本文目录一览:
- 1、这个木马奇怪了
- 2、我中了一种奇怪的病毒,杀不掉的!!!怎么办啊!!
- 3、我从QQ里中了一种很奇怪的病毒,杀毒软件根本杀不了,怎么办啊?
- 4、历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗
- 5、特别奇怪的木马病毒!!!
这个木马奇怪了
这个木马替换了C:\WINDOWS\system32\notepad.exe
并切不让恢复,木马(特洛伊木马),也称为后门,英文叫做“Trojan house”,其名称取自希腊神话的《特洛伊木马记》,它是一种基于远程控制的黑客工具,木马的特性一般有:①包含于正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成:一个是服务器程序,一个是控制器程序。当你的计算机运行了服务器后,恶意攻击者可以使用控制器程序进入你的计算机,通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。
木马的种类:①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马,例如网络神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马,是最难对付的木马之一。⑨综合型。
想不中木马,先要了解木马植入的惯用伎俩(很多病毒的传播也是利用同样的手段,因为木马也算是病毒的一种):
1. 邮件传播:木马很可能会被放在邮箱的附件里发给你,当你在没采取任何措施的情况下下载运行了它,即便中了木马。因此对于带有附件的邮件,你最好不要下载运行,尤其是附件名为*.exe的,并且请养成用杀毒软件扫描附件的习惯。
2. QQ传播:因为QQ有文件传输功能,所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东或者是PLMM的照片,你接受后运行的话,你就成了木马的牺牲品了。
3. 下载传播:在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。
在这里提醒一下,若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了,下面这种木马植入方法专门用来对付有此想法的人。
4. 修改文件关联。这是木马最常用的手段之一,比方说正常情况下txt文件的打开方式为Notepad.exe(记事本),攻击者可以把txt文件打开方式修改为用木马程序打开,这样一旦你双击一个txt文件,原本应用记事本打开的,现在却变成启动木马程序了!当然,不仅仅是txt文件,其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马,只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键,查看其键值是否正常。
5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。
6. 网页植入。现在比较流行的种植木马方法,也是黑客们惯用的无形杀手,即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候,浏览器动不动就会弹出几个提示窗口,其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件,如果不安装里面的控件,以后仍然会出现这种窗口,并且网页的功能就不能实现了。利用这一点,可以制作一个ActiveX控件,放在网页里面,只要用户选择了安装,就会自动从服务器上下载一个木马程序并运行,这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效,但是在打开网页的时候弹出对话框要用户确定是否安装,只要用户不安装,黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件,请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装,若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞,Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质,因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL,IE会根据服务器返回HTTP头中的Content-Type来处理数据,也就是说如果HTTP头中返回的是appication/hta等,那么该文件就能够执行,而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马,并修改其中ftp服务器的地址和文件名,将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时,会出现“Internet Explorer脚本错误”的错误信息,询问是否继续在该页面上运行脚本错误,当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框,因此不够隐蔽,遇到此情况只要看清消息来源的站点,再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码,只要对方打开这个网页就会中上木马,而他对此还是一无所知。在这里提醒各位网民,对于从未见过的URL(通常都是个人网站/论坛),最好不要访问。
那么怎样判断自己的电脑是否中了木马,中了木马时有什幺现象?很难说,因为它们发作时的情况多种多样。
但是如果你的计算器有以下表现,就很可能染上黑客病毒了。
计算器有时死机,有时又重新激活;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多。(可是,有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到,借助PVIEW95就可以看到)。特别是在连入Internet网或是局域网后,如果你的机器有这些现象,就应小心了,当然也有可能是一些其它的病毒在作怪。由于木马程序的破坏通常需要里应外合,大多数的木马不如病毒般可怕。即使运行了,也不一定会对你的机器造成危害。不过,潜在的危害还是有的。比如,你的上网密码有可能已经跑到别人的收件箱里了!
我们也可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256*256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客也是通过端口进入你的电脑。因此,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍:
①Windows本身自带的netstat命令
此命令是显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
-a显示所有连接和侦听端口。服务器连接通常不显示。
-e显示以太网统计。该参数可以与 -s 选项结合使用。
-n以数字格式显示地址和端口号(而不是尝试查找名称)。
-s显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r显示路由表的内容。
interval重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
如果发现有异常的端口出现,就有可能是木马常用的端口被占用。立即断开网络,用病毒库升级到最新的杀毒软件查杀病毒。
②工作在windows2000下的命令行工具fport
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
D:\fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
Pid Process Port Proto Path
748 tcpsvcs - 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs - 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs - 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost - 135 TCP C:\WINNT\system32\svchost.exe
利用此命令,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意,也许那就是一只狡猾的木马!
③与Fport功能类似的图形化界面工具Active Ports
Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动,而且它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。
利用查看本机开放端口,以及端口和进程对应关系的方法,可以轻松的发现基于TCP/UDP协议的木马。一般中了木马程序最简单的办法就是用杀毒软件清除,如金山毒霸等。现在的杀毒程序能查杀大部分木马,当然也有一部分查杀不了的木马。这时就需要手动清除。要想手工清除,首先需要了解一下木马通常喜欢隐藏在哪里,并自动加载。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动。木马会在计算机启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,木马都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
①win.ini 中启动 :在 win.ini 文件中,在 [WINDOWS] 下面, “run=” 和 “load=” 是可能加载 “ 木马 ” 程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上 “ 木马 ” 了。当然你也得看清楚,因为好多 “ 木马 ” ,如 “AOL Trojan 木马 ” ,它把自身伪装成 command.exe 文件,如果不注意可能不会发现它不是真正的系统启动文件。
②system.ini 中启动 :在 system.ini 文件中,在 [BOOT] 下面有个 “shell= 文件名 ” 。正确的文件名应该是 “explorer.exe” ,如果不是 “explorer.exe” ,而是 “shell= explorer.exe 程序名 ” ,那么后面跟着的那个程序就是 “ 木马 ” 程序,就是说你已经中 “ 木马 ” 了。
③利用注册表加载运行 :在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
④隐形于启动组中 : C:\windows\start menu\programs\startup ,在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"( 一般来说机率比较少 )
⑤隐蔽在 Winstart.bat 中 :按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不, Winstart.bat 也是一个能自动被 Windows 加载运行的文件,它多数情况下为应用程序及 Windows 自动生成,在执行了 Win.com 并加载了多数驱动程序之后开始执行(这一点可通过启动时按 F8 键再选逐步跟踪启动过程的启动方式可得知)。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成,因此木马完全可以像在 Autoexec.bat 中那样被加载运行,危险由此而来。
⑥在 Autoexec.bat 和 Config.sys 中加载运行
⑦通过文件关联启动 :此类木马上文已讲,在这里不再
⑧比较新的木马启动技术就是利用 dll 嵌入技术,把木马嵌进正常使用程序进程里,手工很难清理。这种木马不使用进程,而使用Windows系统中的另一种“可执行程序”——dll(应用程序扩展),这样我们就不能通过Windows的进程管理器来发现这种木马了,但是我们可以借助第三方软件(Windows优化大师的进程管理)来找到木马使用的dll文件,找到后到DOS下删除。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
(五)病毒防杀
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。
计算机病毒可根据感染形态进行分类,大致可分为以下几种:
① 引导型病毒:引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全的控制,并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表(FAT表)等,一旦发作,计算机的数据通常会全部丢失。这种类型病毒的清除也很简单,不管是什么名字的病毒,只要是引导型的,用干净的软盘(即不含病毒的启动软盘,注意:一定要关闭软盘的写保护,不允许对软盘进行写入操作)启动系统,然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易,所以这类病毒都属于很老的了,现在基本上已经灭绝。
② 文件型病毒:文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件(如:*.COM、*.EXE、*.DLL等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型病毒依传染方式的不同,又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时,传染给其它程序,病毒本身并不常驻内存;常驻内存型病毒躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。由于病毒一直常驻内存,所以此时用杀毒软件进行杀毒,存在“带毒杀毒”的问题,通常不易杀干净。一般需要用干净的系统引导盘启动系统后,再进行杀毒才彻底。
③ 复合型病毒:复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.COM、*.EXE、*.DLL文件,也可以感染磁盘的引导扇区。由于这个特性,使得这种病毒具有很强的传染力,一旦发病,破坏程度也会非常强。
④ 变型病毒:又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一次都具有不同的内容和长度。一般的做法是:病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化,主要原因是为了躲避杀毒软件对其病毒特征代码的扫描,以避免被杀毒软件清除。
⑤ 宏病毒:宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏,就是一段脚本程序,由于Word、Excel等软件在处理文档时,为了使程序更智能化地按人的意愿工作,允许在Word中加一些VBS程序,这给宏病毒提供了滋生的土壤,宏病毒就是用这些VBS程序书写的程序。
⑥ 网页病毒:网页病毒主要利用系统软件的安全漏洞,通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序,强行修改操作系统的注册表和系统配置,或非法控制系统资源,盗取用户文件。这种非法恶意程序能够自动执行,它完全不受用户的控制。你一旦浏览含有该病毒的网页,便可以在不知不觉的情况下中招,给系统带来不同程度的破坏。轻则消耗系统资源,使系统运行速度缓慢,直至重启;重则删除硬盘数据,甚至格式化硬盘。网页病毒发作通常有两种表现形式:一种是修改浏览器和注册表的各种设置,比如:IE的默认首页被修改,标题栏被添加非法信息,注册表被禁止打开等。另一种则是恶性结果,比如:开机出现对话框,格式化硬盘,全方位侵害封杀系统,最后导致瘫痪崩溃,非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法:一是利用IE自身的设置进行预防,使浏览器自身不执行网页上的脚本程序,或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中,先选中某一网站区域,再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是:禁用IE的JS、VBS等脚本程序的运行后,很多网页特效就没办法显示了;另一种办法,就是使用病毒防火墙,或者直接用第三方IE保护软件来保护。
⑦ “蠕虫”型病毒:顾名思义,计算机蠕虫指的是某些恶性程序代码,会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件,对自身进行复制,消耗系统资源。在互联网环境下,蠕虫病毒变得非常猖獗,它靠复制自己来传播,如果你不对蠕虫的传播渠道进行控制(如操作系统的漏洞、文件共享的权限等),即使你不执行任何外来文件,也会被感染。现在的病毒一般都是既能够感染文件,又可以像蠕虫那样到处爬动(无非就是通过E-mail、共享文件夹、感染HTML代码,然后就是寻找漏洞获得写权限等等),因此,未来能够给网络带来重大灾难的,必定将是网络蠕虫病毒。
⑧ 木马病毒。木马和蠕虫之间,有某种程度上的依附关系,越来越多的病毒同时具有木马和蠕虫两者的特点。
在病毒日益猖獗的今天,安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。
从目前发现的病毒来看,计算机感染病毒后的主要症状有:
1:由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来,磁盘坏簇莫名其妙地增多。
2:由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量加大。
3:由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
4:由于病毒程序本身或其复制品不断入侵占系统空间,使可用系统空间变小。
5:由于病毒程序的异常活动,造成异常的磁盘访问。
6:由于病毒程序附加或占用引导部分,使系统引导变慢。
7:丢失数据和程序。
8:中断向量发生变化。
9:打印出现问题。
10:死机现象增多。
11:生成不可见的表格文件或特定文件。
12:系统出现异常活动。
13:出现一些无意义的画面问候语等。
14:程序运行出现异常现象或不合理的结果。
15:磁盘卷标名发生变化。
16:系统不认识磁盘或硬盘,不能引导系统等。
17:在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。
18:在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。
19:异常要求用户输入口令。
你想尝试一下中病毒的滋味的话可去下载病毒感染模拟器。
若你的计算机发生以上状况,千万不要迟疑,遵循以下步骤处理:
1:立刻断开网络。
2:找“决对干净”的DOS系统磁盘启动计算机。这时,记得要关上这张磁盘个写保护。
3:用杀毒软件开始扫描病毒。
4:若侦测到是文件中毒时,则有三种方试处理:删除文件、重命名文件或是请除病毒。记住:千万不要对中毒文件置之不理,特别是不能让其停留在可执行文件中。
5:若侦测到的是硬盘分区或引导区的病毒时,则你可以用干净的DOS磁盘中的FDISK指令,执行FDISK/MBR命令,以恢复硬盘的引导信息;或是在A驱中执行A:/SYS C:(C:为中毒磁盘),以救回硬盘引导区的资料。
6:现在,可以重新建文件、重新安装软件或 ,准备备份资料,请切记,备份资料在重新导入系统前,应先进行扫描,以防万一。
7:千万记住,重新建文档到开始运行之前。应再次扫描整个系统,以免中毒文件不小心又被存入系统中。
8:现在可以安心的开始操作计算机了。
(六)Windows系统安全隐患
许多系统都会有这样那样的安全漏洞(Bugs),其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;另一些是利用协议漏洞进行攻击,如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏根目录,从而获得超级用户的权限;还有一些漏洞是由于系统管理员配置错误或疏忽引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码以明码方式存放在某一目录下,这都会给黑客带来可乘之机。
防范措施:①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统,基于NT内核的融合,与以前的各版本相比具有更加安全和更加保密的安全特性,它对系统安全性所做的改善,大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”,建议至少每周更新一次,并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。
另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置:①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项,浏览器会在用户上网时,自动判断所访问的站点的安全、可信等级,根据预先设定的隐私参数,来限制信息方面的流通。③利用加密文件系统(EFS)加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法,EFS自动地为用户生成一对密钥和证书,并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问,只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密,首先你得有NTFS分区,然后右击要加密的文件夹,在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”,这样,该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后,一定要制作备份密钥,以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务,但是出于种种原因,用户能真正在日常用到的组件还是为数不多,这就造成了很到的系统资源浪费和一定的安全隐患,甚至黑客们还会据此尝试一些入侵,所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好
我中了一种奇怪的病毒,杀不掉的!!!怎么办啊!!
常见病毒解决方法.详解
病毒及木马或流氓软件清除建议:首先如果感染病毒可以使用瑞星或者江明及金山毒霸2007最新病毒库的杀毒软件来解决。特别是金山毒霸2007是可以试用一个月,而瑞星也承诺免费升级两个月。如果WINDOWS下无法清除病毒可以下载KVDOS在DOS下杀毒,该软件还可以清除硬盘BOOT引导区病毒。如果存在木马那么你可以使用木马克星或者306安全卫士98,或者木马清除大师等木马清除软件,XP均可。如果是XP你可以使用瑞星的卡卡来检测流氓软件。同时我建议:用多种杀毒软件来查杀病毒,例如使用瑞星和金山交替检查,不建议用卡吧软件。木马软件可以重复使用,两种不同的软件可以互补。
安全模式问题:如果无法到安全模式区杀除病毒就一定要利用KVDOS来解决问题。
病毒存在驻留内存的问题,一般杀毒软件可以检查,但是由于存在内存病毒移位或者变形以及其他杀毒软件就无法查杀,只能发现。所以就要脱离病毒的感染环境区解决问题,DOS就是一个极好的平台,同时安全模式也是,但是目前很多病毒就锁定你无法进入安全模式,所以中病毒的朋友可以根据我的方法来解决病毒。
病毒踢出防火墙程序问题:一般这样的问题是比较严重的,因为病毒检测内存驻留程序名称,判断为杀毒或者木马保护墙后就回T出该程序,我目前利用的方法为进入安全模式打开杀毒软件杀毒,然后用木马克星杀木马。如果你的安全模式无法进入建议你用KVDOS去DOS下杀毒一些,如果DOS下杀毒不干净或者杀毒软件病毒库不是最新,建议你将自己的硬盘挂在其他又最新杀毒病毒库的电脑上全面查杀一次病毒。 目前越来越多的病毒在采取这样的办法防止自己被找到并解决掉,但是这样的病毒害怕安全模式,因为安全模式不调用他们可以启动的项目来感染计算机,所以一些病毒还采取锁定安全模式不让用户进入的办法。那么这个时候你就要使用国内软件,例如金山,瑞星,KVDOS等DOS下的杀毒软件了。
木马病毒问题:很多用户使用瑞星,金山,咔吧,江明等杀毒软件都无法彻底的清除电脑病毒,有用户就觉得奇怪,杀毒软件无法杀毒?其实步是,因为杀毒软件对于一般感染型病毒是具有较强的查杀能力的,但是对于木马的防御还是能力比较低的。所以当你自己发现杀毒软件能力不行的时候就要思考是木马的问题,所以可以去下载查杀木马能力比较好的软件来查杀木马,一般我推荐木马克星和360安全卫士。
(流氓软件问题):这是一个比较简单的问题,安装瑞星的卡卡和360安全卫士就可以彻底的防御流氓软件。同时优化大师也具有流氓软件的清楚能力,但是就目前而言,你完全可以安装这三个软件,而没有任何冲突。 同时我在询问一些中毒朋友后会得到这样的信息,他们会说这个杀马软件好,那个不好。其实每一个软件,在木马上都有自己的有点,只是可能这个木马它不会杀,所以不需要责怪,大家多换换几个杀马软件一般都是可以搞定的。我列举几个杀马软件,在我遇见的木马中交替使用这几个软件是都可以清除的,木马克星(对细微文件内部分析比较好),木马清除大师(对注入文件的木马清除比较好),TrojanHunter(程序使用探测规则外,还可以让用户定义木马规则)。如果你喜欢其他的杀马软件也可以加入来试试。
不知名病毒问题:对于不知名病毒其实大家都不需要去知道他的专杀工具,因为你可能找不到,因为每一个杀毒软件对于某一个病毒的名称可能使用仅仅他自己公司自定义的名字。所以先不管那么多,杀毒软件通杀一次,木马软件通杀一次,再流氓软件通杀一次。99%的病毒是无法存活的,所以学习使用这几个软件也是防御病毒和木马的最大优点。 遇见未知病毒的朋友最好是不要去了解这个病毒感染什么,作用是什么,就算你了解了你如何解决?手动一个一个的修改?恐怕不行的,所以如果发现某一个软件找到未知病毒,那么来一个集体炮轰的策略,到安全模式下使用瑞星,金山,江明等你有的杀毒软件来一阵通查,然后用木马软件也来一阵通杀。就算是很顽固的病毒也会被你的这种方法赶尽杀绝。留下的估计只能是这些软件都无法解决的最新的病毒,各种杀毒公司目前都无法判断的,但是这样的几率还是很小的。 所以其实大家没有必要在发现一个病毒后总提出“这个是什么病毒”,说实话,80%的人不知道是什么病毒。所以在百度中提出病毒问题不要这样提问“这个病毒是干嘛的,破坏作用是什么?”,你知道了又能干嘛,还不是要杀毒。而应该采取这样的步骤,第一软件发现的病毒名,扫描日志和你已经采取了何种方法解决。第二,在之前你应该去找找和病毒名称相关的帖子来看,不要浪费时间让病毒感染电脑严重。我就经常发现太多的重复提问,因为专家看见这样的问题可能太多,所以都不一定大答复你的,知道你就没有去找过相关问题的解决办法。
同时存在一个问题,如果你的病毒已经查杀,但是启动中会出现调用某一个文件出错的问题,那是因为注册表项目中还存在调用病毒的现象,但是病毒本身已经不存在,所以会调用出错,因为出现这种情况后大家可以根据出现的提示在注册表中搜索并删除那个启动出错的调用内容。2,目前存在病毒T出杀毒软件防火墙或者木马克星的问题,这种解决办法比较麻烦,但是还是可以解决的。重点就是会使用KVDOS杀毒软件,先在DOS下来一遍查杀,然后启动到正常状态,在病毒还没有大量复制和感染的情况下首先第一时间利用木马杀除软件来查杀木马,然后如果不可以,你可以多下载几个不同的木马杀除软件来检测病毒。 一般如果你杀毒后出现的是DLL文件无法调用,那么一般是木马注入了 EXPLORER程序,可以使用木马查杀软件到安全模式解决,会自动将EXPLORER中的病毒清除。如果是EXE或者DAT等怪怪的名字,说明这样的文件是病毒类型,需要对注册表优化(可以使用优化大师),这样的病毒最好是升级杀毒软件的病毒库来一次全面的查杀。
还有专杀工具瑞星网站和金山网站都有,大家可以去这两个网站下载专杀和木马查杀工具即可。杀毒软件其实金山毒霸和瑞星都很好,但是双方的病毒检测方式不通,所以在你发现一个病毒无法被某一个软件查杀,那么你可以下载另一个杀毒软件来查杀,相比而言,2007年中瑞星2007比金山毒霸2007要好一点。同时建议你在各种软件安装完成后备份一次系统的注册表,以便在需要时候恢复。 还有一些朋友会问到熊猫专杀哪里有,其实这样的病毒瑞星和金山,江明网站上都有的。询问别人还不如自己去看,一看就清楚了。
最后提醒:建议你在每天开机后都升级一下各种杀毒软件和安全软件的病 毒库,这样防御病毒就会有很好的效果,养成一个好的习惯也是防御病毒的方法。如果很多病毒和木马都无法解决,大家就不要想办法去解决了,格式化硬盘重新装系统才是最后的办法。目前的新病毒会删除GHO备份文件,其实只要你刻录GHO到光盘,任何病毒也拿你没有办法。有的用户在自己的系统中安装两种不同的杀毒软件,虽然这样做大大降低了系统的速度,但是对于病毒的防御就多了一个防火墙,所以对于系统杀毒软件的选择是看你自己平时的使用情况的。如果你上网浏览网页较多,建议你安全可以实时检测系统的软件,这样你就可以了解你的网页或者内存现在在干什么。如果是病毒当然做的事情你就会发现它奇怪的因为。如果QQ上的比较多,那么安装两个QQ病毒防御软件也是不错的,据我所知QQ2007已经有QQ木马检测工具,而且每天升级,这也是不错的。然后你还可以下载QQ专杀工具或者防火墙工具来保护你的QQ,是哪些软件我就不多说了,自己可以去找。我经常去的网站是,这里面的软件下载速度还是不错的。只需要你平时多注意一点就是。 这里我还罗嗦一点的就是咔吧的问题,很多用户觉得咔吧好的不得了,其实未必,这样吧,我也不多说,有的说咔吧杀毒能力最强,其实咔吧在国外可以算是,但在国内就不是那么回事了。我专门进行过3次判断,使用5千多木马,病毒来测试不同时期和版本的金山,瑞星,江明,咔吧,其主要目的是想判断咔吧的能力,结果咔吧对国内外都通存在的病毒查杀能力比较强,但是对于国内的病毒都好多只能查不能杀,不能杀就等于0了嘛。实验表明不同版本的金山,瑞星,江明都有自己独到的一面,都很不错,一般他们单独的软件查杀病毒能力在80%左右,但是一旦交替查杀绝对在99%左右,三者合一完全是病毒光光。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒Dropper
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
从第一个病毒出世以来,究竟世界上有多少种病毒,说法不一。无论多少种,病毒的数量仍在不断增加。据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4至6种/月的速度递增。不过,孙悟空再厉害,也逃不了如来佛的手掌心,病毒再多,也逃不出下列种类。病毒分类是为了更好地了解它们。
按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。
1.按照计算机病毒攻击的系统分类
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
2.按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。这是世界上传染是最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机,也可以作为小的计算机网络的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
3.按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
4.按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
5.按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括.com、.exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
6.按照计算机病毒激活的时间分类
按照计算机病毒激活时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
7.按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
8.按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间,等到它所设置的日期时才发作。有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定拒绝芫雁图形,再不然就是放一段音乐给您听。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒、BR(引导区)病毒。MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主%
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的 CIH 。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 振荡波B变种或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ,可以采用数字与字母混合表示变种标识。
反病毒联盟群,以后有病毒和其他电脑问题都可以在群里面得到帮助,可直接加入25132308
我从QQ里中了一种很奇怪的病毒,杀毒软件根本杀不了,怎么办啊?
同意楼上的意见.如果还有的话,那你就从新做系统吧,有有时有可能是木马的.
因为木马开机就运行.这样才能盗你的东西.小心为好.
历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗
这两天很多人都被比特币勒索病毒“永恒之蓝“给弄傻了,一言不合就加密硬盘,还只收比特币,简直让人没法沟通了。其实这“永恒之蓝”并不算是一个性质很恶劣的病毒,在漫长的病毒发展史上充其量就是一个小兄弟,而伴随着计算机发展这几十年,病毒与反病毒之间的斗争一直不曾消亡,接下来铁柱就跟大家介绍几个历史上最负盛名的“著名”病毒,看一看你是否中招过!
1. CIH(1998年)
提到病毒,首屈一指的莫过于当年的CIH了。它的厉害之处就在于,其他病毒破坏的都是电脑软件(充其量也就是操作系统、数据文件一级),而CIH破坏的是电脑硬件(让电脑无法开机)!当时恢复的方法,除了彻底清除硬盘数据外,还需要借助专业工具重写主板BIOS。也正是从那个时代开始,杀毒厂商才冒出了所谓的专杀工具,而主板厂商也因此开发出了双BIOS这样一些很奇葩的设计。
2. 红色代码(2001年)
“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒,感染运行Microsoft IIS Web服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全。
红色代码病毒
3. 冲击波(2003年)
冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统奔溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows 2000\XP\Server 2003\NT4.0。
制造冲击波变种的少年
4. 震荡波(2004年)
“冲击波”余音未消,“震荡波”又来了,时隔一年之后又一款和冲击波表现类似的电脑病毒重回网友电脑。从名称上看,这两款病毒貌似区别并不是很大,甚至连重启提示都长得一样一样的。但实际上冲击波利用的是系统RPC漏洞,而震荡波利用的则是系统LSASS漏洞。甭管怎么说吧,反正这两种病毒始终都是那个时代的噩梦!
与“冲击波”齐名的“震荡波”病毒
5. 熊猫烧香(2006年)
提到熊猫,我们总会想起那憨憨可爱的样子,谁能想到它也会摇身一变成为一款令人胆战心惊的计算机病毒呢?2006年底到2007年初短短两个月时间里,一款名叫“熊猫烧香”的病毒便席卷了整个神州大地,一时间各大网站、个人电脑都被一个很诡异的病毒图标所覆盖——一只正在烧香的熊猫。除了图标外,熊猫烧香也会更改部分系统文件,造成个人数据丢失。而它的始作俑者——湖北武汉新洲区人李俊,也在当年被判处4年有期徒刑!
很多人都见过的“熊猫烧香”
6. 磁碟机(2007年)
磁碟机病毒又名dummycom病毒,是近一个月来传播最迅速,变种最快,破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户!“磁碟机”现已经出现100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。
磁碟机病毒
7. 超级工厂病毒(2010年)
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。
火爆当年的“超级病毒”Stuxnet
8. WannaCry
WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
WannaCry永恒之蓝病毒
写在最后
纵观这些年间计算机病毒的发展历史,不难发现,尽管病毒是伴随着计算机与互联网同步生成的一个产物,但随着各种安全防护工具普及,以及人们安全意识的提高,近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了。不过近期爆发的WannaCry还是给我们敲响了一记警钟,定期打补丁,定期给重要数据做备份,永远都不是一个落伍的话题!警钟长鸣,做好备份!
特别奇怪的木马病毒!!!
你的电脑中了木马恶意程序!
用360系统急救箱里的修复工具即可解决!
第一步:查杀标签---开始急救
第二步:隔离恢复标签----全选---立即恢复
第三步:修复标签--全选---立即修复
三步过后,看看是否搞定了?
360系统急救箱(原顽固木马专杀大全)下载网址: