rising.com.
cn/register/hard/hard.htm,下载硬盘修复专用工具
ANTICIH.EXE 和 RAV.REC,将这两个文件拷贝到软盘的同一路
径下,用无毒的系统软盘启动计算机,运行软盘上的ANTICIH.EXE,该
程序将对硬盘进行扫描。扫描完成后,就可以根据提示,完成数据的恢复。需要指
出的是,如果用户的C盘是FAT16,而且破坏比较严重,修复时间可能比较长
。
“求职信”病毒h防治方法:
1、系统补丁
没有装IE6的装IE6, IE5/IE5.5太多漏洞,而且微软对它们更新
速度与关注程度不如IE6所以建议升级到IE6http//www.mi
crosoft.com/downloads/release.asp﹖Re
leaseID=32558 ,但是IE6漏洞也不少,所以装了IE6的也要
打补丁。
2000或NT的机器有IIS服务的话应先停止服务,打上补丁再启动。
IIS补丁http//www.microsoft.com/window
s2000/downloads/critical/q269862/def
ault.asp
如果嫌麻烦可以用windows update 有向导方式安装并时常用wi
ndows update检查更新。
2、提高邮件客户端安全级别
大家一般都是用Outlook Express收信,修改它的安全级别:工具
-设置-安全-安全区域-选择受限区域较安全。
Outlook与IE大同小异:工具-选项-安全-安全区域-受限区域(较安
全)。Foxmail中帐户属性-字体与显示-使用嵌入式IE浏览器显示ht
ml邮件,这个开关不要打开。
3、安装防毒软件
现在多数防毒软件都有邮件监控与病毒防火墙,最少安装一种,象金山毒霸,并打
开邮件监控与病毒防火墙。
4、时常更新防毒软件
装了防毒软件不更新的话只相当于关门只关一半所以更新防毒软件很重要,最好
是设置防毒软件自动更新。
虽然以上介绍的是这几种病毒的防治方法,我们建议广大用户:对于中毒不深的情
况,可采取以上我们介绍的几种方法;如果涉及到关键重要数据,请及时求助专业
人员和数据恢复公司;对于普通用户,可直接对硬盘进行分区重新安装操作系统;
对于被破坏的主板,如果是品牌主板,请与厂家联系。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店