计算机病毒实例

1、计算机病毒MyDoom病毒 2004年1月26日，一种新的病毒MyDoom开始通过邮件传播，并对SCO、微软和波音等大公司的网站发起DDoS攻击。造成了一些大型公司，比如波音公司、SCO公司网络的瘫痪，但就像 2003年1月25日的Slammer病毒一样，由于MyDoom正值中国的春节期间爆发，当时并未给中国的企业造成巨大损失。 网速极慢，无法接收邮件，而且持续的时间相当长。 该病毒已经引起了国际反病毒厂商的高度重视，NAI公司已经将 MyDoom病毒设置为“高危险级别” 。 MyDoom病毒从破坏性和实现原理上都没有超过Slammer，它不是利用系统的漏洞，而纯粹是邮件病毒，但是，其编写技术

2、却发生了重大改变，使得病毒呈现新的特征-病毒开始智能化! MyDoom病毒的智能化体现在：能通过一些关键字自己创造新的邮件地址，比如，通过关键字“John”，在前后加一些字母，然后加上、 等后缀，形成新的邮件地址，然后开始通过这些新创造出来的邮件地址一个个试探性地发送病毒和垃圾邮件；可自动封堵一些著名反病毒公司的网站，比如NAI公司的网站，使中毒用户无法及时升级反病毒软件；自动探测用户计算机的端口，比如3127、8080端口，一旦发现没有被防火墙封堵的端口，就将木马和病毒程序通过这个端口置入用户计算机中，使远程攻击得逞；将垃圾邮件技术和病毒技术结合，利用垃圾邮件对网站进行大规模的DDoS攻击，

3、开创了网络攻击的新模式。 该病毒的传播占全球电子邮件通信量的2030，超过了诸如SoBig等蠕虫的传播速度。该病毒已超过“冲击波”成为最厉害的病毒。 从查杀MyDoom病毒本身来说，并不复杂。不像查杀 Slammer病毒，用户需要下载补丁程序，对MyDoom病毒，只需要升级病毒代码就可以了。目前，许多反病毒公司都已经研究出了病毒代码，用户只要升级了代码，并在邮件服务器中安装邮件反病毒软件，就能将该病毒消除。 MyDoom病毒的意义不在于病毒本身，而在于它从此将开创一个病毒智能化的时代。这是许多信息安全专家最为担心的事情。Hotmail蠕虫蠕虫(Worm.Hotmatom) 病毒感染计算机后，会

4、把自己复制到“windows”目录下，病毒文件名为“dho.exe”。 病毒会修改注册表，每次打开计算机后都自动运行，然后在后台监视用户的IE浏览器。当用户登陆到MSN Hotmail发送邮件时，病毒会在发送的邮件后插入病毒文字和链接：“Hi, Happy San Valentin Day Download you Postcards from http:/*（情人节到了，去*网站下载贺卡吧）”，用户点击该链接后就会中毒。 对付：平时打开杀毒软件的实时监控并升级到最新版本查杀此类病毒，对于可疑的链接不要随便点击。 Trojan.PSW.Lmir 木马程序，一个以窃取“传奇”游戏的密码和帐号为目

5、的的木马病毒，该病毒能通过窗口标题，进程名关闭一些反病毒软件，或防火墙软件如：Symantec AntiVirus 、 天网防火墙个人版 、天网防火墙企业版等。 病毒还会通过注册表搜索 “密码防盗专家 综合版”并且在起安装目录下搜索文件PasswordGuard.exe然后检查此文件是否已经运行，如果运行的话就将其强行结束。 病毒的主要危害为盗取用户进行游戏时登录的游戏账号密码并发送给病毒作者。 小不点木马程序小不点木马程序(TrojanDownloader.Small) 木马程序，依赖系统：Win9X/NT/2000/XP。“小不点”木马程序是一个开启被感染计算机的后门，记录键击，盗取用户机

6、密信息的木马程序。 “小不点”变种arl运行后，在系统目录下和Windows目录下创建大量病毒文件。修改注册表，实现开机自启。打开系统目录下的.sys病毒文件，隐藏自己在任务管理器中的进程，防止被查杀。开启指定的TCP端口，侦听黑客指令，盗取用户计算机系统信息或网络信息，发送特定邮件，访问指定站点等。 “冲击波(Worm.Blaster) ”病毒 该病毒于2003年8月11日发现，是一种新型蠕虫病毒（WORM-MSBlast.A），已经在国内互联网和部分专用网络上传播。该病毒利用微软WINDOWS操作系统的RPC漏洞，通过网络快速传播。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2

7、K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染。 一、冲击波(Worm.Blaster)蠕虫病毒症状： 1电脑不能正常复制粘贴，WORD、EXCEL、POWERPOINT等文件无法正常执行，弹出找不到文件的对话框，一些软件功能无法正常使用。 2系统网络连接数增大，系统反应奇慢，并可导致计算机系统崩溃。 3 病毒会对NT/2000/2003版本的windows的IIS服务进行侵害，造成DCOM组件报错，导致WWW服务瘫痪。 4 弹出窗口提示“RPC服务终止，需要重新启动计算机”。此病毒主要对windows2000/2003

8、 server版本危害比较大。 另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，在8月16日以后，该病毒还会使被攻击系统丧失更新该漏洞补丁的能力。 二、解决方案 1终止该计算机病毒运行 病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。打开WINDOWS任务管理器，在运行的程序清单中查找进程“MSBLAST.EXE”终止该进程的运行。2删除注册表中的自启动项单击开始运行，输入regedit命令，找到如下键值HKEY_LOCAL_MACHINESOFTWAREMICROSOFT WINDOWSCURRENTVERSIONRUN。在右边

9、的列表中查找并删除以下项目WINDOWS AUTO UPDATE= MSBLAST.EXE3、手动删除该病毒文件 %systemdir%msblast.exe “C:Windowssystem”或：“C:Winntsystem32” 4安装PRC漏洞的补丁程序5对135端口、69端口、4444端口的访问进行过滤，使得只能进行受信任以及内部的站点访问。6运行杀毒软件，对系统进行全面的病毒扫描和清除，然后重新启动计算机，再次进行病毒扫描，确认病毒是否彻底清除。 三、网络连接方面的解决方法1 Internet 连接防火墙 如果你在使用 Windows XP 或 Windows Server 2003

10、 中的 Internet 连接防火墙来保护你的 Internet 连接，则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。 2 禁用所有受影响的计算机上的 DCOM 如果一台计算机是一个网络的一部分，则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM，帮助其防范此漏洞，但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。 “妖怪”病毒 英文名称：Worm.Bugbear 该变种病毒邮件的主题为英文信息，极力诱惑邮件接收者打开附件。如果用户没有修补漏洞，在预览邮件时也会触发病毒。

11、该病毒还会每20秒检查一次系统进程，当发现有反病毒软件的进程存在时就会结束其进程。 由于病毒感染可执行文件，手工方法清除极为困难。 破坏： 感染Win32文件。病毒会感染部分系统目录或Program Files里的特定可执行程序，scandskw.exe；regedit.exe；mplayer.exe； Internet Exploreriexplore.exe等。 释放黑客后门程序。该变种病毒在激活时会释放后门程序记录宿主机的键盘击键操作，同时在本地系统监听1080端口，等待控制台端的连入，连接成功后宿主机即被黑客远程控制。 利用邮件和共享强烈传播。该变种病毒会试图从后缀后为.mmf,.nc

12、h,.mbx,.eml,.tbb,.dbx,.ocs的文件中搜出Email地址进行邮件传播。该变种病毒可搜索局域网内的共享资源，并把自己复制到对方系统开始菜单的启动项目录中。这样一来，用户下次开机时病毒就被触发。V宝贝宝贝(Win32.Worm.BabyV)“V宝贝宝贝(Win32.Worm.BabyV)”病毒属病毒属木马病毒，通过局域网、邮件、文件三种方式进行传播，依赖系统: WIN9X/NT/2000/XP。 病毒运行时会在系统安装目录中生成名为：123.txt，内容为：“babyv ; made of Ran”的文本文件,用户可以通过该特征来简单判断是否中毒。 病毒会释放出一个名为：ec

13、ho.vbs的文件，该文件可以自动向外发送大量标题为：“Microsoft Pack3, ;o)”，内容为：“Hi:This is Microsoft client server center，Check This!”的病毒邮件，影响互联网数据的正常传输。 该病毒还会通过写共享文件夹的方式疯狂感染局域网，造成整个网络病毒泛滥。 该病毒感染系统中的可执行文件，将自身代码插入到被感染文件中，造成所有可执行文件被改写，使系统运行速度变慢。 该病毒是继“中国黑客”之后的又一个混合型病毒，它集文件感染、局域网传播和邮件传播多种特性于一体，因此传播范围广、破坏性大，感染该病毒后很难象清除以往病毒那样进行手

14、工清除。假“安全补丁”是病毒！ 如果现在收到所谓微软公司的系统安全补丁，千万不要打开！被称为“嘲笑（Gibe）”和“斯文”（Swen）的新电脑病毒已被检测到，该病毒假冒安全补丁以电子邮件附件形式迅速扩散。 每秒钟能感染20台电脑。 该病毒是一种恶性蠕虫病毒，它将自己伪装成微软的升级邮件来诱惑用户点击，在“冲击波”病毒以后，出现了许多以打补丁为内容的邮件病毒，都是将自己伪装成微软公司的补丁程序来进行传播的，像“蓝盒子”、“V宝贝”和 “斯文”，因此电脑用户一定要随时警惕并及时升级杀毒软件防毒。如果遭“嘲笑”和“斯文”袭击，用户打开电子邮件便会弹出看起来像真的安装和更新窗口，出现如下对话框：“这将

15、安装微软安全更新系统，你希望继续吗？” 即便用户点击“No”，病毒也会自己安装。当用户运行该病毒时还会显示安装进度条，具有非常大的迷惑性，在网络上泛滥后最终造成网络堵塞。病毒对硬盘中的电子邮件地址进行搜索，大量复制发送，并且试图使现有的防火墙和杀毒产品停止运作，使用户电脑的安全防护失效，从而使用户将来再次受到攻击。另外它还会实时自动统计已被感染电脑的数量 。微软公司此前已经提醒用户小心电子邮件病毒，并声明公司没有用电子邮件方式给用户提供安全补丁，而是将补丁发送到公司网站由用户下载。 “嘲笑”病毒还可以通过KaZaA音乐交流软件传播，途径是自我复制到KaZaA共享文件夹中。恶意蠕虫病毒“秋天的童

16、话” “秋天的童话”(Worm.Pereban，别名：秋天的故事I-Worm/AutuFairy)。该蠕虫病毒似乎以纪念9.18事变为目的,采用发送病毒邮件的方式进行传播。病毒长度118784，使用VB编写,文件特征看起来更像图像文件，它会邮件联系人来发送病毒邮件。 该蠕虫用“秋天的童话”作为邮件主题,邮件内容为：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜”，附件即为病毒体。会尝试格式化硬盘，或使计算机不能正常启动。会尝试使用指定的内容覆盖所有的asp、shtml、htm、html文件，造成计算机数据的丢失。 手工解决办法: 打开任务管理器，结束.exe(未设键值).exe两个进程；

17、手工删除系统目录(如C:WinNTSystem32)下的 .exe(空格.exe)文件、(未设键值).exe； 手工删除Internet临时目录(如C:WindowsTemporary Internet FilesIslov.jpg.exe； 修改注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的键值； 修改注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunService下的键值； 修改AutoExec.bat和WinStart.bat内的异常命令行。“QQ信使信使”病毒病毒 QQ信使信使(Trojan.QQMsender.L