查看完整版本: 各种流行病毒防范和清除方法

各种流行病毒防范和清除方法

　　正如前面所说，要远离病毒，要及时发现病毒，这都需要用户对病毒有一定了解。当然要像专业人员那样对所有病毒了如指掌是不切实际的。下面我们对一些流行病毒进行介绍，同时告诉大家防范和清除病毒的方法。感谢金山毒霸反病毒研究中心提供主要技术资料。
--------------------------------------------------------------------------------
　病毒名称:Nimda（尼姆达）
  
　　病毒类型:蠕虫病毒
  
　　病毒传播途径及发作描述:
  
　　病毒通过E-mail传播，当用户邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，用户使用Outlook、Outlook Express（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒就已经在不知不觉中执行了。病毒执行时会将自己复制到临时目录，再运行临时目录中的副本。病毒还会在Windows的System目录中生成load.exe文件，同时修改System.ini中的shell，将 shell=explorer.exe改为explorer.exe load.exe -dontrunold，使病毒在下次系统启动时仍然被激活。另外，在System目录下，病毒还会生成一个副本: riched20.dll。 riched20.dll本来就存在于Windows系统中，病毒产生的副本会将原文件覆盖。为了通过邮件将自己传播出去，病毒使用了MAPI函数读取用户的E-mail并从中读取SMTP地址和E-mail地址。病毒还在Windows的临时目录下生成一个eml格式的临时文件，大小为79225字节，该文件已经用BASE64编码将病毒包含进去。病毒会用取得的地址将带毒邮件发送出去。
  
　　病毒的第二种传播途径就是使用了IIS的UNICODE漏洞。
  
　　病毒的第三种传播途径是通过局域网的共享，传播到其他Windows系统下。
  
　　NimdaII是从尼姆达恶意病毒改写来的一种新变种。该变种没有像其他几种变种病毒一样经过压缩，其编写技巧与最初版的尼姆达（Nimda.A）相同，只是它通过一个名为SAMPLE.EXE的文件进行自我传播。
  
　　判断系统是否容易感染尼姆达病毒: 金山公司反病毒中心利用该病毒的感染原理制作了系统安全在线测试，读者可前往[url]http://www.iduba.net/[/url] resource/special/Concept/test/StartTst.htm进行测试。整个测试包括一个网页文件(.html)和一个名称为 TestEml.eml 的邮件文件。如果系统未经您的任何确认直接弹出一个金山公司反病毒警告窗口（见图），则表明您的系统存在安全漏洞。此时建议你前往微软网站进行系统升级。请注意，如出现空白页面则表示你的系统没有漏洞。
  
　　防杀方法:
  
　　1.为防止计算机通过E-mail渠道被感染，需要升级您的Internet Explorer，并且为系统打上必要的补丁。下载地址:[url]http://www.microsoft.com/china/security/[/url] Bulletins/nimda.asp。
  
　　2.关闭所有计算机的权限，防止病毒通过文件共享进行传播。
  
　　3.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　4.如果已经感染病毒，需要断掉一切网络连接，然后使用杀毒软件杀毒。如果是在局域网中，必须确定局域网中每一台计算机都被清除以后，才能重新连上网络。
  
　　5.下载金山公司的尼姆达专杀工具——Duba_Concept，文件大小，适用平台:Windows 9x/Me/2000/NT，下载地址:[url]http://www.iduba.net/download/othertools/[/url] Duba_Concept.EXE。
--------------------------------------------------------------------------------
  
　　病毒名称:SirCam（齿轮先生）
  
　　病毒类型:蠕虫病毒
  
　　病毒传播途径及发作描述:
  
　　w32.sircam病毒是一种首发于英国的恶性网络蠕虫病毒，它主要通过电子邮件附件进行传播，一旦打开邮件的附件，该文档会被拷贝到C:\Recycled目录下，接着病毒会复制自身到C:\Recycled下，名为SirC32.exe，并创建注册表键值，使所有exe文件运行时都加载该病毒。同时还会随意选择机器硬盘中的文件向外发送，导致机器内的重要文件对外公开。该病毒在10月16日删除系统盘的文件。还会在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。
  
　　SirCam的病毒传播还有以下几种方式:
  
　　病毒从两种渠道获取邮件地址:1.按照注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\　　CurrentVersion\Explorer\Shell Folders\Startup\Cache 指定的路径搜索下列文件: sho*、get*、hot*、*.htm,并将邮件地址拷贝到%Windows%\sc??.dll (其中？代表随机的数字或字母)。2.搜索所有驱动器，寻找*.wab文件（ Windows地址簿）并拷贝其中的邮件地址。在获得邮件地址后，将病毒文件发送出去。
  
　　病毒会共享驱动器，并且搜索所有共享驱动器，将蠕虫复制到该驱动器中。当蠕虫执行8000次后，会停止执行。
  
　　防杀方法:
  
　　1.由于没有固定主题或附件名称，病毒会在中毒电脑中随机寻找“我的文件夹”中的一个文件变换身份，惟一可以辨认的就是邮件内文第一句为“Hi! how are you?”，结尾则为“See you later. Thanks”。千万不要打开这样的邮件附件。
  
　　2.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　3.手工清除病毒的方法:
  
  
　　清空回收站，因为Sircam.sys文件将隐藏在回收站中。在DOS模式下打开Autoexec.bat文件，如果有如下字段则删除“@win \recycled\sirc32.exe”。
  
　　更改注册表编辑器名称，将regedit.exe改名为 regedit.com（因为此种病毒在每运行一次exe文件的同时都会发作一次进入DOS模式），键入“copy regedit.exe regedit.com”。
  
　　进入注册表编辑器后，查找主键:HKEY_CLASSES_ROOT\exefile\shell\open\command 删
除其原有键值，并将其键值改为 "%1" %* 。查找主键 HKEY_LOCAL_MACHINE\Software\SirCam 并将其删除，查找主键 HKEY_LOCAL_MACHINE\Software\
  
　　Microsoft\Windows\CurrentVersion\RunServices，在其右侧的面板中，如果有Driver32，将其删除。
  
　　4.使用金山公司的SirCam专杀工具——Duba_Sircam，也称CleanSircam与KillSircam，文件大小: 94.5K，适用平台:Windows 9x/Me/2000/NT，下载地址: [url]http://www.iduba.net/download/other/Duba_Sircam.EXE。[/url]
--------------------------------------------------------------------------------
  
　　病毒名称:WantJob（求职信）
  
　　病毒类型:蠕虫病毒
  
　　病毒传播途径及发作描述:
  
　　该病毒通过电子邮件传播，邮件的主题是不定的，附件的名称也是随机的。如果用户使用微软的Outlook收发电子邮件，那么在预览含有该病毒的邮件时，病毒已经被执行。病毒一旦运行，将在C:\Windows\System下生成两个隐含文件Krn132.exe和Wqk.exe，修改注册表，同时感染PE文件和.scr文件。一旦感染此病毒，系统将变得非常缓慢，并且该病毒还可以通过Outlook地址簿中的邮件地址自动将病毒传播给其他用户。
  
　　病毒发作的情况大致如下: 病毒首先将自己要用到的字符串解码。启动一个线程不停地查询内存中的进程，检查是否有一些杀毒软件存在（如AVP/NAV/NOD/Macfee等），如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。接着病毒启动另一个线程，用来创建一个名为WQK.EXE的文件，运行、拷贝到的目录，然后将自身复制<%windows%>的<%system%>到的目录。然后修改注册表，使自己在每次系统启动时都自动运行，同时将自己注册为系统的服务进程。启动一个线程用于发送邮件，病毒利用Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行。病毒感染网上邻居的线程，该线程发现可写的共享目录时，会随机生成一个文件名，并将病毒自身进行加密，用该文件名将病毒复制过去，然后睡眠8小时再感染一次。病毒会进入循环，检查本地的时间，如果时间为单月13日，则马上启动26个破坏线程，该线程查找硬盘上的所有文件，并用内存中的数据覆盖硬盘上的文件。
  
　　防杀方法:
  
　　1.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　2.升级IE或为IE打补丁。
  
　　3.使用专杀工具——Duba_WantJob，文件大小: 154K，适用平台: Windows 9x/Me/2000/NT，下载地址: [url]http://www.iduba.net/download/othertools/Duba_WantJob.[/url] EXE。
  
  
--------------------------------------------------------------------------------
  
　　病毒名称:Funlove（欢爱）
  
　　病毒类型:文件型
  
　　病毒传播途径及发作描述:
  
　　Funlove病毒是一个Win32pe病毒，因病毒体内含有字符串“~Fun Loving Criminal~”而命名为Funlove病毒。属驻留内存、感染文件型，感染EXE、SCR、OCX三种类型的文件，被感染文件增长4099字节，病毒进驻系统后将会在Windows的System目录下建立flcss.exe文件，大小为 4608字节。
  
　　Funlove病毒可以通过局域网进行传播，当染毒程序运行后，该病毒将创建一份名为“flcss.exe”的文件，放在当前Windows系统的System目录下（NT系统中为System32），并同时开启一个线程进行自身的传染，被感染的宿主程序运行时几乎没有时间延迟。病毒的感染部分代码将搜索所有本地驱动器（从C:到Z:）以及网络资源（局域网上的共享文件夹），在其中搜索带有EXE、SCR、OCX扩展名的文件，验证后进行感染。该病毒比较奇怪的地方是在感染前会先判断文件名称开头几个字母是否是AMON、AVP3、_AVP、F_PR*、NAVW*、SCAN*等等，如果是则不感染。
  
  
　　防杀方法:
  
　　1.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　2.使用专门查杀Funlove病毒的小工具—— KillFunlove，文件大小: 88K，适用平台: Windows 9x/Me/2000/NT，地址: [url]http://www.iduba.net/download/other/KillFunlove.EXE。[/url]
  
--------------------------------------------------------------------------------
　　病毒名称:Happytime(欢乐时光)
  
　　病毒类型:脚本病毒
  
　　病毒传播途径及发作描述:
  
　　VBS.Happytime是一个感染VBS、html和脚本文件的脚本类病毒。该病毒采用VBScript语言编写，它既可以电子邮件的形式通过互联网进行传播，也可以在本地通过 文件进行感染。病毒会破坏html、htm、htt、vbs和 asp文件的内容(被修改成病毒代码)，大量散发病毒邮件，逐次删除C盘上可执行文件，修改桌面墙纸的设置，破坏Windows资源管理器中缺省的Web视图。
  
　　防杀方法:
  
　　1.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　2.手工清除病毒方法:
  
　　检查C:\Help.htm、C:\ 盘第一个子目录下的Help.vbs和Help.hta、%Windows% 目录下Help.htm或者与原墙纸文件同名的html格式文件，若其中含有Rem I am sorry!
happy time字符串，表示该文件已经含病毒，直接删除该文件。检查C盘上所有vbs、html或者asp文件，若含有Rem I am sorry! happy time 字符串，则删除该文件。检查 %Windows%\Web 目录下所有 vbs、 html、 htt 和 asp文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件。删除 HKEY_CURRENT_USER\Software 下 Help 项。删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
  
　　3.清除HappyTime病毒的小程序——ScanHappy，文件大小: 40K，适用平台: Windows 9x/2000/NT，地址:[url]http://www.iduba.net/download/other/ScanHappy.EXE。[/url]
  
  
--------------------------------------------------------------------------------
  
　　病毒名称:CodeRed、CodeRed2(红色代码、红色代码II)
  
　　病毒类型:蠕虫病毒
  
　　病毒传播途径及发作描述:
  
　　CodeRed采用了一种叫做“缓存区溢出”的黑客技术，利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。 CodeRed主要有如下特征:入侵IIS服务器，CodeRed会将WWW英文站点改写为"Hello! Welcome to [url]www.Worm.com[/url]! Hacked by Chinese!"。与其他病毒不同的是，CodeRed并不将病毒信息写入被攻击服务器的硬盘，它只是驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其他的服务器。
  
　　“红色代码2”是“红色代码”的改良版，病毒作者对病毒体做了很多优化，同样可以对“红色代码”病毒可攻击的联网计算机发动进攻，但与“红色代码”不同的是，这种新变种不仅仅只对英文系统发动攻击，而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊
木马”，使得被攻击的机器“后门大开”。“红色代码2”拥有极强的可扩充性，通过程序自行完成木马植入工作，使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时，病毒将强行重启计算机。
  
　　判断您的系统是否已被感染:
  
　　1.如果系统已被CodeRed蠕虫病毒感染，主页将无法正常显示，而被代之以“Hacked by Chinese（已遭中国人入侵）”的提示信息。
  
　　2.如果您的服务器被更新的CodeRed II（红色代码II）蠕虫病毒感染，将在硬盘上发现　　　　C:/Inetpub/scripts/root. exe文件（如果除了C盘外还使用其他硬盘，则应对它们一并执行检测）。
  
　　防杀方法:
  
　　1.开启杀毒软件中的实时防病毒功能，可以防止病毒的感染。
  
　　2.红色代码专杀工具——Duba_CodeRed2，文件大小: 94.5K，适用平台: Windows 9x/Me/2000/NT，下载地址: [url]http://www.iduba.net/download/other/Duba_CodeRed2.EXE。[/url]