【www.gbppp.com--自我鉴定】
计算机病毒的种类及预防措施
什么是计算机病毒? 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。
常见的计算机病毒分类有:
计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒等。下面是详细介绍:
系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
木马病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,
通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
检测这些病毒的常用方法:
如何检查笔记本是否中了病毒?以下就是?检查步骤:
一、进程
首先排查的就是进程了,方法简单,开机后,什么都不要启动! 第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。
第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
二、自启动项目
进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常(可以凭经验识别,也可以利用搜索引擎)。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。
三、网络连接
ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。
四、安全模式
重启,直接进入安全模式,如果无法进入,并且出现蓝屏等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!
五、映像劫持
打开注册表编辑器,定位:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。
六、CPU时间
如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:
打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了SystemIdleProcess和SYSTEM以外,CPU时间较大的进程,这个进程需要引起一定的警惕。
防治措施:
以防为主
提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。 加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。
1.杀毒软件经常更新,以快速检测到可能入侵计算机的新病毒或者变种。
2.使用安全监视软件(和杀毒软件不同比如360安全卫士,瑞星卡卡)主要防止浏览器被异常修改,插入钩子,安装不安全恶意的插件。
3.使用防火墙或者杀毒软件自带防火墙。【常见的计算机病毒传播】
4,关闭电脑自动播放(网上有)并对电脑和移动储存工具进行常见病毒免疫。
5.定时全盘病毒木马扫描。
6. 注意网址正确性,避免进入山寨网站。
7.不随意接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。
8.使用正版软件。
9.使用移动存储器前,最好要先查杀病毒,然后再使用。
防治结合
发现计算机病毒应立即清除,将病毒危害减少到最低限度。发现计算机病毒后的解决方法:1.在清除病毒之前,要先备份重要的数据文件。2.启动最新的反病毒软件,对整个计算机系统进行病毒扫描和清除,使系统或文件恢复正常。3.发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。4.某些病毒在Windows98状态下无法完全清除,此时我们应用事先准备好的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。常见的杀毒软件有瑞星、金山毒霸、KV3000、KILL等。
计算机病毒的传播方式以及应对方法
摘要:目前计算机的应用遍及到社会各个领域,同时计算机病毒也给我们带来了巨大的破坏力和潜在威胁,为了确保计算机系统能够稳定运行以及信息的安全性,了解计算机病毒的一些特征、传播方式及防范措施十分必要。 关键词:计算机病毒 分类 传播方式 预防 查杀【常见的计算机病毒传播】
一、计算机病毒的定义:
一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括软件和硬件)的代码,统称为计算机病毒。它通常隐藏在一些看起来无害的程序中,能生成自身的拷贝并将其插入其他的程序中,执行恶意的行动,其具有以下几个特点:
1、传染性。计算机病毒会通过各种渠道从被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染计算机工作失常甚至瘫痪。
2、潜伏性。有些计算机病毒并不是一侵入机器就对机器造成破坏,它可能隐藏在合法的文件中,静静的呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。
3、隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序很难区分开来。
4、破坏性。任何计算机病毒侵入到机器中,都会对系统造成不同程度的影响,轻者占有系统资源,降低工作效率,重者数据丢失,机器瘫痪。
除了上述四个特点,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机具有这些特点,给计算机病毒的预防、检测和清除工作带来了很大的麻烦。
二、计算机病毒的分类:
1、系统病毒。系统病毒的前缀为: Win32 、PE、Win95 、W32、W95 等。这种病毒的公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。
2、蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
3、木马病毒。木马病毒其前缀是:Trojan,它是一种会在主机上未经授权就自动执行的恶意程序。木马病毒通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,对用户的电脑进行远程控制。
4、Arp病毒。Arp病毒也是一种木马病毒,它是对利用Arp协议漏洞进行传播的一类病毒的总称。由于其在局域网中威胁比较大,所以单独列举一下。此病毒通过路由欺骗或网关欺骗的方式来攻击局域网,使用户电脑无法找到正确的网关而不能上网。
5、后门病毒。后门病毒的前缀是:backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
6、脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播。
7、宏病毒。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、
Excel97(也许还有别的)其中之一,它也是脚本病毒的一种。由于它的特殊性,因此在这里单独算成一类。该类病毒的公有特性是能感染office系列文档,然后通过office通用模板进行传播。
8、间谍软件。此类软件会监视用户的使用习惯和个人信息,并且会将这些信息
在未经用户认知和许可下发送给第三发,对系统的影响表现为系统运行速度下降,甚至死机。
三、计算机病毒的传播方式:
1、通过电子邮件进行传播。病毒附着在电子邮件中,一旦用户打开邮件,病毒
就会被激活并感染电脑,对本地进行一些有危害性的操作。常见的电子邮件病毒一般由合作单位或个人通过E-mail 上报、FTP上传、Web提交而导致病毒在网络中传播。
2、利用系统漏洞进行传播,由于操作系统固有的一些设计缺陷,导致被恶意用
户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞。病毒往往利用系统漏洞进入系统,达到传播的目的。
3、通过 MSN、 QQ等即时通信软件进行传播。有时候频繁的打开即时通讯工
具传来的网址、来历不明的邮件及附件、到不安全的网站下载可执行程序等,都会导致网络病毒进入计算机。现在很多木马病毒可以通过 MSN、 QQ等即时通信软件进行传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
4、通过网页进行传播。网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,给用户系统带来不同程度的破坏。
5、通过移动存储设备进行传播 。移动存储设备包括我们常见的软盘、磁带、光盘、移动硬盘、U盘(含数码相机、MP3等),病毒通过这些移动存储设备在计算机间进行传播。
四、计算机病毒的应对方法:
1.计算机病毒的预防:
(1)建立良好的使用习惯。例如:对一些来历不明的邮件及其附件不要轻易
打开,不要上一些不太了解的网站,不要执行从internet下载未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
(2)关闭和删除系统中不需要的服务。例如,ftp客户端、telnet和web服务
器等,这些服务为攻击提供了方便,而对一般用户没有太大用处,如果删掉他们,就能大大减小被攻击的可能性。
方法:开始------运行------输入services.msc,参照说明关掉一些不必要服务。
(3)关闭不常用的系统启动项。
方法:开始------运行------输入msconfig------启动,只保留ctfmon和杀毒
软件的启动项。
(4)安装专业的防病毒软件和防火墙软件,并随系统启动一同加载,并定期
查杀计算机。将软件的各种防病毒监控功能始终打开,可以很好的保证计算机的安全。
(5)经常升级操作系统的安全补丁,尽量到微软官方网站去下载最新的安全
补丁,以防患于未然。
(6)使用复杂的登录密码。许多网络病毒通过猜测简单密码方式攻击系统的。
因此使用复杂的密码,将大大的提高计算机的安全系数。
(7)尽量避免在无防毒软件的机器上使用移动存储介质,使用移动存储设备
拷贝文件时,应先用杀毒软件扫描后再打开。
(8)计算机中的重要资料必须备份,以防止硬盘数据被破坏后带来不可估量
的损失。
2.计算机病毒的诊断:
当计算机出现下列症状时很有可能是感染了计算机病毒:计算机启动速度较慢切无故自动重启,工作中机器出现无故死机现象,桌面上的图标发生变化,在运行某一正常应用软件时,系统经常报告内存不足,文件的数据被篡改或丢失,系统不能识别存在的硬盘等。
如果发现计算机有疑似感染病毒的症状,我们首先应该检查是否有异常的进程。先关闭所有应用程序,在任务管理器打开的进程标签中查看计算机当前运行的进程,看看有无非法进程和不熟悉的进程。也可以通过netstat –an命令查看一下当前电脑连接的端口,看看有无可疑的端口,再通过任务管理器查看相应的进程。
3、计算机病毒的查杀:
(1)关闭所有应用程序,用杀毒软件进行查杀。
(2)如果杀毒软件查杀不了,可以在网上搜索相应的专杀工具进行查杀。
(3)如果没有相应的专杀工具,就要进行手工杀毒。手工杀毒一般通过下面三
个步骤完成:
1)停进程,根据自己的判断或杀毒软件提供的信息,停止或挂起可疑的进【常见的计算机病毒传播】
程。
2)删文件,根据杀毒软件提供的路径信息或者自己查找的病毒路径,手工
删除病毒文件。对于不能删除的文件,可以尝试在安全模式下删除。
3)删服务,停止病毒程序的服务,然后删除注册表。
清理注册表方法:开始------运行------输入regedit,从而打开注册表编辑器, 然后在注册表编辑器中点编辑,在弹出的菜单中点查找,在查找中输入病毒所在 路径和文件名,找到一个,右键点击它,在快捷菜单中选删除,按f3继续查找, 直到查完,删完。
常见的电脑病毒以及种类
常见的电脑病毒有哪些?
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引 导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区 (Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具 有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合 并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过 这一部分进行传染,这类病毒也被划分为非驻留型病毒。 无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非 常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它 们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。无害型病毒也可能 会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何 破坏,但是在后来的高密度软盘上却能引起大量的数据丢失 伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随 体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当 DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文
件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
电脑病毒有哪些种类?
引导区电脑病毒
90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。
引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传 播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。 文件型电脑病毒
文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。
复合型电脑病毒
复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。
宏病毒
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如 MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。宏 病毒最先在1995年被发现,在不久后已成为最普遍的电
特洛伊/特洛伊木马
特洛伊或特洛伊木马是一个看似正当的程序,但 事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自 己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等 蠕虫病毒
蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑 病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件发给多个用户。有些蠕虫(如 CodeRed),更会利用软件上的漏洞去扩散和进行破坏。
其他电脑病毒/恶性程序码
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应 用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。也可以将这些软件威胁分成不进行复制工作和进行复制工作的。
40种常见病毒及处理
1. Trojan.PSW.Win32.Mapdimp.a
病毒运行后有以下行为:
1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。
我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒)
2.病毒还会修改注册表信息达到开机被自动加载的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件 开始-运行-输入regedit 打开注册表编辑器展开: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 然后在下面查找有无
{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
如果有展开该子键,此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll
如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同,则证明中毒了。图3
3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll
4.病毒运行后会访问黑客指定的网址下载其他木马病毒,盗取网游账号,并将盗取的信息在后台发送给黑客,使网游玩家的利益受损。
手动处理方法:
第一步,删除病毒文件:
使用wsyscheck工具,文件管理,进入系统目录(默认为c:\windows\system32)找到midimap??.dll和midimap??.dat文件,在文件上面点击右键,选择“发送到重启删除列表中”。 第二步,删除被病毒修改的注册表键值:
1、使用wsyscheck工具或使用注册表编辑器,删除以下键值内容:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值
“c:\windows\system32\midimap??.dll”
2、重启计算机。
2.Trojan.PSW.Win32.GameOL.qku. 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。(依赖系统:Windows NT/2000/XP/2003)
3. Trojan.DL.Win32.Mnless. bdz 木马病毒
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动,给用户的查杀和正常使用计算机带来极大的不便。(依赖系统:Windows NT/2000/XP/2003) 4. Trojan.PSW.Win32.GameOL.qli 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。 5. Worm.Win32.DownLoader.iz蠕虫病毒
病毒运行后,会释放一个名字为beep.sys的驱动,替换掉系统的同名文件,恢复SSDT列表。关闭一些安全软件的服务,结束一些安全软件的进程,以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和YS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。依赖系统:Windows NT/2000/XP/2003
6. Backdoor.Win32.Gpigeon2007.cel 灰鸽子病毒
该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
7. Worm.Win32.DownLoad.iy 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
8. Worm.Win32.Agent. znu 蠕虫病毒
这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时,就发消息模拟鼠标点击不处理,以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒,并在
可移动存储设备写入病毒,以此传播
9. Worm.Win32.DownLoader.cm 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
10. Trojan.Win32.Undef.qls
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息。
11. Trojan.DL.Win32.Mnless. bci
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
12. Trojan.DL.Win32.Mnless. bch
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
13. Backdoor.Win32.Gpigeon2008.ee
这是一种灰鸽子后门变种,该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等。
14. Trojan.DL.Win32.Undef.aon
这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件,该文件会从黑客指定网站下载一个config.ini文件,并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址,然后下载到用户计算机上并执行。
常见的电脑病毒有哪些? 计算机病毒都有哪些
常见的电脑病毒有哪些?
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。 无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成
电脑病毒有哪些种类?
引导区电脑病毒
90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。
引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。
文件型电脑病毒
文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。 复合型电脑病毒
复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。
宏病毒
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是
易于掌握的程序语言。宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。
特洛伊/特洛伊木马
特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。
蠕虫病毒
蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件发给多个用户。有些蠕虫(如CodeRed),更会利用软件上的漏洞去扩散和进行破坏。
其他电脑病毒/恶性程序码
本文来源:http://www.gbppp.com/fw/443672/
推荐访问:计算机病毒的传播途径 计算机病毒的传播方式