| 04年十大计算机病毒分析与防治 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
我们平时所说的病毒(Virus)通常为泛指,其实它包括病毒(Virus)、特洛伊木马(Trojan Horse)、蠕虫(Worm)、宏病毒(Macro)、后门程序(BackDoor)、黑客软件/工具(Hacker)、间谍程序(Spyware)、广告程序(Adware)、玩笑程序(Joke)、恶作剧程序(Hoax)等有害程序及文件(Malware)。今年蠕虫、木马和间谍程序成为对计算机用户威胁最大的网上敌人,也成为人们关注的焦点。下面我们就一起来看看2004年给我们带来最大威胁的十大病毒。
一、“震荡波”Worm.sasser病毒
病毒特征:4月30日震荡波(Sasser)病毒被首次发现,短短一个星期时间之内就感染了全球1800万台电脑,成为今年当之无愧的“毒王”。它利用微软公布的Lsass漏洞进行传播,可感染WindowsNT/XP/2003等操作系统,开启上百个线程去攻击其他网上的用户,造成机器运行缓慢、网络堵塞。因为它会导致LSASS.EXE崩溃,所以系统不断弹出一个提示框(如图1),然后倒计时重启。中毒现象和危害程度都非常类似于去年的“冲击波”。
清除方法:发现上述症状首先断开网络,按CTRL+ALT+DEL打开任务管理器,杀掉 “avserve.exe”或“avserve2.exe”或“kynetave.exe”或“lsasss.exe”(注意它比系统原关键进程LSASS多一个字母S)进程。然后再到系统目录下找到这些文件并删除它们,同时删除C:盘根目录下的win.log文件,它是用来记录本地主机的IP地址的。(如果你使用的是WIN XP系统,删除前先要关闭系统还原功能。)最后打开注册表编辑器,查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除启动项中病毒添加的"avserve.exe"、“avserve2.exe”、“kynetave.exe”或“lsasss.exe”启动键值。对于不熟悉系统的用户可以下载免费的专杀工具对系统进行全面扫描。
为了避免再次感染“震荡波”病毒,还可以在网镖等网络防火墙中进行一下设置。打开网镖下的IP规则编辑器,在列表中去掉“允许别人访问本机共享资源(Win2000)”前面的勾(因为默认设置下,金山网镖6的445端口是开放的,使他人可以访问本机的共享资源)。然后禁用1068和5554端口。(注意:保存后要移动一下安全级别滑块,这样才能使新规则生效。)
补丁文件:http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE。(WIN XP)如果你担心安装微软补丁后系统变慢,金山毒霸还推出了“震荡波”防火墙,它可以防范所有专门针对lsass漏洞攻击的病毒,即使不打补丁,机器也安然无恙。
二、“网络天空”Worm.netsky蠕虫病毒
春节过后,网上曾经爆发了一次罕见的病毒大战。先后出现的恶鹰(“Worm.Beagle”,又名:贝革热、雏鹰)、给全球造成巨大灾害的MyDoom、以及后来居上的网络天空(Netsky),互相清除对方,使得病毒变种短时间内层出不穷,无辜的网民成了受害者。据相关机构统计,“Mydoom”病毒在出现的36个小时内就在互联网上发出了约1亿封带毒的电子邮件,刷新了此前由“大无极”病毒创下的扩散记录。而“网络天空Worm.Netsky”则超过“Mydoom”的病毒邮件数量。
病毒特征:如果你打开邮件或附件时弹出一个对话框(如图2),上面显示“The file could not be opened!”(文件无法打开!),说明“网络天空”病毒已经发作。该病毒会从硬盘中的.dbx、. doc、.txt、.html等类型.文件中搜集电子邮件地址,然后使用其自带的SMTP引擎将其病毒体作为附件发送给这些Email地址。所以你要删除邮箱中收到的,附件采用双扩展名,比如“*.txt.exe、*.rtf.scr、*.doc.com、*.htm.pif”等形式的所有邮件。
清除方法:断开网络连接,关闭所有程序,打开金山网镖等网络防火墙。查看“网络状态”下是否有“services.exe”在访问网络,如果有请记下程序文件所在的路径,然后点击“结束进程”按钮杀掉它的进程。接着使用搜索功能在系统目录下(Winnt或windows),查找到文件“services.exe”,找到后删除它。同时删除Windows目录下不是自己创建的那些ZIP压缩包;以及"Share"或者"Sharing"文件夹中的病毒复本,注意它们使用的是WORD文档的图标。最后打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run],在右边窗格中删除"service" = "%Windir%\services.exe -serv"子键。
因为病毒文件较多,最好下载免费的Worm.NetSky.专杀工具进行查杀。另外病毒会删除某些杀毒软件在注册表启动项中的键值,以阻止它们随机启动,所以如果你发现你安装的杀毒软件防火墙没有随系统一起运行,可以重新进行设置。为了对付众多的病毒邮件,还可以在金山毒霸的邮件规则编辑器中设置病毒邮件过滤规则。
三、“网银大盗”及变种(Troj.KeyLog或Trojan/PSW.HidWebmon )
“网银大盗”及其以及变种A和B的出现曾一度引起人们对网上银行交易安全问题的恐慌,安全公司甚至发布警告,要求用户在那一时期内中断网上支付和交易活动。它们都属于特洛伊木马程序,通过网络传播,可以影响包括Win9x/2000/XP/2003在内的所有Windows操作系统。其中“网银大盗”只盗取工商银行个人网上银行账户及密码,然后通过自带的SMTP发信模块,以电子邮件形式把记录的用户信息发到木马作者指定信箱中,再利用转账、网上支付等手段窃取用户网上银行中的存款。变种B的危害则达到了登峰造极的地步,利用键盘记录的方式,几乎可以盗取全国所有个人网上银行的帐号及密码,然后通过提交asp动态网页的方式将密码发送到指定的服务器。变种C则利用OLE插入技术,直接读取IE页面控件内容,比“网银大盗”监控的范围更广,盗取包括8家著名国外银行的帐号及密码。
清除方法:按CTRL+ALT+DEL打开任务管理器,在“进程”标签下查看系统中是否有以下程序在运行:expl0er.exe(网银大盗)、svch0st.exe(变种A)、user32.exe(变种B),因为前两个木马程序都对文件名进行了伪装,与正常的系统文件非常容易混淆,木马程序名中为数字“0”,而正常系统文件名中则为字母“o”。如果发现任意一个,立刻结束它的进程。如果你使用的是WIN XP系统,请先关闭系统还原功能(右键点击“我的电脑”,在出现的菜单中选择“属性”,打开“系统属性”对话框。切换到“系统还原”选项卡,在其中“在所有驱动器上关闭系统还原”前打上勾即可。然后利用“搜索”功能,到系统目录下查找前面提到的三个病毒文件,发现后按SHIFT+DEL键直接删除它们。接下来还要查找“expl0er.dll”(这是网银大盗创建用来挂钩和发信模块的文件)、“mssdk32.dll”和“mslib32.dll”(这两个是变种B创建的用来设置消息挂钩,并对IE页面控件进行监视的文件)发现后请一并删除。
最后在“运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion],检查所有以“RUN”开头的键下以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下,路径指向前面三个程序的启动项,例如:“svch0st.exe” = “%SystemDir%\svch0st.exe”、“taskmgr.exe” = “%SystemDir%\svch0st.exe”、 "User Mansger" = "%SystemRoot%\system\user32.exe"、"Shell" = "explorer.exe %SystemRoot%\system\user32.exe",发现后删除这些键值。(注意:请事先利用注册表导出功能备份注册表文件,以便在出现误操作时能够恢复)
没有经验的朋友,可以下载专杀工具进行清除。
四、“Worm.Mydoom”蠕虫病毒
病毒特征:MyDoom蠕虫病毒也被称作"挪威客"或“诺维格”(Novarg)。当病毒发作后,会在硬盘上htm、sht、php、asp、dbx、tbb、adb、pl、wab、txt类型文件中搜索电子邮件地址,然后使用病毒自身的SMTP引擎发送带毒邮件,如果失败,则使用本地的邮件服务器发送;发送的病毒邮件主题和内容随机生成,多为模仿邮件服务器的退信,邮件内容都是一团乱码,附件中即为病毒体,名称一般为:document、readme 、message、test等,后缀名包括“ .bat .cmd .exe, .pif, .scr, .zip”等。当用户打开附件时,病毒会利用记事本程序notepad.exe做掩护,打开TCP端口的3127到3198,设置一个后台程序,使黑客程序得以连接到该机器,并利用它作为代理服务器来获得网络资源。而且它的变种还可能对微软网站发起DoS拒绝服务攻击。任何使用微软Windows系统电子邮件程序的电脑都有感染的危险。
并且该病毒还会利用一个名为“KaZaA”的点对点工具进行传播。病毒将病毒体复制到该软件的共享目录,命名为“winamp5、icq2004-final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、office_crack、nuke2004”等工具软件名字,欺骗用户下载。
清除方法:首先按CTRL+ALT+DELETE打开windows任务管理器,终止病毒进程taskmon.exe的运行。如果你使用的是windows95/98/ME的系统, 可以使用其他进程管理工具来完成,比如WINDOWS优化大师中的进程管理工具等。
然后找到并删除病毒体及所生成的文件:%System%shimgapi.dll(功能是自动设置成一个代理服务器,并在TCP(3127到3198)下接受黑客的控制)、%temp%Message,(这个文件由随机字母通组成)、%System%taskmon.exe, (如果此文件存在,则用病毒文件覆盖。)(提示:%system%为系统目录,在Win9x系统中为windows\system。在NT及以上系统中为Winnt\system32或Windows\system32。%temp%为临时目录,在“运行”窗口中输入%temp%即可直接打开。)
最后打开注册表编辑器,删除HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的病毒启动键值:TaskMon = %System%\taskmon.exe。另外还有两个子项是用来存储病毒活动信息的,也要删除: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version。
五、“恶鹰”Worm.Beagle蠕虫病毒
恶鹰(Worm.Beagle”,又名:贝革热、雏鹰)病毒会利用自带的邮件引擎大量发送病毒邮件,并可利用局域网和"点对点文件共享工具"进行传播。病毒会在被感染的系统中开启后门,在TCP端口2745上进行监听,等待黑客连接。大量的病毒邮件不仅影响个人用户,更直接的危害企业的邮件服务器,可能导致这些邮件服务器出现延迟发信、瘫痪等现象。
它的变种极多,不同之处在于使用不同的病毒主程序名字(比如“bbeagle.exe、winsys.exe、caroline.exe、i11r54n4.exe”等)、在注册表中添加的不同的键值名,以及使用不同的图标:其中Worm.Beagle.c和Worm.Beagle.d使用的是微软OFFICE EXCEL电子表格的图标;Worm.Beagle.e使用的是文本文件的图标;Worm.Beagle.f和Worm.Beagle.g使用的甚至是文件夹的图标。
另外这些变种发送的病毒邮件使用的邮件主题、内容以及附件名字也各不相同,更加防不胜防,稍有大意就可能上当。其中的Worm.Beagle.f变种,还会搜索驱动器中文件夹名字包含“shar”的文件夹,并释放大量的病毒复本,使它可以通过网络共享传播和P2P工具进行传播。所以大家可以下载最新的恶鹰病毒免费专杀工具进行查杀。在下载时请打开防火墙,以免黑客通过病毒预留的后门进行攻击。另外由于病毒会中止部份反病毒软件的升级程序,所以进行病毒库升级时尽量选择把升级包下载到本地进行升级。
六、“灾飞”Worm.Zafi病毒
“灾飞”Worm.Zafi病毒传播通过搜索本地htm、dbx 、wab文件中的电子邮件地址,利用自己的smtp引擎向外发送带病毒邮件。传播速度极快,能够穿过防火墙和反病毒软件的拦截。感染系统后会终止大量反病毒软件,并用病毒体去替换反病毒软件的主程序。病毒还会禁止运行系统程序(如regedit 、msconfig 和task),以防止用户手动终止病毒进程,并对指定网站发动DoS攻击。
清除方法:打开金山网镖查看网络状态,是否有一个avdesgds.exe程序在访问网络,如果有就杀掉它的进程,再到系统目录下删除这个文件。最后运行金山毒霸安装目录下的IE修复工具KAVIEReg.EXE,在“IE常规”下,勾选“取消注册表工具禁用”、“恢复REG文件关联”选项,单击“清理”,这下注册表编辑器可以打开了,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"_Hazafibb"子键。
另外由于病毒文件名由随机生成的八个字母组成,它还会随机创建一些长度为8个随机字母的dll文件,所以大家查找时一定要仔细查看。它还可以通过P2P软件进行传播,如果你发现别人或自己的共享文件夹中有winamp 7.0 full_install.exe 、Total Commander 7.0 full_install.exe这两个文件,千万别以为是winamp播放器,立刻删除它们。没有经验的朋友,可以下载病毒专杀工具进行清除。
七、QQ木马Win32.Troj.QQNark
QQ病毒很多,但QQ木马安全公司还是第一次截获。传统的木马要进行远程控制必须打开新的端口,这样在网镖等防火墙中很容易被发现,而Win32.Troj.QQNark(也叫QQ密探或QQ叛徒)通过QQ来进行远程控制,可以骗过防火墙的监视,所以危险性更大。
木马客户端通过向QQ发送消息来控制其服务端进行远程工作,除了一般的上传、下载、磁盘共享以外,还可以令对方的电脑自动关机或重启,甚至可以任意终止进程中的程序以及运行更具有破坏性的可执行文件。同时此木马还具有抓屏和自我关闭、卸载等功能。
如果你收到以上含有“wsdgs”字符的消息,例如“我看看!wsdgs@@0/$s^t&&”(它对应的命令是从染毒机器中下载文件)、“你好啊!wsdgs@@1234567&&”(它对应的控制为共享C盘)请立刻关闭QQ,下载QQ病毒专杀工具,然后断开网络进行扫描。
八、“安哥”Worm.Agobot
该病毒及其变种,利用微软公布的两个漏洞进行传播,病毒运行后会修改注册表,终止一些防病毒软件和防火墙的运行。另外,病毒可通过mIRC和局域网共享进行传播。并具有后门功能。去年末它的一个变种(Worm.Agobot.3.T)曾在国内出现,杀伤力甚至超过了冲击波(Worm.Msblast)病毒,使北京数百个企业局域网瘫痪。它属于兼据黑客木马和蠕虫特点的混合型病毒。当病毒发作时可以造成无法正常使用微软OFFICE和IE浏览器等软件,无法进行复制和粘贴操作,另外还会出现注册表无法使用,系统文件无法正常显示等异常情况。该病毒还会偷盗安装在电脑中的许多正版软件的CDKEY(安装序列号)。同时系统资源被大量占用,CPU占用率会达到100%,使用户计算机反应速度极慢,甚至死机,这就难怪刚才系统运行那么慢了。
为了尽可能的延长病毒的存活期,它会监视系统中的反病毒的工具和软件的进程,如果发现它们就将其进程结束,从而可以杀掉几十家反病毒公司的上百种反病毒程序。看来杀毒软件无法运行也找到答案了。
清除方法:按下CTRL+ALT+DEL打开任务管理器查看进程,查看进程中是否有一项名为“nvchip4.exe”的程序在运行,如果有就结束它。然后点击“搜索”在系统盘下查找并删除“nvchip4.exe”这个文件。最后打开注册表编辑器删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的病毒启动项,注意[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]也要查看一下,因为有些变种会将自己注册成系统中的服务,比如服务名为Configuration Loader或ConfiggLoader。
由于安哥病毒前前后后出现了数十种变种,病毒文件名又各不相同,所以可以下载了免费的“安哥”病毒专杀工具对整个硬盘进行全面查杀。另外病毒中会带有一个较大的“密码字典”,利用它来攻击局域网中的计算机,从而感染整个域局网,导致网络瘫痪。因此企业及局域网用户应该特别注意,建议网管将系统管理员帐户密码尽量设置得复杂一些。
九、“JPEG漏洞”病毒
这个病毒主要源于9 月 14 日微软公布的一个新漏洞——JPEG 处理时 (GDI+) 缓冲区溢出漏洞,即在处理 JPEG 图像格式时存在缓冲区溢出现象,可能导致攻击者在系统上远程执行代码,例如安装程序,查看、更改或删除数据,创建拥有完全权限的新帐户等。也就是说只要将攻击代码,植入一个普通的JPEG图片文件中,并使这个图片具有最新的漏洞。当别人打开这个图片时,就会自动从攻击者设定的网络地址中下载恶意程序,例如木马程序、蠕虫病毒等,还有可能出现系统崩溃现象。由于众多软件都调用同一个系统动态链接库GdiPlus.dll文件,所以该漏洞的涉及面非常广,甚至可能成为有史以来威胁用户数量最广的高危漏洞。
防范措施:对于这类病毒,防范重于查杀,金山公司的“JPEG病毒及漏洞检测专杀程序”,可以对计算机上所有应用程序进行漏洞检查,特别适合那些目前无法在线更新和还没提供补丁文件的应用程序(下载地址)。无需安装直接运行,在帮助你检查和清除计算机内含有利用漏洞进行攻击的JPEG图片病毒的同时,可以检查计算机内所有存在漏洞的应用程序。
十、“股票窃贼”(Win32.Troj.Soufan)
股票窃贼(Win32.Troj.Soufan)是一种木马病毒,感染后病毒会监视当前窗口标题中是否含有“交易登录”、“XX证券网上交易”(包括国内多家著名证券公司名称)、“网上股票交易系统”等字符。如果有就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码;同时它还会对用户登陆时窗口画面截屏保存为图片,当记录一定次数后,会通过邮件发送到病毒作者指定邮箱webmaster@****.com中。这样就窃取了用户的网上证券交易账号和密码,从而可能获得操作股票的权限,如果用户股票被恶意买卖,将给用户带来非常重大的损失。更加厉害的是“证券大盗”病毒每次窃取成功后就会自动中止运行,并删除大部分病毒文件,以达到销毁罪证的目的。
清除方法:打开金山网镖等网络防火墙,提高安全级别也可以选择“断开网络”以防止病毒向外发送盗取的信息,然后在网络状态中,查找“SYSTEM32.EXE”这个文件。如果有说明病毒还没有“得手”,你可以按下“结束进程”按钮终止它的运行。接着在系统盘搜索“SYSTEM32.EXE”这个文件(一般在WINNT或WINDOWS目录下),找到后彻底删除它(事先最好关闭系统还原功能)。接下来到C盘根目录下删除“Screen1.bmp”和“Screen2.bmp”文件(这两个文件是用户登录网上交易系统时病毒抓照的屏幕图象,如果你在系统中只发现了这两个文件,说明病毒已经窃取成功,并删除了病毒可执行文件。这时你必须立刻更改股票交易密码,或者到证券公司办理挂失。)最后打开注册表编辑器,删除病毒添加的启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"System"=%WinDir%\SYSTEM32.EXE
对系统操作不是非常熟练的朋友,可以到网站下载“股票盗贼”病毒专杀工具对系统进行扫描,以便及时清除病毒。
病毒综合防范措施:
1、开启网络防火墙:上网时除了开启反病毒软件的病毒实时监控以外,还要打开网镖等网络防火墙,这样可以有效防止木马和病毒的侵入,另外木马病毒盗取了帐号和密码后,会通过网络发送到病毒制造者的服务器上,开启网络防火墙可以拦载没经授权的的程序向外发送消息。安全级别一定要设置到“中”以上才更加有效。
2、平时备份进程列表,以便出现可疑情况时进行比对。方法如下:在运行窗口中,输入“CMD”打开命令提示符窗口,然后输入“Tasklist /svc >i:\processlist.txt”敲回车即可。这个命令行可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。
3、对于邮件病毒的防范,可以在金山毒霸6中使用邮件规则编辑器,创建相应的规则来拦截带毒邮件,最好同时勾选“自动过滤发件人可收件人为空的邮件”。并在“工具→综合设置→邮件防火墙→”中选中“自动过滤垃圾邮件”。
4、关闭无用的服务项目,不要安装和下载一些来历不明的软件,例如游戏外挂、破解软件、算号器等;打开邮件中的附件和QQ中传过来的文件之前,一定要用杀毒软件进行检查。
5、禁用活动脚本:针对网页中的脚本病毒,我们可以通过禁用脚本来限制其的运行。打开IE浏览器,在“工具→Internet选项→安全”中,选择“Internet→自定义级别”,在“安全设置”窗口中禁用“活动脚本”和“对标记为可安全执行脚本的ActiveX控件执行脚本”等脚本选项。
 |
|
| 上一篇文章: Zafi.D蠕虫伪装为圣诞贺卡 用多种语言问候用户 |
| 下一篇文章: 网络行业协会 瑞星联合发布12月16日热门病毒预警 |
|
|
|
|
