第一篇：MS08-067病毒分析

MS08-067病毒剖析

【染毒現(xiàn)象】

感染上Worm.Win32.MS08-067.c病毒的機(jī)器，其典型的染毒特征是：

1.不斷的向外發(fā)送垃圾數(shù)據(jù)包，并以此手段對(duì)全網(wǎng)進(jìn)行傳播。

2.在本機(jī)的“任務(wù)計(jì)劃”中添加大量以“AT”開(kāi)頭的任務(wù)計(jì)劃，并且啟動(dòng)的時(shí)候大都是整

點(diǎn)，如11:00、13:00等。

3.如是域環(huán)境，并且設(shè)置了域賬戶登錄策略（登錄密碼輸入錯(cuò)誤幾次之后鎖定賬戶），會(huì)

造成域賬戶經(jīng)常被鎖，因?yàn)樵摬《緯?huì)不斷的猜測(cè)域賬戶密碼。

4.造成無(wú)法正常訪問(wèn)瑞星官網(wǎng)和微軟官方網(wǎng)站，以及其它部分安全網(wǎng)站。停止或是重啟

“DNS Client”服務(wù)之后，可以打開(kāi)上述網(wǎng)站，但重啟電腦后又無(wú)法打開(kāi)。

【傳播方式】

Worm.Win32.MS08-067.c是一個(gè)利用微軟系統(tǒng)MS08-067漏洞為主要傳播手段的的蠕蟲(chóng)病毒。

另外該病毒亦可通過(guò)U盤(pán)以自動(dòng)加載運(yùn)行的方式進(jìn)行傳播、并且由于病毒自身帶一個(gè)弱密碼表，會(huì)猜解網(wǎng)絡(luò)中計(jì)算機(jī)的登錄密碼，如局域網(wǎng)中存在可讀寫(xiě)的共享，也會(huì)造成該病毒通過(guò)局域網(wǎng)共享進(jìn)行傳播。

【病毒分析】

首先病毒會(huì)判斷系統(tǒng)版本是否是 Win2000或WinXP 以上系統(tǒng)，如果是病毒才繼續(xù)執(zhí)行，并且為病毒進(jìn)程添加 SeDebugPrivilege 權(quán)限，對(duì)本機(jī)計(jì)算機(jī)名稱進(jìn)行 CRC32 計(jì)算,通過(guò)得到的 CRC32 值創(chuàng)建病毒互斥量，判斷自己是否是 rundll32.exe 程序啟動(dòng)的。如果不是就判斷是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 進(jìn)程，然后將自己的代碼加載到這兩個(gè)進(jìn)程中的其中一個(gè)進(jìn)程上，最后修改注冊(cè)表，讓系統(tǒng)不顯示隱藏文件，從而使病毒可以被系統(tǒng)加載。

該病毒會(huì)在%windir%system32目錄下釋放一個(gè)動(dòng)態(tài)庫(kù)文件，名字隨機(jī)生成，如XXXXXXX.DLL ；并且會(huì)以獨(dú)占內(nèi)存的方式存在，需要多次重啟才能刪除。

針對(duì)services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、進(jìn)程進(jìn)行DNS查詢以及TCP傳輸過(guò)程攔截，針對(duì)殺毒軟件關(guān)鍵字進(jìn)行過(guò)濾，其中包含 rising、avast、nod32、mcafee 等等。使當(dāng)前中毒計(jì)算機(jī)無(wú)法訪問(wèn)安全廠商的網(wǎng)站。

停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服務(wù)，并且改為手動(dòng)，避免系統(tǒng)更新以及系統(tǒng)安全檢查程序。

枚舉網(wǎng)絡(luò)計(jì)算機(jī)的用戶名和自帶的密碼表，利用 IPC$ ADMIN$ 共享復(fù)制病毒到遠(yuǎn)程計(jì)算機(jī)然后通過(guò)Rundll32遠(yuǎn)程啟動(dòng)，枚舉驅(qū)動(dòng)器 創(chuàng)建自身到 RECYCLER、System32文件夾下面，嘗試訪問(wèn) http://、http://等等網(wǎng)站得到當(dāng)前月數(shù)。再通過(guò)時(shí)間經(jīng)過(guò)內(nèi)置算法計(jì)算病毒的升級(jí)鏈接，方便病毒作者更新。

【處理辦法】

一、使用專殺處理方式：（推薦）

①首先將瑞星軟件升級(jí)到最新版本并使用抓包工具確定病毒發(fā)包源，染毒機(jī)器一般都會(huì)通過(guò)139、445端口發(fā)送大量數(shù)據(jù)包，特別是在整點(diǎn)時(shí)段。

② 確定發(fā)包源后，將發(fā)包機(jī)器斷網(wǎng)，進(jìn)入安全模式之后清空多余的“任務(wù)計(jì)劃”并使用專殺工具查殺，無(wú)論是否查出病毒都需重啟，進(jìn)入正常模式后將系統(tǒng)補(bǔ)丁全部打上，尤其是MS08-067補(bǔ)丁，該漏洞在微軟上的補(bǔ)丁名稱為：KB958644。

③ 確認(rèn)MS08-067補(bǔ)丁正確打上：打上該補(bǔ)丁之后，在%windir%system32目錄下會(huì)有一個(gè)netapi32.dll文件，并且需要確定該文件的版本是否正確，版本正確才證明正確打上該補(bǔ)丁了，否則需要通過(guò)控制面板卸載重裝：

? windows2000 sp4系統(tǒng)下，此文件的版本應(yīng)該為:5.0.2195.7203

? windows xp sp2/sp3系統(tǒng)下，此文件的版本為:5.1.2600.3462/5694

? windows 2003 SP1/SP2系統(tǒng)下，此文件版本為：5.2.3790.3229/4392

? windows 2008 vista系統(tǒng)下，此文件版本為：6.0.6000.16764；

6.0.6000.20937；6.0.6001.18157；6.0.6001.22288

④ 使用cmd命令進(jìn)入命令行模式，使用“net share”命令查看本機(jī)共享，至少需要關(guān)閉所有讀寫(xiě)共享，只讀共享可以保留。

⑤ 定期修改系統(tǒng)密碼，并需要設(shè)置十位以上強(qiáng)密碼。盡量不使用域管理員賬號(hào)在其它非域控機(jī)器上登錄。

⑥ 最后使用已經(jīng)升級(jí)到最新版的瑞星殺毒軟件全盤(pán)殺毒，確定本機(jī)無(wú)病毒之后，再接入網(wǎng)內(nèi)。

⑦ 所有發(fā)包源機(jī)器都處理完成之后，再執(zhí)行全網(wǎng)同時(shí)殺毒，確保讓病毒無(wú)處隱藏。如果有條件的，可以通過(guò)防火墻或交換機(jī)將135、139和445這三個(gè)常見(jiàn)的病毒利用端口屏蔽。

二、手動(dòng)處理方式：

① 首先通過(guò)“文件夾選項(xiàng)”顯示出所有隱藏文件，包括受保護(hù)的操作系統(tǒng)文件。② 打開(kāi)%windir%system32目錄，將文件按詳細(xì)信息排列，顯示文件屬性和創(chuàng)建日期。讓文件按照屬性排列，查看是否有可疑的DLL文件，并且為隱藏屬性，注意創(chuàng)建的時(shí)間是否是染毒時(shí)間，確認(rèn)之后在刪除的時(shí)候提示無(wú)法刪除。

③ 打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost，雙擊右側(cè)的netsvcs，查看neisvcs的數(shù)值數(shù)據(jù)，查找其中的可疑項(xiàng)（此操作需要對(duì)net svcs的服務(wù)熟悉才行，一般可疑項(xiàng)會(huì)在wmdmpmsp之后）。

④ 記下此服務(wù)名，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer，嘗試刪除此項(xiàng)，提示無(wú)法刪除，查看此項(xiàng)權(quán)限，僅有system，且沒(méi)有讀取權(quán)限，可以增加權(quán)限，點(diǎn)擊“高級(jí)”，勾選從父項(xiàng)繼承和替換到子對(duì)象兩個(gè)勾，提示都點(diǎn)擊是和確定即可。操作后，即可刪除wscserver項(xiàng)鍵值；

⑤ 重啟計(jì)算機(jī)，刪除一開(kāi)始在%windir%system32目錄下發(fā)現(xiàn)的可疑文件，刪除HKEY_LOCAL_MACHINESYSTEMControlSet001和

HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer鍵值（避免恢復(fù)到上一次正確的配置后再次恢復(fù)此鍵值）即可。

第二篇：病毒查殺分析報(bào)告

東營(yíng)市醫(yī)藥公司和扣分公司

病毒查殺分析報(bào)告

2013本企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)未發(fā)生重大病毒感染情況，計(jì)算機(jī)系統(tǒng)運(yùn)行正常。

信息科

2014年1月6日

第三篇：典型病毒分析報(bào)告

典型病毒的分析

班級(jí)： 姓名： 學(xué)號(hào)：

一、計(jì)算機(jī)病毒

1.1、簡(jiǎn)介

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。

除復(fù)制能力外，某些計(jì)算機(jī)病毒還有其他一些共同特性：一個(gè)被污染的程序能夠傳送病毒載體。當(dāng)你看到病毒載體似乎僅僅表現(xiàn)在文字和圖像上時(shí)，它們可能也已毀壞了文件、再格式化了你的硬盤(pán)驅(qū)動(dòng)或引發(fā)了其他類型的災(zāi)害。若是病毒并不寄生于一個(gè)污染程序，它仍然能通過(guò)占據(jù)存儲(chǔ)空間給你帶來(lái)麻煩，并降低你的計(jì)算機(jī)的全部性能。

可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤(pán)、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散，能“傳染”其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序，它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤(pán)、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí)，它會(huì)自生復(fù)制并傳播，使計(jì)算機(jī)的資源受到不同程序的破壞等。這些說(shuō)法在某種意義上借用了生物學(xué)病毒的概念，計(jì)算機(jī)病毒同生物病毒所相似之處是能夠侵入計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)，危害正常工作的“病原體”。它能夠?qū)τ?jì)算機(jī)系統(tǒng)進(jìn)行各種破壞，同時(shí)能夠自我復(fù)制，具有傳染性。

所以，計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。

1.2、計(jì)算機(jī)病毒的引導(dǎo)過(guò)程

一般包括以下三方面。

（1）駐留內(nèi)存病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。為此就必須開(kāi)辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間。有的病毒不駐留內(nèi)存。

（2）竊取系統(tǒng)控制權(quán)在病毒程序駐留內(nèi)存后，必須使有關(guān)部分取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。此后病毒程序依據(jù)其設(shè)計(jì)思想，隱蔽自己，等待時(shí)機(jī)，在條件成熟時(shí)，再進(jìn)行傳染和破壞。

（3）恢復(fù)系統(tǒng)功能病毒為隱蔽自己，駐留內(nèi)存后還要恢復(fù)系統(tǒng)，使系統(tǒng)不會(huì)死機(jī)，只有這樣才能等待時(shí)機(jī)成熟后，進(jìn)行感染和破壞的目的。

有的病毒在加載之前進(jìn)行動(dòng)態(tài)反跟蹤和病毒體解密。對(duì)于寄生在磁盤(pán)引導(dǎo)扇區(qū)的病毒來(lái)說(shuō)，病毒引導(dǎo)程序占有了原系統(tǒng)引導(dǎo)程序的位置，并把原系統(tǒng)引導(dǎo)程序搬移到一個(gè)特定的地方。這樣系統(tǒng)一啟動(dòng)，病毒引導(dǎo)模塊就會(huì)自動(dòng)地裝入內(nèi)存并獲得執(zhí)行權(quán)，然后該引導(dǎo)程序負(fù)責(zé)將病毒程序的傳染模塊和發(fā)作模塊裝入內(nèi)存的適當(dāng)位置，并采取常駐內(nèi)存技術(shù)以保證這兩個(gè)模塊不會(huì)被覆蓋，接著對(duì)該兩個(gè)模塊設(shè)定某種激活方式，使之在適當(dāng)?shù)臅r(shí)候獲得執(zhí)行權(quán)。處理完這些工作后，病毒引導(dǎo)模塊將系統(tǒng)引導(dǎo)模塊裝入內(nèi)存，使系統(tǒng)在帶毒狀態(tài)下運(yùn)行。對(duì)于寄生在可執(zhí)行文件中的病毒來(lái)說(shuō)，病毒程序一般通過(guò)修改原有可執(zhí)行文件，使該文件一執(zhí)行首先轉(zhuǎn)入病毒程序引導(dǎo)模塊，該引導(dǎo)模塊也完成把病毒程序的其他兩個(gè)模塊駐留內(nèi)存及初始化的工作，然后把執(zhí)行權(quán)交給執(zhí)行文件，使系統(tǒng)及執(zhí)行文件在帶毒的狀態(tài)下運(yùn)行。

1.3、常見(jiàn)病毒發(fā)作癥狀

（1）屏幕異常滾動(dòng)，和行同步無(wú)關(guān)。（2）系統(tǒng)文件長(zhǎng)度發(fā)生變化。（3）出現(xiàn)異常信息、異常圖形。

（4）運(yùn)行速度減慢，系統(tǒng)引導(dǎo)、打印速度變慢。（5）存儲(chǔ)容量異常減少。（6）系統(tǒng)不能由硬盤(pán)引導(dǎo)。（7）系統(tǒng)出現(xiàn)異常死機(jī)。（8）數(shù)據(jù)丟失。（9）執(zhí)行異常操作。

（10）綁架安全軟件，殺毒軟件、系統(tǒng)管理工具、反間諜軟件不能正常啟動(dòng)。

二、典型病毒分析（包括特征、原理及清除辦法）

2.1、特洛伊木馬——NetBus NetBus是一個(gè)和著名網(wǎng)絡(luò)攻擊程序Back Orifice類似的網(wǎng)絡(luò)特洛伊木馬程序。它會(huì)在被駐留的系統(tǒng)中開(kāi)一個(gè)“后門”，使所有連接到Internet上的人都能神不知鬼不覺(jué)地訪問(wèn)到被駐留機(jī)器，然后控制者可以惡作劇地隨意控制你的鼠標(biāo)，在你機(jī)器上播放聲音文件，或者打開(kāi)你的光驅(qū)等，更危險(xiǎn)的當(dāng)然是刪除你的文件，讓你的機(jī)器徹底崩潰。

NetBus由兩部分組成：客戶端程序（netbus.exe）和服務(wù)器端程序（通常文件名為：patch.exe）。要想“控制”遠(yuǎn)程機(jī)器，必須先將服務(wù)器端程序安裝到遠(yuǎn)程機(jī)器上（如：通過(guò)遠(yuǎn)程機(jī)器的主人無(wú)意中運(yùn)行了帶有NetBus的所謂特洛伊木馬程序）。

特別是NetBus 1.70，它在以前的版本上增加了許多“新功能”，從而使它更具危險(xiǎn)性，如NetBus 1.60只能使用固定的服務(wù)器端TCP/UDP端口：12345，而在1.70版本中則允許任意改變端口號(hào)，從而減少了被發(fā)現(xiàn)的可能性；重定向功能（Redirection）更使攻擊者可以通過(guò)被控制機(jī)控制其網(wǎng)絡(luò)中的第三臺(tái)機(jī)器，從而偽裝成內(nèi)部客戶機(jī)。這樣，即使路由器拒絕外部地址，只允許內(nèi)部地址相互通信，攻擊者也依然可以占領(lǐng)其中一臺(tái)客戶機(jī)并對(duì)網(wǎng)中其他機(jī)器進(jìn)行控制。

通常，NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中，它會(huì)在Windows啟動(dòng)時(shí)自動(dòng)啟動(dòng)。該程序的文件名是patch.exe，如果該程序通過(guò)一個(gè)名為whackamole.exe的游戲安裝潛伏的話，文件名應(yīng)為explore.exe或game.exe?？梢詸z查Windows系統(tǒng)注冊(cè)表，NetBus會(huì)在下面的路徑中加入自身啟動(dòng)項(xiàng)項(xiàng)： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” NetBus通過(guò)該注冊(cè)項(xiàng)實(shí)現(xiàn)Windows啟動(dòng)時(shí)的自動(dòng)啟動(dòng)。但如果你按Ctrl+Alt+Del組合鍵，在任務(wù)列表中是看不到它的存在的。

有些木馬程序在種木馬的同時(shí)，感染系統(tǒng)文件，所以即使用以上方法去除了木馬，系統(tǒng)文件被運(yùn)行后，會(huì)重新種植木馬。即使是防病毒軟件，也不一定能徹底清除。

上述木馬病毒正確的去除方法見(jiàn)下圖：

2.2、震蕩波病毒（1）病毒描述

Sasser病毒，中文名為“震蕩波”病毒，也有人稱之為“殺手”病毒，這是一種蠕蟲(chóng)病毒。它利用微軟WindowsNT內(nèi)核平臺(tái)上的LSASS漏洞，隨機(jī)的掃描其他網(wǎng)絡(luò)中計(jì)算機(jī)的IP端口，然后進(jìn)行傳播。

中毒電腦出現(xiàn)機(jī)器CPU資源被消耗殆盡、系統(tǒng)反復(fù)重啟等癥狀。震蕩波病毒的具體破壞方式是：在本地開(kāi)辟后門，監(jiān)聽(tīng)TCP 5554端口，作為FTP服務(wù)器等待遠(yuǎn)程控制命令。病毒以FTP的形式提供文件傳送，黑客可以通過(guò)這個(gè)端口偷竊用戶機(jī)器的文件和其他信息。病毒開(kāi)辟128個(gè)掃描線程，以本地IP地址為基礎(chǔ)，取隨機(jī)IP地址，瘋狂的試探連接445端口，試圖利用windows的LSASS中存在一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊。一旦攻擊成功會(huì)導(dǎo)致對(duì)方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會(huì)造成對(duì)方機(jī)器的緩沖區(qū)溢出，導(dǎo)致對(duì)方機(jī)器程序非法操作以及系統(tǒng)異常等。

（2）病毒清除

第一步：http://www.tmdps.cn/china/technet/security/bulletin/ms04-011.mspx下載相應(yīng)的漏洞補(bǔ)丁程序，斷網(wǎng)安裝。第二步：清除內(nèi)存中“avserve.exe”的進(jìn)程。

第三步：清除在系統(tǒng)安裝目錄（默認(rèn)為C:WINNT）下avserve.exe的病毒文件和系統(tǒng)目錄下（默認(rèn)為C:WINNTSystem32）_UP.exe的病毒文件。

第四步：刪除注冊(cè)表：HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentversionRun項(xiàng)中名為“avserve.exe”的病毒鍵值。第五步：重新啟動(dòng)計(jì)算機(jī)。

2.3、求職信病毒

（1）特征及原理：Worm.Klez.L是一種蠕蟲(chóng)病毒，病毒體內(nèi)包含大量加密字符串。由于此病毒能提升自身的運(yùn)行級(jí)別，使得一般程序無(wú)法結(jié)束或訪問(wèn)它的進(jìn)程，包括Windows自帶的任務(wù)管理器。因此無(wú)法手工清除此病毒。

病毒在得到運(yùn)行后，首先提升自身的運(yùn)行級(jí)別，然后將自己復(fù)制到Windows系統(tǒng)目錄下，文件名總以Wink開(kāi)頭，同時(shí)還會(huì)放出一個(gè)小病毒體（Win32.Foroux.exe），最后分別運(yùn)行它們并退出。當(dāng)病毒被自己再次運(yùn)行時(shí)，它會(huì)發(fā)現(xiàn)自身已處于系統(tǒng)目錄下，此時(shí)病毒運(yùn)行線路發(fā)生改變，它不再?gòu)?fù)制自身，而是創(chuàng)建7個(gè)病毒線程，并以系統(tǒng)服務(wù)的形式駐留內(nèi)存。

Worm.Klez.L的最大特點(diǎn)在于其抑制殺毒軟件的能力大為提高，甚至包括一些著名病毒（它的早期版本），只要是阻礙Worm.Klez.L傳播的軟件它都不放過(guò)。它通過(guò)注冊(cè)表和內(nèi)存兩方面破壞這些軟件。

而Worm.Klez.L還把此進(jìn)程所對(duì)應(yīng)的程序文件也給刪除了。由于殺毒軟件和某些工具的代碼塊或數(shù)據(jù)塊中常包含此類字符串。并且病毒每次輪詢的間隔只有64毫秒（加上搜索的時(shí)間也不過(guò)幾秒）。在它之后啟動(dòng)的殺毒軟件在單擊殺毒按鈕前就已被干掉，以至于無(wú)法帶毒殺毒。

（2）清除辦法：

在WINDOWS 95/98/ME系統(tǒng)下的清除：先運(yùn)行在WINDOWS 95/98/ME系統(tǒng)下的安全模式

下，使用注冊(cè)表編輯工具regedit將網(wǎng)絡(luò)蠕蟲(chóng)增加的鍵值刪除：HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrent VersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices 要?jiǎng)h除的注冊(cè)表項(xiàng)目是wink——?.exe的鍵值。

同時(shí)還必須相應(yīng)的將WINDOWS的SYSTEM目錄下的該隨機(jī)文件Wink——?.exe刪除,注意 還必須將回收站清空。刪除了相應(yīng)的病毒文件后，可以重新啟動(dòng)計(jì)算機(jī)，然后，在KVW3 000的安裝目錄下執(zhí)行KVD3000.EXE來(lái)清除該病毒。注意一些全部是網(wǎng)絡(luò)蠕蟲(chóng)的程序或者

文件是需要按照提示完全刪除的。在Windows 2000/XP系統(tǒng)下的清除: 清除方法基本和Windows 95/98/ME系統(tǒng)下的清除方法相同：先以安全模式啟動(dòng)計(jì)算 機(jī)，運(yùn)行注冊(cè)表編輯工具，同樣刪除該網(wǎng)絡(luò)蠕蟲(chóng)增加的鍵值：HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要?jiǎng)h除病毒增加的表項(xiàng)是： wink開(kāi)頭的隨機(jī)的表項(xiàng)。當(dāng)然你必須記住該項(xiàng)目的具體名稱(雖然是隨機(jī)的),然后在 系統(tǒng)目錄下將該文件刪除。注意該文件是隱含的，必須打開(kāi)顯示所有文件的選擇項(xiàng)目 才能查看該病毒文件。同樣的注冊(cè)表項(xiàng)還有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 2.4、灰鴿子木馬病毒

（1）病毒簡(jiǎn)介、特征及原理

灰鴿子是國(guó)內(nèi)一款著名后門，其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見(jiàn)絀?！盎银澴印弊?001年誕生之后，2004年、2005年、2006年連續(xù)三年被國(guó)內(nèi)殺毒軟件廠商列入10大病毒，甚至有些位居“毒王”。它的真正可怕之處是擁有“合法”的外衣，可以在網(wǎng)絡(luò)上買到，客戶端簡(jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。

黑客可以通過(guò)此后門遠(yuǎn)程控制被感染的電腦，在用戶毫無(wú)察覺(jué)的情況下，任意操控用戶的電腦，盜取網(wǎng)絡(luò)游戲密碼、銀行賬號(hào)、個(gè)人隱私郵件、甚至機(jī)密文件等。入侵者在滿足自身目的之后，可自行刪除灰鴿子文件，受害者根本無(wú)法察覺(jué)。

灰鴿子遠(yuǎn)程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個(gè)服務(wù)端程序，名字默認(rèn)為G_Server.exe。G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下（系統(tǒng)盤(pán)的windows目錄），然后再?gòu)捏w內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來(lái)記錄鍵盤(pán)操作。（G_Server.exe這個(gè)名稱并不固定，它是可以定制的。）

Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)，每次開(kāi)機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過(guò)攔截API調(diào)用來(lái)隱藏病毒，因此中毒后查看不到病毒文件及病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。

（2）病毒的清除

清除灰鴿子的服務(wù)。

打開(kāi) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注冊(cè)表項(xiàng)，查找“game.exe”，可以找到灰鴿子的服務(wù)項(xiàng)如Game_Server，刪除整個(gè)Game_Server項(xiàng)。

刪除灰鴿子程序文件。

在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動(dòng)計(jì)算機(jī)。

2.5宏病毒（1）特征及原理：

Word宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開(kāi)放性即Word中提供的WordBASIC編程接口，專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合，這種病毒宏的集合影響到計(jì)算機(jī)使用，并能通過(guò).DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播。宏病毒與以往的計(jì)算機(jī)病毒不同，它是感染微軟Word文檔文件.DOC和模板文件.DOT等的一種專向病毒。宏病毒與以往攻擊DOS和Windows文件的病毒機(jī)理完全不一樣，它以VB（WORDBASIC）高級(jí)語(yǔ)言的方式直接混雜在文件中，并加以傳播，不感染程序文件，只感染文檔文件。也許有人會(huì)問(wèn)：MicrosoftWordforWindows所生成的.DOC文件難道不是數(shù)據(jù)文件嗎？回答既是肯定的又是否定的。.DOC文件是一個(gè)代碼和數(shù)據(jù)的綜合體。雖然這些代碼不能直接運(yùn)行在x86的CPU上，但是可以由Word解釋執(zhí)行操作，因此他們的結(jié)果是一樣的。宏病毒是針對(duì)微軟公司的字處理軟件Word編寫(xiě)的一種病毒。微軟公司的字處理軟件是最為流行的編輯軟件，并且跨越了多種系統(tǒng)平臺(tái)，宏病毒充分利用了這一點(diǎn)得到恣意傳播。Word的文件建立是通過(guò)模板來(lái)創(chuàng)建的，模板是為了形成最終文檔而提供的特殊文檔，模板可以包括以下幾個(gè)元素：菜單、宏、格式（如備忘錄等）。模板是文本、圖形和格式編排的藍(lán)圖，對(duì)于某一類型的所有文檔來(lái)說(shuō)，文本、圖像和格式編排都是類似的。

Word提供了幾種常見(jiàn)文檔類型的模板，如備忘錄、報(bào)告和商務(wù)信件。您可以直接使用模板來(lái)創(chuàng)建新文檔，或者加

以修改，也可以創(chuàng)建自己的模板。一般情況下，Word自動(dòng)將新文檔基于缺省的公用模板（Normal.dot）?？梢钥闯?，模板在建立整個(gè)文檔中所起的作用，作為基類，文檔繼承模板的屬性，包括宏、菜單、格式等。WORD處理文檔需要同時(shí)進(jìn)行各種不同的動(dòng)作，如打開(kāi)文件、關(guān)閉文件、讀取數(shù)據(jù)資料以及儲(chǔ)存和打印等等。每一種動(dòng)作其實(shí)都對(duì)應(yīng)著特定的宏命令，如存文件與FileSave相對(duì)應(yīng)、改名存文件對(duì)應(yīng)著FileSaveAS、打印則對(duì)應(yīng)著Fil_ePrint等。WORD打開(kāi)文件時(shí)，它首先要檢查是否有AutoOpen宏存在，假如有這樣的宏，WORD就啟動(dòng)它，除非在此之前系統(tǒng)已經(jīng)被“取消宏（DisableAutoMacros）”命令設(shè)置成宏無(wú)效。當(dāng)然，如果Auto Close宏存在，則系統(tǒng)在關(guān)閉一個(gè)文件時(shí)，會(huì)自動(dòng)執(zhí)行它。

（2）清除方法：

①手工：以Word為例，選取“工具”菜單中“宏”一項(xiàng)，進(jìn)入“管理器”，選取標(biāo)題為“宏”的一頁(yè)，在“宏 有效范圍”下拉列表框中打開(kāi)要檢查的文檔。這時(shí)在上面的列表框中就會(huì)出現(xiàn)該文檔模板中所含的宏，將不明來(lái)源的自動(dòng)執(zhí)行宏刪除即可。

②使用專業(yè)殺毒軟件：目前殺毒軟件公司都具備清除宏病毒的能力，當(dāng)然也只能對(duì)已知的宏病毒進(jìn)行檢查和清除, 對(duì)于新出現(xiàn)的病毒或病毒的變種則可能不能正常地清除，或者將會(huì)破壞文件的完整性，此時(shí)還是手工清理為妙。

2.6蠕蟲(chóng)病毒（1）特征及原理：

蠕蟲(chóng)病毒不需要將其自身附著到宿主程序，它是一種獨(dú)立智能程序。有兩種類型的蠕蟲(chóng)：主機(jī)蠕蟲(chóng)與網(wǎng)絡(luò)蠕蟲(chóng)。主計(jì)算機(jī)蠕蟲(chóng)完全包含（侵占）在它們運(yùn)行的計(jì)算機(jī)中，并且使用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中，主計(jì)算機(jī)蠕蟲(chóng)在將其自身的拷貝加入到另外的主機(jī)后，就會(huì)終止它自身(因此在任意給定的時(shí)刻，只有一個(gè)蠕蟲(chóng)的拷貝運(yùn)行)，這種蠕蟲(chóng)有時(shí)也叫“野兔”，蠕蟲(chóng)病毒一般是通過(guò)1434端口漏洞傳播。蠕蟲(chóng)利用的端口是UDP/1434，該端口是SQL Server Resolution服務(wù)。Microsoft SQL Server 2000支持在單個(gè)物理主機(jī)上伺服多個(gè)SQL服務(wù)器的實(shí)例，每個(gè)實(shí)例操作需要通過(guò)單獨(dú)的服務(wù)，不過(guò)多個(gè)實(shí)例不能全部使用標(biāo)準(zhǔn)SQL服務(wù)會(huì)話會(huì)話端口(TCP 1433)，所以SQL Server Resolution服務(wù)操作監(jiān)聽(tīng)在UDP 1434端口，提供一種使客戶端查詢適當(dāng)?shù)木W(wǎng)絡(luò)末端用于特殊的SQL服務(wù)實(shí)例的途徑。

當(dāng)SQL Server Resolution服務(wù)在UDP 1434端口接收到第一個(gè)字節(jié)設(shè)置為0x04的UDP包時(shí)，SQL監(jiān)視線程會(huì)獲取UDP包中的數(shù)據(jù)并使用此用戶提供的信息來(lái)嘗試打開(kāi)注冊(cè)表中的某一鍵值，如發(fā)送x04x41x41x41x41類似的UDP包，SQL服務(wù)程序就會(huì)打開(kāi)如下注冊(cè)表鍵：HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion攻擊者可以通過(guò)在這個(gè)UDP包后追加大量字符串?dāng)?shù)據(jù)，當(dāng)嘗試打開(kāi)這個(gè)字符串相對(duì)應(yīng)的鍵值時(shí)，會(huì)發(fā)生基于棧的緩沖區(qū)溢出，通過(guò)包含“jmp esp”或者“call esp”指令的地址覆蓋棧中保存的返回地址，可導(dǎo)致以SQL Server進(jìn)程的權(quán)限在系統(tǒng)中執(zhí)行任意指令。

蠕蟲(chóng)溢出成功取得系統(tǒng)控制權(quán)后，就開(kāi)始向隨機(jī)IP地址發(fā)送自身，由于這是一個(gè)死循環(huán)的過(guò)程，發(fā)包密度僅和機(jī)器性能和網(wǎng)絡(luò)帶寬有關(guān)，所以發(fā)送的數(shù)據(jù)量非常大。在綠盟科技安全小組的測(cè)試中，和被感染機(jī)器在同一網(wǎng)段的每一臺(tái)分析機(jī)每秒鐘都收到了近千個(gè)數(shù)據(jù)包。

該蠕蟲(chóng)對(duì)被感染機(jī)器本身并沒(méi)有進(jìn)行任何惡意破壞行為，也沒(méi)有向硬盤(pán)上寫(xiě)文件。對(duì)于感染的系統(tǒng)，重新啟動(dòng)后就可以清除蠕蟲(chóng)，但是仍然會(huì)重復(fù)感染。由于發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬，形成Udp Flood，感染了該蠕蟲(chóng)的網(wǎng)絡(luò)性能會(huì)極度下降。一個(gè)百兆網(wǎng)絡(luò)內(nèi)只要有一兩臺(tái)機(jī)器感染該蠕蟲(chóng)就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)訪問(wèn)阻塞。

（2）清除方法

修補(bǔ)漏洞，安裝最新補(bǔ)丁。(請(qǐng)務(wù)必安裝補(bǔ)丁，避免二次中毒)手動(dòng)清除方法：

第一步，用任務(wù)管理器結(jié)束avserve進(jìn)程

第二步，刪除windows目錄(WINNT、WINDOWS等)下的avserve.exe；查找是否在系統(tǒng)目錄(SYSTEM32、SYSTEM)下存在<隨機(jī)字符>_UP.EXE的文件，如果有則刪除

第三步，刪除注冊(cè)表中的鍵值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“avserve.exe ”=“%WINDOWS%avserve.exe ”

三、結(jié)束語(yǔ)

目前計(jì)算機(jī)病毒種類繁多，而且新的病毒不斷出現(xiàn)，本文僅介紹幾種常見(jiàn)典型病毒的特征、原理及其清除方法，對(duì)于絕大多數(shù)病毒我們應(yīng)嚴(yán)加警惕，實(shí)時(shí)更新自己的殺毒軟件和防病毒工具，只有做到時(shí)時(shí)預(yù)防，時(shí)時(shí)警惕，才能保證我們的電腦不被攻擊。

第四篇：登革熱病毒的分析和相關(guān)舉措

青島農(nóng)業(yè)大學(xué)課程論文

（2020-2021學(xué)年第一學(xué)期）

論文題目： 登革熱病毒的分析和相關(guān)舉措

課程名稱： 致命的人類病毒

任課教師： 于永樂(lè)

班 級(jí)： 公管1903

學(xué) 號(hào)： 20190201295

姓 名： 梁國(guó)慶

2020年 12月4日

登革熱病毒的分析和相關(guān)舉措

登革熱，又稱斷骨熱，是由登革病毒引起的、經(jīng)伊蚊傳播的急性傳染病?！?】在拉丁美洲和東南亞的許多國(guó)家，登革熱爆發(fā)較為常見(jiàn)。非洲、中東部分地區(qū)、西太平洋地區(qū)、波多黎各等熱帶和亞熱帶地區(qū)，也存在登革熱的流行。我國(guó)廣東、云南、福建、浙江、海南等南方省份可發(fā)生登革熱流行，主要發(fā)生在夏秋季。

一、病原學(xué)

【2】登革熱病毒屬B組蟲(chóng)媒病毒，現(xiàn)在歸入披蓋病毒科黃熱病毒屬。病毒顆粒呈啞鈴狀（700×20——40nm）、棒狀或球形（直徑為20——50nm）。髓核為單股線狀核糖核酸（RNA）。病毒顆粒與乙型腦炎病毒相似，最外層為兩種糖蛋白組成的包膜，包膜含有型和群特異性抗原，用中和試驗(yàn)可鑒定其型別。登革病毒可分為4個(gè)血清型，與其他B組蟲(chóng)媒病毒如乙型腦炎病毒可交叉免疫反應(yīng)。

登革病毒在1～3日齡新生小白鼠腦、猴腎細(xì)胞株、伊蚊胸肌及C6/36細(xì)胞株內(nèi)生長(zhǎng)良好，并產(chǎn)生恒定的細(xì)胞病變。但接種猴子、猩猩和其他實(shí)驗(yàn)動(dòng)物，不產(chǎn)生癥狀。

登革病毒對(duì)寒冷的低抗力強(qiáng)，在人血清中貯存于普通冰箱可保持傳染性數(shù)周，-70℃可存活8年之久；但不耐熱，50℃、30min或100℃、2min皆能使之滅活；不耐酸、不耐醚。用乙醚、紫外線或0.05%福爾馬林可以滅活。

二、臨床癥狀

【4】患者被攜帶病毒的蚊蟲(chóng)叮咬后，通常經(jīng)過(guò) 4～7 天開(kāi)始出現(xiàn)癥狀。多數(shù)患者病情較輕，尤其是兒童和青少年患者，通常 1～2 周內(nèi)癥狀好轉(zhuǎn)，也不會(huì)留下后遺癥。少數(shù)情況下，患者病情嚴(yán)重，發(fā)展為登革出血熱，引起嚴(yán)重出血和血壓降低，進(jìn)而導(dǎo)致休克或死亡。登革熱的癥狀可輕可重。輕癥患者的常見(jiàn)癥狀有：突發(fā)高熱，可達(dá) 40 ℃ 以上；劇烈頭痛；眼睛疼痛；肌肉和關(guān)節(jié)疼痛（故該病又稱“斷骨熱”）；皮疹；惡心、嘔吐和食欲減退；輕度淋巴結(jié)腫大。發(fā)熱通常持續(xù)一周，也可能間斷出現(xiàn)。首次發(fā)熱后，少數(shù)患者可能出現(xiàn)更嚴(yán)重的癥狀，即登革出血熱。出血體征，如皮膚淤青或小紅點(diǎn)、口鼻和牙齦出血、嘔血、黑色柏油樣便；劇烈腹痛；休克跡象，如皮膚濕冷、呼吸急促、脈搏虛弱、意識(shí)不清等。

既往罹患過(guò)登革熱的患者，再次患病時(shí)更容易發(fā)生登革出血熱。

突然起病，迅速發(fā)熱，24 小時(shí)內(nèi)體溫可達(dá) 40℃，可伴有怕冷、較劇烈的頭痛、眼眶痛、肌肉、關(guān)節(jié)和骨骼痛及疲乏、惡心、嘔吐等癥狀；發(fā)熱一般持續(xù) 2-7 天，在病程第 3-6 日出現(xiàn)充血性皮疹或針尖樣出血點(diǎn)，分布于四肢軀干或頭面部，多有癢感，持續(xù) 3-5 天。

在早期的時(shí)候，與感冒、流感等相似，容易誤診。少數(shù)患者會(huì)在發(fā)病的 3-5 天突然加重，可能出現(xiàn)劇烈頭痛、嘔吐、狂躁、昏迷、抽搐、大量出汗、血壓驟降、頸強(qiáng)直、瞳孔縮小等重癥癥狀。

三、診斷方法

【3】登革熱病癥的診斷方式有尿常規(guī)可有少量蛋白、紅細(xì)胞、白細(xì)胞，有時(shí)有管型。病毒分離，取早期患者血液，接種于白紋伊蚊細(xì)胞株（C6/36）、分離病毒后須經(jīng)特異性中和試驗(yàn)或血凝抑制試驗(yàn)加以鑒定。血清免疫學(xué)檢查，檢測(cè)患者血清中登革病毒RNA，其敏感性高于病毒分離，可用于早期快速診斷，還有登革熱病毒核酸檢測(cè)。

四、預(yù)防和控制措施

登革熱病毒的傳播主要通過(guò)伊蚊（埃及伊蚊和白紋伊蚊）叮咬傳播，不會(huì)通過(guò)人傳人傳播。目前還沒(méi)有疫苗用于預(yù)防登革熱，因此最佳預(yù)防措施是滅蚊和防蚊，也就是杜絕蚊蟲(chóng)孳生和做好個(gè)人防護(hù)。

滅蚊措施：清理家中水缸、盆、罐壇等積水容器，翻盆倒罐清除積水，水養(yǎng)植物 3-5 天要換水或者改為土培，水缸要加蓋，垃圾桶要加蓋，地漏、下水道等處防止積水，并時(shí)常噴點(diǎn)殺蟲(chóng)劑，讓伊蚊找不到產(chǎn)卵地點(diǎn)。

防蚊措施：居室內(nèi)安裝紗窗、紗門，和蚊帳。外出涂抹驅(qū)蚊液以及驅(qū)蚊花露水，正規(guī)商場(chǎng)超市里售賣的驅(qū)蚊液和驅(qū)蚊花露水的有效成分大多為避蚊胺和驅(qū)蚊酯，驅(qū)蚊的效果都很好。

五、個(gè)人體會(huì)及感悟

登革熱﹝俗稱“斷骨熱”﹞是一種由登革熱病毒引起的急性發(fā)熱傳染病，由蚊子傳播給人類。病原體為登革熱病毒。登革熱通過(guò)帶有登革熱病毒的雌性伊蚊叮咬而傳染給人類。主要傳播媒介為埃及伊蚊、白紋伊蚊。其中白紋伊蚊（俗稱“花斑蚊”）在我省分布廣泛，主要在清水容器中孳生，大多數(shù)在屋外或野外陰暗處流連，但亦會(huì)在戶內(nèi)活動(dòng)。雌蚊嗜吸人血，吸血高峰在日落前兩小時(shí)（約為下午五、六時(shí)），及早上八、九時(shí)。感染登革熱病毒后，經(jīng)過(guò)3至15天的潛伏期（通常為5至8日），患者多以突然發(fā)熱為首發(fā)癥狀，持續(xù)發(fā)熱3～5天，嚴(yán)重頭痛，四肢酸痛、關(guān)節(jié)痛、肌肉痛、背痛、后眼窩痛。發(fā)病后3、4日出現(xiàn)紅疹，惡心、。嘔吐，輕微的流牙血和流鼻血。病后有可能出現(xiàn)極度疲倦及抑郁癥狀，極少數(shù)病者會(huì)惡化至出血性登革熱，并進(jìn)一步出血、休克，嚴(yán)重時(shí)可引致死亡。

雖然我們地處北方，對(duì)于登革熱病毒離得比較遠(yuǎn)，但對(duì)于登革熱病毒的危害，我們是深有感觸的，而且現(xiàn)代醫(yī)學(xué)到目前為止并沒(méi)有一種有效疫苗來(lái)預(yù)防登革熱。預(yù)防登革熱只能是通過(guò)清除積水，防止伊蚊孳生，以避免給蚊子叮咬，有關(guān)預(yù)防蚊咬的措施如下：到登革熱流行區(qū)旅游或生活，應(yīng)穿著長(zhǎng)袖衣服及長(zhǎng)褲，并于外露的皮膚及衣服上涂上蚊蟲(chóng)驅(qū)避藥物。如房間沒(méi)有空調(diào)設(shè)備，應(yīng)裝置蚊帳或防蚊網(wǎng)。使用家用殺蟲(chóng)劑殺滅成蚊，并遵照包裝指示使用適當(dāng)?shù)姆萘俊Ｇ形鹣蜻\(yùn)作中的電器用品或火焰直接噴射殺蟲(chóng)劑，以免發(fā)生爆炸。避免在“花斑蚊”出沒(méi)頻繁時(shí)段在樹(shù)蔭、草叢、涼亭等戶外陰暗處逗留。防止積水，清除伊蚊孳生地：盡量避免用清水養(yǎng)殖植物。對(duì)于花瓶等容器，每星期至少清洗、換水一次，勿讓花盆底盤(pán)留有積水。把所有用過(guò)的罐子及瓶子放進(jìn)有蓋的垃圾桶內(nèi)。將貯水容器、水井及貯水池加蓋。所有渠道要保持暢通。將地面凹陷的地方全部填平，以防積水。到東南亞旅游后半個(gè)月內(nèi)如出現(xiàn)發(fā)熱，應(yīng)盡早就醫(yī)治療，并向醫(yī)生說(shuō)明旅行史。

雖然直到如今登革熱的疫苗仍然沒(méi)有研制出來(lái)，但只要我們做到這些措施，切斷登革熱的傳播途徑。我相信，總有一天，登革熱這一道險(xiǎn)關(guān)一定會(huì)的被攻克的！

參考文獻(xiàn):

【1】Science：全球聯(lián)盟重新繪制登革熱病毒圖譜，解釋二次感染危及生命等問(wèn)題。Derek Smith 2015年9月期

【2】國(guó)外醫(yī)學(xué)(微生物學(xué)分冊(cè))1979年01期

【3】中國(guó)急救復(fù)蘇與災(zāi)害醫(yī)學(xué)雜志

【4】百度百科

第五篇：Windows系統(tǒng)安全分析-病毒篇

病毒是如何進(jìn)入我們的系統(tǒng)的?

有一點(diǎn)可以肯定計(jì)算機(jī)病毒不會(huì)在自己的硬盤(pán)里“生”出來(lái)。它一定是從其它儲(chǔ)存介質(zhì)復(fù)制到我們的硬盤(pán)，通常有許多途徑都可以讓病毒有被復(fù)制在我們硬盤(pán)的可能性。下載就是其中被病毒傳播者用得比較多的一種途徑。我們?cè)谙螺d時(shí)，不管是電影、壓縮包、游戲、文檔、或是郵件都有可能被置放病毒。因而下載回來(lái)一定要記住:先掃描后使用。

由于閃盤(pán)價(jià)格的大幅度下降，擁有U盤(pán)等閃盤(pán)的用戶越來(lái)越多。閃盤(pán)被病毒盯上，這種傳播方式需要在U盤(pán)根目錄下新建一個(gè)名為autorun.inf的文件和復(fù)制病毒本身。事前在根目錄下新建名為autorun.inf的文件夾能防止這種方式的傳播此外

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主鍵下，在右窗格中找到“NoDriveTypeAutoRun”，就是這個(gè)鍵決定了是否執(zhí)行各類盤(pán)的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移動(dòng)驅(qū)動(dòng)器。也就是說(shuō)可以利用這個(gè)鍵來(lái)防止各類盤(pán)的自動(dòng)播放，預(yù)防中毒。[1]

光盤(pán)有時(shí)也有可能會(huì)被病毒感染，成為病毒傳播的途徑之一。另外系統(tǒng)本身存在的漏洞也是病毒利用的途徑之一。

因而預(yù)防病毒要做到，外來(lái)的文件要先經(jīng)過(guò)掃描后才使用，系統(tǒng)的漏洞要及時(shí)補(bǔ)上。

病毒是如何激活運(yùn)行的?

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，一個(gè)可執(zhí)行文件。如何它不運(yùn)行它就不會(huì)對(duì)系統(tǒng)造成威脅。最多只是占著硬盤(pán)空間。但是一旦激運(yùn)行了病毒程序，它會(huì)對(duì)系統(tǒng)造成怎么樣的損害依病毒的破壞性強(qiáng)弱和計(jì)算機(jī)系統(tǒng)本身的自我保護(hù)能力而定。因而不給病毒運(yùn)行的機(jī)會(huì)，就是病毒存在于硬盤(pán)中也不會(huì)對(duì)系統(tǒng)造成嚴(yán)重破壞。那如何防止病毒的激活呢?一般情況下，病毒會(huì)有好幾種啟動(dòng)方式。病毒用的比較多的是注冊(cè)表和系統(tǒng)服務(wù)。注冊(cè)表環(huán)境復(fù)雜，大多數(shù)計(jì)算機(jī)用戶對(duì)其望而生畏。病毒很喜歡將其啟動(dòng)的資料放在這里面。而系統(tǒng)服務(wù)會(huì)在系統(tǒng)啟動(dòng)的過(guò)程中被自動(dòng)啟動(dòng)，因而病毒也很喜歡躲在這里面混水摸魚(yú)。[2]

除了這兩種啟動(dòng)方式外，還有捆綁文件，各類盤(pán)的自動(dòng)播放，文件關(guān)聯(lián)，程序映射等方法也能讓病毒有被激活運(yùn)行的可能性。

保證計(jì)算機(jī)病毒不被激活是計(jì)算機(jī)病毒預(yù)防工作的重點(diǎn)之一。所以對(duì)注冊(cè)表用啟動(dòng)程序的關(guān)鍵鍵值要加以注意。定時(shí)查看系統(tǒng)服務(wù)是不是正常。利用一些小工具查看文件關(guān)聯(lián)是否正常，有沒(méi)有程序已經(jīng)被映射了。對(duì)外來(lái)文件要先經(jīng)過(guò)掃描后先可以使用。

除了以上方法外，給系統(tǒng)裝上一個(gè)合適的殺病軟件和防火墻也是非常必要的。它們對(duì)已經(jīng)出名的病毒的查殺能力是很強(qiáng)的。這樣可以幫計(jì)算機(jī)管理員省去不少工作。

如果病毒已經(jīng)激活了。及時(shí)發(fā)現(xiàn)病毒的存在能保證系統(tǒng)受到的破壞最小。那病毒有哪些癥狀呢?

從目前發(fā)現(xiàn)的病毒來(lái)看，主要癥狀有：

（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來(lái)，磁盤(pán)壞簇莫名其妙地增多。

（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間，使可執(zhí)行程序容量增。

（3）由于病毒程序把自己的某個(gè)特殊標(biāo)志作為標(biāo)簽，使接觸到的磁盤(pán)出現(xiàn)特別標(biāo)簽。

（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間，使可用系統(tǒng)空間變小。

（5）由于病毒程序的異?；顒?dòng)，造成異常的磁盤(pán)訪問(wèn)。

（6）由于病毒程序附加或占用引導(dǎo)部分，使系統(tǒng)導(dǎo)引變慢。

（7）丟失數(shù)據(jù)和程序。

（8）中斷向量發(fā)生變化。

（9）打印出現(xiàn)問(wèn)題。

（10）死機(jī)現(xiàn)象增多。

（11）生成不可見(jiàn)的表格文件或特定文件。

（12）系統(tǒng)出現(xiàn)異常動(dòng)作，例如：突然死機(jī)，又在無(wú)任何外界介入下，自行起動(dòng)。

（13）出現(xiàn)一些無(wú)意義的畫(huà)面問(wèn)候語(yǔ)等顯示。

（14）程序運(yùn)行出現(xiàn)異常現(xiàn)象或不合理的結(jié)果。

（15）磁盤(pán)的卷標(biāo)名發(fā)生變化。

（16）系統(tǒng)不認(rèn)識(shí)磁盤(pán)或硬盤(pán)不能引導(dǎo)系統(tǒng)等。

（17）在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。

（18）在使用寫(xiě)保護(hù)的軟盤(pán)時(shí)屏幕上出現(xiàn)軟盤(pán)寫(xiě)保護(hù)的提示。

（19）異常要求用戶輸入口令

當(dāng)出現(xiàn)這些情況時(shí)請(qǐng)及時(shí)檢查系統(tǒng)?；蛟S病毒正運(yùn)行在系統(tǒng)上，破壞著系統(tǒng)！

鬼片網(wǎng) http:// 整理