计算机病毒防治知识详解
病毒常用专有名词索引之一
ActiveX恶意程序码
ActiveX控制项可供Web开发人员建立含有功能更丰富的互动式动态Web网页,例如 HouseCall,趋势科技的免费线上扫描程序。ActiveX控制项是一种内嵌在Web网页的元件物件,当使用者检视网页时便会被启动。在许多情况中,可将Web浏览器的浏览器安全设定设成"高",来停止执行这些ActiveX控制项。不过,黑客或病毒作者以及其他恶意人士可能会使用ActiveX恶意程序码当作武器来攻击电脑。您必须删除它们,才能够移除恶意 ActiveX 控制项。
别名
目前尚无公认的病毒以及恶意程序码的命名规则。每一个病毒可能有多种不同的名称或别名。请参阅病毒种类中趋势科技病毒命名规则的说明。
启动磁区型病毒
启动磁区型病毒会感染磁碟的启动磁区或分割区表格。电脑系统最容易受到启动磁区型病毒攻击,如果您使用中毒的磁片开机的话……即使开机不成功也会使病毒感染硬碟。另外,有少数病毒可以从执行档感染启动磁区 -- 这些病毒称为复合式病毒,但不多见。系统一旦感染后,启动磁区型病毒会企图感染该电脑上使用的每一个磁碟。通常,磁区型病毒大部份都可以完全清除。
发现日期
指某病毒第一次被发现(知道)的日期。
说明
这是列出在Trend 病毒百科全书中之病毒的简明摘要。按一下 "Tech Details"(技术说明)标签可取得某种病毒的技术性说明。
破坏性病毒
除了自我复制外,有些病毒还具有将病毒传染出去的能力破坏现象。病毒具有破坏性的定义是指该病毒会对您的系统所执行的破坏现象,例如破坏或删除文件、将硬碟格式化以及进行拒绝服务等攻击。
加密型病毒
指病毒含有特殊的程序可将病毒码本身加密来避开防毒软体的侦测。Trend Microa 的防毒产品具有病毒码本身解密以及侦测这种病毒的能力。
执行档型病毒
执行档型病毒会感染执行档(通常是指副档名为 .com 或 .exe 的文件)。这种病毒大部份都只是企图以感染其他主机程序的方式进行复制散播 -- 不过有些会因为覆盖原始程序码而导致原始程序被破坏。这种病毒有一小部份非常具有破坏性?A会在预设的时间企图将硬碟格式化或执行一些其他恶意动作。在许多情况下,执行档病毒可完全从中毒档案清除。如果病毒已经覆盖一部份程序码,则原始档案将无法复原。
在外散播病毒清单
在外散播病毒清单含有目前已经发现之广泛感染使用者电脑的病毒的清单。这个清单是由防毒研究者 Joe Wells 维护并更新。Wells 除了定期更新这个清单外,并和世界各地的防毒研究团体密切合作,其中包括 Trend Micro。当 ICSA指导防毒产品的病毒测试时,会使用「在外散播」清单当作比较分析的基本。
识别计算机病毒“作案”方式
你知道吗?计算机病毒的“作案”方式五花八门,按照危害程度的不同,可分为以下几种类型:
暗藏型病毒:该病毒进入电子系统后能够潜伏下来,到预定时间或特定事件发生时,再出来为非作歹。
??
杀手型病毒:也叫“暗杀型病毒”,这种病毒钻入机器后,专门用来篡改和毁伤某一个或某一组特定的文件、数据,“作案”后不留任何痕迹。
霸道型病毒:该病毒能够中断整个计算机的工作,迫使信息系统瘫痪。
超载型病毒:该病毒进入计算机后能大量复制和繁殖,抢占内存和硬盘空间,使机器因“超载”而无法工作。
??
间谍型病毒:该病毒能从计算机中寻找特定信息和数据,并将其发送到指定的地点,借此窃取情报。
??
强制隔离型病毒:该病毒主要用来破坏电脑网络系统的整体功能,使各个子系统与控制中心以及各子系统间相互隔离,进而造成整个系统肢解瘫痪。
??
欺骗型病毒:该病毒能打入系统内部,对系统程序进行删改或给敌方系统注入假情报,造成其决策失误的病毒。
??
干扰型病毒:该病毒通过对计算机系统或工作环境进行干扰和破坏,达到消耗系统资源、降低处理速度、干扰系统运行、破坏计算机的各种文件和数据的目的,从而使其不能正常工作。
计算机病毒传染的一般过程
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
??
??可执行文件感染病毒后又怎样感染新的可执行文件?
??
??可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。
??一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
??
??(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
??
??(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
??
??(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
??
??操作系统型病毒是怎样进行传染的?
??
??正常的PC DOS启动过程是:
??
??(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
??
??(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
??
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
??non-system disk or disk error
??Replace and strike any key when ready
??否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;
??
??(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;
??
??(6)系统正常运行, DOS启动成功。
??如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
??
??(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
??
??(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
??
??(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作, 修改INT13H中断服务程序的入口地址是一项少不了的操作;
??
??(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
??
??(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
??
??如果发现有可攻击的对象, 病毒要进行下列的工作:
??
??(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
??
??(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
??
??(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
计算机病毒的引导机制
一、计算机病毒的寄生对象
计算机病毒实际上是一种特殊的程序,是一种程序必然要存储在磁盘上,但是病毒程序为了进行自身的主动传播,必须使自身寄生在可以获取执行权的寄生对象上。就目前出现的各种计算机病毒来看,其寄生对象有两种,一种是寄生在磁盘引导扇区;另一种是寄生在可执行文件(.EXE或.COM)中。这是由于不论是磁盘引导扇区还是可执行文件,它们都有获取执行权的可能,这样病毒程序寄生在它们的上面,就可以在一定条件下获得执行权,从而使病毒得以进入计算机系统,并处于激活状态,然后进行病毒的动态传播和破坏活动。
??
二、计算机病毒的寄生方式
计算机病毒的寄生方式有两种,一种是采用替代法;另一种是采用链接法。所谓替代法是指病毒程序用自己的部分或全部指令代码,替代磁盘引导扇区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起,病毒链接的位置可能在正常程序的首部、尾部或中间。寄生在磁盘引导扇区的病毒一般采取替代法,而寄生在可执行文件中的病毒一般采用链接法。
??
三、计算机病毒的引导过程
计算机病毒的引导过程一般包括以下三方面。
1、驻留内存:病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
2、窃取系统控制权:在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
3、恢复系统功能:病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
??
有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。
??
对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。
计算机病毒的触发机制
感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病毒的杀伤能力。广范围感染,众多病毒的破坏行为可能给用户以重创。但是,感染和破坏行为总是使系统或多或少地出现异常。频繁的感染和破坏会使病毒暴露,而不破坏、不感染又会使病毒失去杀伤力。可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性。
??
过于苛刻的触发条件,可能使病毒有好的潜伏性,但不易传播,只具低杀伤力。而过于宽松的触发条件将导致病毒频繁感染与破坏,容易暴露,导致用户做反病毒处理,也不能有大的杀伤力。 计算机病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染或不发作只传染不发作,这个条件就是计算机病毒的触发条件。 实际上病毒采用的触发条件花样繁多,从中可以看出病毒作者对系统的了解程度及其丰富的想象力和创造力。
??
??目前病毒采用的触发条件主要有以下几种:
??
??1、日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。
??
??2、时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。
??
??3、键盘触发:有些病毒监视用户的击键动作,当现病毒预定的键入时、病毒被激活, 进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。
4.感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
??
??5、启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
??
??6、访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发。
??
??7、调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。
??
??8、CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。
被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。
??
??大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其他条件。如“侵略者”病毒的激发时间是开机后机器运行时间和病毒传染个数成某个比例时,恰好按CTRL+ALT+DEL组合键试 图重新启动系统则病毒发作。
病毒中有关触发机制的编码是其敏感部分。剖析病毒时,如果搞清病毒的触发机制,可以修改此部分代码,使病毒失效,就可以产生没有潜伏性的极为外露的病毒样本,供反病毒研究使用。
为您讲解反病毒三大技术
关于病毒,经历过计算机病毒多次侵害的人们,想必已经非常熟悉了。人们也使用了许多种反病毒软件,但仍经常受到病毒的攻击,大家都没弄太清楚,到底怎么做,才能保证计算机每分每秒的安全。经历过CIH、“美丽杀”病毒的洗礼,人们已知道了“查杀病毒不可能一劳永逸”的道理,已经明白维护计算机的安全是一项漫长的过程。
??
现在世界上成熟的反病毒技术已经完全可以作到对所有的已知病毒彻底预防、彻底杀除,主要涉及以下三大技术:
??
一、实时监视技术
这个技术为计算机构筑起一道动态、实时的反病毒防线,通过修改操作系统,使操作系统本身具备反病毒功能,拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动,时刻监视系统状况,时刻监视软盘、光盘、因特网、电子邮件上的病毒传染,将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术,实时监视器占用的系统资源极小,用户一方面完全感觉不到对机器性能的影响,一方面根本不用考虑病毒的问题。
??
只要实时反病毒软件实时地在系统中工作,病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装,今后计算机运行的每一秒钟都会执行严格的反病毒检查,使因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒,如有毒则进行自动杀除。
??
??二、自动解压缩技术
目前我们在因特网、光盘以及 WINDOWS中接触到的大多数文件都是以压缩状态存放,以便节省传输时间或节约存放空间,这就使得各类压缩文件已成为了计算机病毒传播的温床。如去年10月,中国计算机报光盘InfoCD十月号染上CIH病毒事件,就是3个压缩文件内部中含有病毒。
??
如果用户从网上下载了一个带病毒的压缩文件包,或从光盘里运行一个压缩过的带毒文件,用户会放心地使用这个压缩文件包,然后自己的系统就会不知不觉地被压缩文件包中的病毒感染。而且现在流行的压缩标准有很多种,相互之间有些还并不兼容,全面覆盖各种各样的压缩格式,就要求了解各种压缩格式的算法和数据模型,这就必须和压缩软件的生产厂商有很密切的技术合作关系,否则,解压缩就会出问题。
??
三、全平台反病毒技术
目前病毒活跃的平台有:DOS、WINDOWS 95/98、WINDOWS NT/2000、WINDOWS XP、NETWARE等,为了反病毒软件做到与系统的底层无缝连接,可靠地实时检查和杀除病毒,必须在不同的平台上使用相应平台的反病毒软件,如你用的是WINDOWS的平台,则你必须用WINDOWS版本的反毒软件。如果是企业网络,什么版本的平台都有,那么就要在网络的每一个SERVER、CLIENT端上安装DOS、WINDOWS95/98、NT/2000、XP等平台的反病毒软件,每一个点上都安装了相应的反病毒模块,每一个点上都能实时地抵御病毒攻击。只有这样,才能作到网络的真正安全和可靠。
常见病毒的处理方法:
病毒的分类
充分了解敌人,就要对其进行分析和细化。
对病毒的分类有不同的标准。
按破坏性可分为:
良性病毒:仅仅显示信息、奏乐、发出声响,自我复制的。除了传染时减少磁盘的可用空间外,对系统没有其它影响。
恶性病毒:封锁、干扰、中断输入输出、使用户无法打印等正常工作,甚至电脑中止运行。这类病毒在计算机系统操作中造成严重的错误。
极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置导致系统死机、崩溃、无法重启。 这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
灾难性病毒:破坏分区表信息、主引导信息、FAT,删除数据文件,甚至格式化硬盘等。
按传染方式分为:
文件型病毒:一般只传染磁盘上的可执行文件(COM,EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。
混合型病毒:兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径。
按连接方式分为:
源码型病毒:较为少见,亦难以编写。因为它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。
入侵型病毒:可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
外壳型病毒:将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
根据病毒特有的算法可以划分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
"蠕虫"型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。 寄生型病毒:除了伴随和"蠕虫"型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,
练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
计算机病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分,传染部分,表现部分。
1、引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存,修改中断,修改高端内存,保存原中断向量等操作)。
2、传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式,传染条件上各有不同。
3、表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如:以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分,这部分根据编制者的不同目的而千差万别,或者根本没有这部分。
病毒的危害
病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰。对于那些侥幸未受病毒骚扰的人,我想在这里事先给你敲敲警钟,希望没有吓坏你。劝诫你,对于计算机病毒,最好还是能防患于未然!
最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
让我们来看看病毒曾经做过的恶事!
自从1946年第一台冯-诺依曼型计算机ENIAC出世以来,计算机已被应用到人类社会的各个领域。然而,1988年发生在美国的"蠕虫病毒"事件,给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意,但在当时,"蠕虫"在INTERNET上大肆传染,使得数千台连网的计算机停止运行,并造成巨额损失,成为一时的舆论焦点。详情如下:
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。
1988年下半年,我国在统计局系统首次发现了"小球"病毒,它对统计系统影响极大。最近的CIH病毒,美丽杀病毒等等都在全世界范围内造成了很大的经济和社会损失。
在国内,最初引起人们注意的病毒是80年代末出现的"黑色星期五","米氏病毒","小球病毒"等。因当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并不普及,造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒,使人们对病毒的认识更加深了一步。
可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。
病毒的防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
“防毒”——是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。
“查毒”——是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。
“解毒”——是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力——是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力——是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力——是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
常见的病毒
几种常见的病毒:
VBS.LoveLetter(我爱你)病毒、Pretty Park蠕虫、Happy 99蠕虫 、Melissa病毒、Explore. zip蠕虫 、W97M/Ethan.A 宏病毒 、One Half 病毒 、CIH病毒 、YAI病毒等。
●BS.LoveLetter(我爱你)病毒
5月4日,一种叫做“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Outook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。
“我爱你”病毒是一种蠕虫病毒,它与1999年的“Melissa”病毒非常相似。这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。
美国防部的多个安全部门都感染了这一病毒,中央情报局也没有幸免。英国国会的电脑系统也受到了袭击,英国下院为了保护邮件系统不受侵犯甚至被迫关闭了大约两个小时。白宫发言人称,这个病毒目前还没有进入白宫电脑系统。
据称,全球多个跨国公司的电脑邮件系统都感染了这个病毒,福特公司就是其中之一。周四早上,福特公司共有10万多个用户的邮件系统被迫关闭。
美国防部资助的电脑紧急反应小组声称,目前他们已经收到了50个关于“我爱你” 病毒发作的报告。
根据邮件显示的信息,这个病毒可能来自菲律宾首都马尼拉,但是目前还无法确定。英国消费者协会根据病毒代码判断这个病毒是一个电脑高手以“Spyder”这个假名发出的。
●CIH病毒简介
病毒名称:CIH
病毒类型:文件型
病毒简介:CIH是一个纯粹的WINDOWS 95/98病毒。通过软件之间的相互拷贝、盗版光盘的使用有Internet网的传播而大面积传染。CIH病毒发作时将用杂乱数据覆盖硬盘前1024K字节,破坏主板Bios Flas芯片,使用权机器无法启动。允许写Flash内存时才有可能,通常用DIP开关写Flash内存时无效,然而现代主板大多数不能由DIP开关进行Flash内存写保护,因此该病毒发作时会破坏大多数可升级主板车Flash Bios。它具备彻底摧毁计算机系统的能力。
危害程度:覆盖硬盘主引导区的Boot区,改写硬盘数据。
●Pretty park 蠕虫简介
病毒名称:Pretty Park蠕虫
病毒别名:Pretty Park, I-Worm. PrettyPark
病毒类型:蠕虫病毒
病毒简介:它是类似于Happy 99的蠕虫病毒,通过email传播,其附件程序名为:“Pretty Park.exe。”当它被执行后,会在windows/system中创建一个名为Files32.vxd的文件,同时修改注册项值。此病毒发作后,每隔15分钟或加载后15分钟在你不知觉的情况下,自动地向你的地址薄中登记的所有电子邮件地址邮寄自身。而发信人不会发现发出的mail多了一个附件.收信人可能出于对你的信任点击了此文件,那么他的电脑就会中毒.此病毒通过这种方法,不断向外传播。
危害程度:修改注册值,影响网络运行。
●Happy 99蠕虫简介
病毒名称:appy 99蠕虫
病毒类型:蠕虫病毒
程序码长度:10000字节
病毒简介:它是一种自动通过email传播的病毒. 通过email到处散发.如果你点击了它.就会出现一幅五彩缤纷的图像,多人以为是贺年之类的软件。它将自身安装到你的电脑win95/98目录下的system目录下,两个文件,一个是ska.exe,另一个是ska.dll,并修改注册表,使得下次启动时自动加载. 自此病毒安装成功之后,你发出的mail都会有一个附件--happy99.exe,而发信人不会发现发出的mail多了一个附件.收信人可能出于对你的信任点击了此文件,那么他的电脑就会中毒.此病毒通过这种方法,受感染的邮件到达目的地址后,如果收件人打开邮件,则病毒达到了扩散的目的。
危害程度:修改注册表。影响网络正常运行。
●Melissa病毒简介
病毒名称:Melissa
病毒类型:宏病毒
病毒简介:Melissa是一种宏病毒,主要通过电子邮件的附件文档中的宏功能实现主机之间的病毒传播,在本机上面则通过感染模版文件 normal.dot实现文档之间的病毒传播。
受该病毒感染的邮件标题通常为:
Subject: Important Message From 其中,是发送者的全名。
传播条件:
1.感染邮件接收者安装了MS Word97或者Word 2000
2.感染邮件接收者打开了邮件附件并允许宏运行(该病毒的传播需要人为干预)
3.感染邮件接收者安装了Outlook(不管是否设置为缺省邮件服务器)
危害程度:拒绝服务的攻击、信息的泄露。严重影响网络正常运行。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
