计算机的病毒及处理ppt课件

1、第第1页页共共98页页目目 录录上一页上一页下一页下一页退退 出出8.1 技能一技能一 认识计算机病毒认识计算机病毒8.2 技能二技能二 常见的计算机病毒及处理常见的计算机病毒及处理8.3 技能三技能三 使用杀毒软件查杀病毒使用杀毒软件查杀病毒第第2页页共共98页页目目 录录上一页上一页下一页下一页退退 出出8.1.1 任务一任务一 什么是计算机病毒什么是计算机病毒8.1.2 任务二任务二 计算机病毒的分类及特点计算机病毒的分类及特点第第3页页共共98页页目目 录录上一页上一页下一页下一页退退 出出计算机病毒是程序，能够自我复制，会将自己的病毒码依附在其他程计算机病毒是程序，能够自我复制，会将

2、自己的病毒码依附在其他程序上，通过其他程序的执行，伺机传播病毒程序，有一定潜伏期，一序上，通过其他程序的执行，伺机传播病毒程序，有一定潜伏期，一旦条件成熟，就进行各种破坏活动，影响计算机的使用。旦条件成熟，就进行各种破坏活动，影响计算机的使用。中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第二十八条中对计第二十八条中对计算机病毒是这样定义的：算机病毒是这样定义的：“计算机病毒，是指编制或者在计算机程序计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的

3、一组计算机指令或者程序代码。复制的一组计算机指令或者程序代码。”因此，计算机病毒就是能够因此，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件当达到某种条件时即被启动的具有对计算机资源进行破坏作用的一组程序或指令集合。时即被启动的具有对计算机资源进行破坏作用的一组程序或指令集合。第第4页页共共98页页目目 录录上一页上一页下一页下一页退退 出出1计算机病毒的分类计算机病毒的分类2计算机病毒的特征计算机病毒的特征3计算机病毒的传播途径计算机病毒的传播途径第第5页页共共98页页目目 录录上一页上一页下一页下一页退退 出出按

4、照计算机病毒寄生方式分类按照计算机病毒寄生方式分类 引导型病毒引导型病毒 文件型病毒文件型病毒 混合型病毒混合型病毒 第第6页页共共98页页目目 录录上一页上一页下一页下一页退退 出出无害型无害型 无危险型无危险型 危险型危险型 非常危险型非常危险型 第第7页页共共98页页目目 录录上一页上一页下一页下一页退退 出出按照计算机病毒本身特性分类按照计算机病毒本身特性分类 系统病毒系统病毒 “蠕虫蠕虫”型病毒型病毒 黑客型病毒黑客型病毒 木马型病毒木马型病毒 脚本型病毒脚本型病毒 第第8页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 传染性传染性 隐蔽性隐蔽性 潜伏性潜伏性 破坏性破

5、坏性 不可预见性不可预见性 第第9页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 不可移动的计算机硬设备不可移动的计算机硬设备 移动存储设备移动存储设备 硬盘硬盘 网络网络第第10页页共共98页页目目 录录上一页上一页下一页下一页退退 出出8.2.1 任务一任务一 “冲击波冲击波”、“震荡波震荡波”和和“极速波极速波”病毒病毒8.2.2 任务二任务二 “灰鸽子灰鸽子”病毒病毒8.2.3 任务三任务三QQ病毒和病毒和MSN病毒的检测与病毒的检测与清除清除第第11页页共共98页页目目 录录上一页上一页下一页下一页退退 出出1. “冲击波冲击波”病毒病毒（1）病毒特征）病毒特征病毒名称

6、：病毒名称：I-Worm/Blaster。病毒别名：冲击波。病毒别名：冲击波。病毒类型：网络蠕虫。病毒类型：网络蠕虫。病毒长度：病毒长度：6 176字节。字节。危险级别：高。危险级别：高。影响平台：影响平台：Windows 2000、Windows XP和和Windows 2003。相关文件：相关文件：msblast.exe。病毒描述：该蠕虫病毒利用病毒描述：该蠕虫病毒利用TCP 135端口，通过端口，通过 DCOM RPC 漏洞进行攻击。在此病漏洞进行攻击。在此病毒代码内隐藏的一段文本信息：毒代码内隐藏的一段文本信息：I just want to say LOVE YOU SAN! Bill

7、y gates why do you make this possible? Stop making money and fix your software!第第12页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）感染病毒后的症状）感染病毒后的症状 莫名其妙地死机或重新启动计算机。莫名其妙地死机或重新启动计算机。 IE浏览器不能正常地打开链接。浏览器不能正常地打开链接。 不能复制、粘贴。不能复制、粘贴。 有时出现应用程序，比如有时出现应用程序，比如Word异常。异常。 网络变慢。网络变慢。 在任务管理器里有一个在任务管理器里有一个msblast.exe的进程在运行。的进程在运

8、行。第第13页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（3）病毒传播的方式）病毒传播的方式当病毒感染计算机系统后，执行以下操作：当病毒感染计算机系统后，执行以下操作： 首先创建一个线程首先创建一个线程BILLY。 修改注册表的键值：修改注册表的键值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun增加增加“windows auto update”=“msblast.exe”键值，使键值，使得病毒可以在系统启动时自动运行。得病毒可以在系统启动时自动运行。 然后按照一定的规则来攻击网络上的计算机。该随机然后按照一

9、定的规则来攻击网络上的计算机。该随机IP段的计段的计算机所有算机所有135端口发布攻击代码，成功后，在端口发布攻击代码，成功后，在TCP的端口的端口4444创创建建cmd.exe，该病毒还能接受外界的指令，在，该病毒还能接受外界的指令，在UDP的端口的端口69上接上接受指令，发送文件受指令，发送文件msblast.exe 网络蠕虫主体。网络蠕虫主体。第第14页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（4）预防与清除）预防与清除 使用使用“冲击波冲击波”病毒专杀工具清除，查杀病毒专杀工具清除，查杀“冲击波冲击波” 病毒。瑞星公司提供专杀工具下载地址：病毒。瑞星公司提供专杀工具下

10、载地址： 。 该工具的使用如图所示。该工具的使用如图所示。 安装微软系统的补丁程序，以免今后再被感染。安装微软系统的补丁程序，以免今后再被感染。“冲冲击波击波”补丁程序的下载地址：。补丁程序的下载地址：。第第15页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第16页页共共98页页目目 录录上一页上一页下一页下一页退退 出出“”（1）病毒特征）病毒特征病毒名称：病毒名称：Worm.Sasser。病毒别名：震荡波。病毒别名：震荡波。病毒类型：网络蠕虫。病毒类型：网络蠕虫。病毒长度：病毒长度：15 872字节。字节。危险级别：高。危险级别：高。影响平台：影响平台：Windows 20

11、00、Windows XP和和Windows 2003。相关文件：相关文件：avserve.exe。病毒描述：该蠕虫病毒会通过病毒描述：该蠕虫病毒会通过FTP的的5554端口攻击计算机，一旦攻击失败，会使系统端口攻击计算机，一旦攻击失败，会使系统文件崩溃，造成计算机反复重启；病毒如果攻击成功，会将自身传到对方机器并文件崩溃，造成计算机反复重启；病毒如果攻击成功，会将自身传到对方机器并执行病毒程序，然后在执行病毒程序，然后在C:WINDOWS目录下产生名为目录下产生名为avserve.exe的病毒体，继续的病毒体，继续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。攻击下一个目标，用户

12、可以通过查找该病毒文件来判断是否中毒。第第17页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）感染病毒后的症状）感染病毒后的症状 出现出现LSA Shell 服务异常对话框，如图所示。服务异常对话框，如图所示。接着出现一分钟后重启计算机的接着出现一分钟后重启计算机的“系统关机系统关机”对话框，如图所示。对话框，如图所示。第第18页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第19页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第20页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 病毒如果病毒如果攻击攻击成功，则会占用大量系统资源，使

13、成功，则会占用大量系统资源，使CPU占用率达到占用率达到100%，出现计算机运行异常缓慢的现象。，出现计算机运行异常缓慢的现象。 在任务管理器里有一个在任务管理器里有一个“avserve.exe”的进程在运行。的进程在运行。 在在Windows系统的安装目录下会出现名为系统的安装目录下会出现名为 avserve.exe 的病毒文件。的病毒文件。 注册表中出现病毒的自启动键值：注册表中出现病毒的自启动键值：KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中建立病毒键值：项中建立病毒键值：“avserve.exe ”=“%WIN

14、DOWS%avserve.exe”。第第21页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（3）病毒传播的方式）病毒传播的方式 首先拷贝自身到首先拷贝自身到Windows目录，名为目录，名为%WINDOWS%avserve.exe（16 384字字节），然后登记到自启动项：节），然后登记到自启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Avserve.exe = %WINDOWS% avserve.exe。开辟线程，在本地开辟后门，监听开辟线程，在本地开辟后门，监听TCP 5554端口。被攻击的机器

15、主动连接本地端口。被攻击的机器主动连接本地5554端口，将端口，将IP地址和端口传过来。本线程负责将病毒文件传送到被攻击的机器。地址和端口传过来。本线程负责将病毒文件传送到被攻击的机器。病毒开辟病毒开辟128个扫描线程。以本地个扫描线程。以本地IP地址为基础，取随机地址为基础，取随机IP地址，疯狂的试探连地址，疯狂的试探连接接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，将该端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，将该目标的目标的IP地址保存到地址保存到“c:win2.log”中。中。利用利用Windows的的LSASS中存在一个缓冲区溢出漏洞进行攻击，

16、一旦攻击成功会导中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出区溢出,导致对方机器程序非法操作，以及系统异常等。由于该病毒在导致对方机器程序非法操作，以及系统异常等。由于该病毒在lsass.exe中中溢出，可以获取管理员的权限，执行任意指令。溢出，可以获取管理员的权限，执行任意指令。第第22页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（4）预防与清除）预防与清除 使用使用“震荡波震荡波”病毒专杀工具清除，查杀病毒专杀工具清除，查杀

17、“震荡波震荡波”病毒。瑞星公司提供专杀工具下载地址：病毒。瑞星公司提供专杀工具下载地址： . 该工具的使用如图所示。该工具的使用如图所示。 安装微软系统的补丁程序，以免今后再被感染。安装微软系统的补丁程序，以免今后再被感染。“震震荡波荡波”补丁程序的下载地址：。补丁程序的下载地址：。第第23页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第24页页共共98页页目目 录录上一页上一页下一页下一页退退 出出3. “极速波极速波”病毒病毒（1）病毒特征）病毒特征病毒名称：病毒名称：I-Worm/Zobot。病毒别名：极速波。病毒别名：极速波。病毒类型：网络蠕虫。病毒类型：网络蠕虫。病毒

18、长度：病毒长度：22 528字节。字节。危险级别：高。危险级别：高。影响平台：影响平台：Windows 2000、Windows XP和和Windows 2003。相关文件：相关文件：botzor.exe。病毒描述：该蠕虫病毒利用微软病毒描述：该蠕虫病毒利用微软“即插即用服务代码执行漏洞即插即用服务代码执行漏洞”（MS05-039）的病毒。该病毒利用最新漏洞传播，并且可以通过的病毒。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被接受黑客命令，使被感染计算机被黑客完全控制。感染计算机被黑客完全控制。第第25页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）病毒传播的

19、方式及引起的症状）病毒传播的方式及引起的症状 当当“极速波极速波”病毒攻击失败时候，会造成系病毒攻击失败时候，会造成系统频繁重启，如图所示。统频繁重启，如图所示。第第26页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第27页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 当病毒运行后，将在系统目录下创建一个文当病毒运行后，将在系统目录下创建一个文件件botzor.exe。如图所示。如图所示。第第28页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第29页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 在注册表中添加下列启动项：在注册表中添加

20、下列启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“WINDOWS SYSTEM”= botzor.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices“WINDOWS SYSTEM”= botzor.exe这样，在这样，在Windows启动时，病毒就可以自动执行，如图启动时，病毒就可以自动执行，如图所示。所示。第第30页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第31页页共共98页页目目 录录上一页上一页下一

21、页下一页退退 出出 通过通过TCP端口端口8080连接连接IRC服务器，接受并执行黑客命服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。令。可导致被感染计算机被黑客完全控制。 在在TCP端口端口33333开启开启FTP服务，提供病毒文件下载功服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的远程目标计算机从当前被感染计算机的FTP服务上下载服务上下载病毒程序。如果漏洞代码没有成功运行，未

22、打补丁的远病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现程计算机可能会出现services.exe进程崩溃的现象。进程崩溃的现象。 修改修改%SystemDir%driversetchosts文件，屏蔽大量国文件，屏蔽大量国外反病毒和安全厂商的网址。外反病毒和安全厂商的网址。第第32页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（3）预防与清除）预防与清除 使用使用“极速波极速波”病毒专杀工具清除，查杀病毒专杀工具清除，查杀“极速波极速波”病毒。瑞星公司提供专杀工具下载病毒。瑞星公司提供专杀工具下载地址：地址：。该工具的使用如图所示。该工具的使用如图所示。第第

23、33页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第34页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 安装微软系统的补丁程序，以免今后再被感安装微软系统的补丁程序，以免今后再被感染。染。“极速波极速波”补丁程序的下载地址：补丁程序的下载地址： 。第第35页页共共98页页目目 录录上一页上一页下一页下一页退退 出出4. “冲击波冲击波”、“震荡波震荡波”和和“极速波极速波”3种病毒种病毒的比较的比较（1）利用漏洞速度比较）利用漏洞速度比较（2）传播能力比较）传播能力比较（3）病毒危害性比较）病毒危害性比较（4）嚣张程度比较）嚣张程度比较第第36页页共共98页页目目

24、 录录上一页上一页下一页下一页退退 出出1“灰鸽子灰鸽子”病毒的简介病毒的简介 “灰鸽子灰鸽子”是国内一款著名后门。比起前辈是国内一款著名后门。比起前辈“冰河冰河”和和“黑洞黑洞”，“灰鸽子灰鸽子”可以说是国内后门的集大成可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情作使刚入门的初学者都能充当黑客。当使用在合法情况下时，况下时，“灰鸽子灰鸽子”是一款优秀的远程控制软件。但是一款优秀的远程控

25、制软件。但如果拿它做一些非法的事，如果拿它做一些非法的事，“灰鸽子灰鸽子”就成了很强大就成了很强大的黑客工具。的黑客工具。第第37页页共共98页页目目 录录上一页上一页下一页下一页退退 出出2“灰鸽子灰鸽子”病毒的运行原理病毒的运行原理“灰鸽子灰鸽子”木马分两部分：客户端和服务端。黑客操纵着客户端，利用木马分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。

26、种木马的手段有很多，比如，黑客可以将它与一张图片绑定，后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的美眉通过然后假冒成一个羞涩的美眉通过QQ将木马传给你，诱骗你运行；也可以将木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用建立一个个人网页，诱骗你点击，利用IE漏洞将木马下载到你的机器上漏洞将木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载等。件诱骗用户下载等。G_Server.exe运行后将自己拷贝到运行后将自己拷贝到Windows目

27、录下（目录下（Windows 98和和Windows XP为系统盘的为系统盘的Windows目录，而目录，而Windows 2000和和Windows NT为系统盘的为系统盘的Winnt目录），然后再从体内释放目录），然后再从体内释放G_Server.dll和和G_Server_Hook.dll到到Windows目录下。目录下。 第第38页页共共98页页目目 录录上一页上一页下一页下一页退退 出出G_Server.exe、G_Server.dll和和G_Server_Hook.dll三个文件相互配合组三个文件相互配合组成了成了“灰鸽子灰鸽子”服务端，有些服务端，有些“灰鸽子灰鸽子”会多释放出一

28、个名为会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，的文件用来记录键盘操作。注意，G_Server.exe这个这个名称并不固定，它是可以定制的，比如当定制服务端文件名为名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，时，生成的文件就是生成的文件就是A.exe、A.dll和和A_Hook.dll。Windows目录下的目录下的G_Server.exe文件将自己注册成服务（文件将自己注册成服务（9X系统写注系统写注册表启动项），每次开机都能自动运行，运行后启动册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和和G_Serve

29、r_Hook.dll并自动退出。并自动退出。G_Server.dll文件实现后门功能，与文件实现后门功能，与控制端客户端进行通信；控制端客户端进行通信；G_Server_Hook.dll则通过拦截则通过拦截API调用来隐调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着服务项。随着“灰鸽子灰鸽子”服务端文件的设置不同，服务端文件的设置不同，G_Server_Hook.dll有时候附在有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。的进程空间中，有时候则是附在所有进程中。第第39页

30、页共共98页页目目 录录上一页上一页下一页下一页退退 出出3. “灰鸽子灰鸽子”的手工检测的手工检测（1）打开）打开“我的电脑我的电脑”，执行菜单【工具】，执行菜单【工具】【文件夹【文件夹选项】，打开选项】，打开“文件夹选项文件夹选项”对话框，如图所示。对话框，如图所示。（2）打开）打开“查看查看”选项卡，取消选项卡，取消“隐藏受保护的操作系隐藏受保护的操作系统文件统文件”前的对勾，并在前的对勾，并在“隐藏文件和文件夹隐藏文件和文件夹”项中项中选择选择“显示所有文件和文件夹显示所有文件和文件夹”，如图所示。然后单，如图所示。然后单击击“确定确定”命令按钮完成显示所有命令按钮完成显示所有Wind

31、ows文件的设文件的设置。置。第第40页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第41页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第42页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（3）打开）打开Windows的的“搜索文件搜索文件”，文件名称，文件名称输入输入“_hook.dll”，搜索位置选择，搜索位置选择Windows的的安装目录。安装目录。（4）经过搜索，我们在）经过搜索，我们在Windows目录（不包含目录（不包含子目录）下发现了一个名为子目录）下发现了一个名为Game_Hook.dll的的文件，如图所示。文件，如图所示。第第43

32、页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第44页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（5）根据对）根据对“灰鸽子灰鸽子”原理的分析我们知道，原理的分析我们知道，如果如果Game_Hook.DLL是是“灰鸽子灰鸽子”的文件，的文件，则在操作系统安装目录下还会有则在操作系统安装目录下还会有Game.exe和和Game.dll文件。打开文件。打开Windows目录，果然有这目录，果然有这两个文件，同时还有一个用于记录键盘操作的两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件，如图所示。文件，如图所示。第第45页页共共98页页目目 录录上一

33、页上一页下一页下一页退退 出出第第46页页共共98页页目目 录录上一页上一页下一页下一页退退 出出4“灰鸽子灰鸽子”的手工清除的手工清除清除清除“灰鸽子灰鸽子”病毒仍然要在安全模式下操作，要清除两方面的内病毒仍然要在安全模式下操作，要清除两方面的内容，一是清除灰鸽子的服务，另一个是删除容，一是清除灰鸽子的服务，另一个是删除“灰鸽子灰鸽子”病毒的程病毒的程序文件。序文件。（1）清除）清除“灰鸽子灰鸽子”的服务的服务 执行【开始】执行【开始】【运行】，打开【运行】，打开“运行运行”对话框，然后输入对话框，然后输入“Regedit”，最后按回车键打开注册表编辑器。，最后按回车键打开注册表编辑器。 执

34、行菜单【编辑】执行菜单【编辑】【查找】，打开查找对话框，然后输入【查找】，打开查找对话框，然后输入“game.exe”，最后单击，最后单击“查找下一个查找下一个”命令按钮，找到命令按钮，找到“灰鸽灰鸽子子”的服务项的服务项Game Server。如图所示。如图所示。第第47页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第48页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 删除整个删除整个Game_Server项。项。 删除注册表中删除注册表中“灰鸽子灰鸽子”的自启动项的自启动项Game.exe，如图所示。，如图所示。第第49页页共共98页页目目 录录上一页上一页下

35、一页下一页退退 出出第第50页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）删除）删除“灰鸽子灰鸽子”病毒的程序文件病毒的程序文件删除删除“灰鸽子灰鸽子”程序文件非常简单，只需要在安程序文件非常简单，只需要在安全模式下删除全模式下删除Windows目录下的目录下的Game.exe、Game.dll、Game_Hook.dll以及以及Gamekey.dll文文件，然后重新启动计算机。至此，件，然后重新启动计算机。至此，“灰鸽子灰鸽子”已经被清除干净。已经被清除干净。第第51页页共共98页页目目 录录上一页上一页下一页下一页退退 出出1“QQ尾巴尾巴”病毒病毒2“QQ连发器连发器

36、”病毒病毒3“QQ林妹妹林妹妹”病毒病毒4“QQ武汉男生武汉男生”病毒病毒5MSN“性感鸡性感鸡”病毒病毒第第52页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（1）该病毒的主要特征）该病毒的主要特征 这种病毒并不是利用这种病毒并不是利用QQ本身的漏洞进行传播，它其实是在某个本身的漏洞进行传播，它其实是在某个网站首页上嵌入了一段恶意代码，利用网站首页上嵌入了一段恶意代码，利用IE的的iFrame系统漏洞自动系统漏洞自动运行恶意木马程序，从而达到侵入用户系统的目的，进而借助运行恶意木马程序，从而达到侵入用户系统的目的，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或

37、进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没将没将IE升级到最高版本，那么访问这些网站的时候其访问的网页升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个的漏洞运行一个木马程序进驻到用户计算机。然后在用户使用木马程序进驻到用户计算机。然后在用户使用QQ向好友发送信向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。通常都是以下几句中的一种。第第53页页共共98页页目目 录录上一页上一页下

38、一页下一页退退 出出 HoHo *.com刚才朋友给我发来的这个东东。你不刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。看看就后悔哦，嘿嘿。也给你的朋友吧。 呵呵，其实我觉得这个网站真的不错，你看看呵呵，其实我觉得这个网站真的不错，你看看*.com/。 http/*.com 帮忙看看这个网站打不打的开。帮忙看看这个网站打不打的开。 * 看看啊。我最近照的照片，才扫描到网看看啊。我最近照的照片，才扫描到网上的。看看我是不是变了样上的。看看我是不是变了样? 第第54页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第55页页共共98页页目目 录录上一页上一页下一页

39、下一页退退 出出（1）该病毒的主要特征）该病毒的主要特征病毒运行时会将自身复制到系统目录下，命名为：病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。病毒会修改注册表，在病毒会修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun启动项中添加键值启动项中添加键值WebAuto.exe，该键值的内，该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。病毒会将用户系统中的病毒会将用户系统中的IE默认首页改为：默认首页改为： ，

40、使用户一上网就中招。，使用户一上网就中招。病毒会寻找病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消的发送消息窗口，给用户所有好友随机发送以下消息：息：“快去这看看，里面有蛮好的东西快去这看看，里面有蛮好的东西”。“上次看了个网站不错，去看看吧上次看了个网站不错，去看看吧”。第第56页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）“QQ连发器连发器”病毒的检测与清除病毒的检测与清除 打开打开“任务管理器任务管理器”，看一看是否有，看一看是否有Webauto.exe进程，进程，如果有就说明你的计算机已经感染了如果有就说明你的计算机已经感染了“QQ连发器连发器”病毒。病

41、毒。 看一看看一看IE默认首页是否改成。默认首页是否改成。 使用使用QQ专杀工具可以清除这种病毒，如图所示。专杀工具可以清除这种病毒，如图所示。 使用瑞星注册表清除工具，可以修复注册表被修改的问题。使用瑞星注册表清除工具，可以修复注册表被修改的问题。如图和图所示，先使用如图和图所示，先使用“立即扫描注册表立即扫描注册表”按钮，扫出注按钮，扫出注册表被修改的项目，如图所示。然后选中要修复的项目，册表被修改的项目，如图所示。然后选中要修复的项目，最后使用最后使用“修复选中的项目修复选中的项目”按钮修复，如图所示。按钮修复，如图所示。第第57页页共共98页页目目 录录上一页上一页下一页下一页退退 出

42、出第第58页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第59页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（1）该病毒的主要特征）该病毒的主要特征 该病毒发作时，会自动利用该病毒发作时，会自动利用QQ发送如图所示发送如图所示的消息。的消息。第第60页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第61页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 当此病毒文件被运行后，会将自身复制到当此病毒文件被运行后，会将自身复制到Windows的系统目录的系统目录System32文件夹里，并将文件夹里，并将文件名改成文件名改成wupdate.ex

43、e。 病毒修改注册表的自启动项，使自己在系统病毒修改注册表的自启动项，使自己在系统启动时可以自动运行，如图所示。启动时可以自动运行，如图所示。第第62页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第63页页共共98页页目目 录录上一页上一页下一页下一页退退 出出HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunWindows Update项，使项，使自己在系统启动时可以自动运行。自己在系统启动时可以自动运行。 病毒修改注册表，将病毒修改注册表，将IE主页地址设置成，如图所示。主页地址设置成，如图所示。HKEY

44、_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page项。项。第第64页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第65页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 “QQ林妹妹林妹妹”病毒的检测与清除病毒的检测与清除 打开任务管理器，看一看是否有打开任务管理器，看一看是否有wupdate.exe进程，如进程，如果有就说明你的计算机已经感染上了果有就说明你的计算机已经感染上了“QQ林妹妹林妹妹”病毒。病毒。 看一看看一看IE默认首页是否改成。默认首页是否改成。 使用使用QQ专杀工具可以清除这种

45、病毒，如图所示。专杀工具可以清除这种病毒，如图所示。 使用瑞星注册表清除工具修复注册表，如图和使用瑞星注册表清除工具修复注册表，如图和8.17所所示。示。第第66页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（1）该病毒的主要特征）该病毒的主要特征 该病毒是一种木马病毒，病毒运行后，除定时该病毒是一种木马病毒，病毒运行后，除定时发给发给QQ网友同样的网址外还会趁机盗取网友同样的网址外还会趁机盗取“传传奇奇”游戏的账户、密码以及其他信息，并以邮游戏的账户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

46、件，以保护自身不被清除。第第67页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）“QQ武汉男生武汉男生”病毒的检测与清除病毒的检测与清除 打开打开“任务管理器任务管理器”，看一看是否有，看一看是否有WINSCOK.EXE进程，进程，如果有就说明你的计算机已经感染了如果有就说明你的计算机已经感染了“QQ武汉男生武汉男生”病毒。病毒。 看一看系统文件下是否有看一看系统文件下是否有WINSCOK.EXE、Install.dll和和winscok.dll这这3个文件，如果有就说明你的计算机已经感染个文件，如果有就说明你的计算机已经感染了了“QQ武汉男生武汉男生”病毒。病毒。 使用使用

47、QQ专杀工具可以清除这种病毒，如图和专杀工具可以清除这种病毒，如图和8.17所示。所示。第第68页页共共98页页目目 录录上一页上一页下一页下一页退退 出出 自动向用户所有自动向用户所有MSN好友发送带毒文件，如图所示。好友发送带毒文件，如图所示。 中毒后显示如图所示的图片。中毒后显示如图所示的图片。释放释放“罗伯特罗伯特”病毒最新变种程序病毒最新变种程序winhost.exe。winhost.exe运行后，会将自身运行后，会将自身复制到复制到%SystemDir%winhost.exe（124 416字节），并在注册表启动项：字节），并在注册表启动项：HKEY_LOCAL_MACHINESo

48、ftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中添加：中添加：“win32” = “winhost.exe”，这样，系统每次启动时，病毒都可以自动运，这样，系统每次启动时，病毒都可以自动运行。行。病毒程序病毒程序winhost.exe会通过微软的会通过微软的WebDav漏洞、冲击波漏洞、震荡波漏洞和漏洞、冲击波漏洞、震荡波漏洞和管理员账号口令等途径传播。并从管理员账号口令等途径传播。并从IRC上接收黑客命令，使被感染计算机完全上接

49、收黑客命令，使被感染计算机完全被黑客控制，成为被黑客控制，成为“僵尸计算机僵尸计算机”。第第69页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第70页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）MSN“性感鸡性感鸡”病毒的检测与清除病毒的检测与清除 打开打开“任务管理器任务管理器”，看一看是否有，看一看是否有winhost.exe、winis.exe、msnus.exe和和dnsserv.exe进程，如果有就说进程，如果有就说明你的计算机已经感染了明你的计算机已经感染了MSN“性感鸡性感鸡”病毒。病毒。 在使用在使用MSN聊天时，如果看到如图所示的图片，就说

50、聊天时，如果看到如图所示的图片，就说明你的计算机已经感染了明你的计算机已经感染了MSN“性感鸡性感鸡”病毒。病毒。 使用使用MSN“性感鸡性感鸡”专杀工具可以清除这种病毒。下专杀工具可以清除这种病毒。下载网址：载网址：。第第71页页共共98页页目目 录录上一页上一页下一页下一页退退 出出8.3.1 任务一任务一 使用卡巴斯基反病毒单机版查杀病使用卡巴斯基反病毒单机版查杀病毒毒8.3.2 任务二任务二 使用瑞星使用瑞星2006查杀病毒查杀病毒8.3.3 任务三任务三 使用江民杀毒软件使用江民杀毒软件KV2006查杀病查杀病毒毒8.3.4 任务四任务四 使用金山毒霸使用金山毒霸2006杀毒软件查杀

51、病杀毒软件查杀病毒毒第第72页页共共98页页目目 录录上一页上一页下一页下一页退退 出出1使用使用“扫描我的电脑扫描我的电脑”查杀病毒查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。）启动卡巴斯基杀毒软件，界面如图所示。第第73页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第74页页共共98页页目目 录录上一页上一页下一页下一页退退 出出（2）在）在“扫描我的电脑扫描我的电脑”上单击鼠标，打开上单击鼠标，打开“正在扫描正在扫描”对话框，这时开始了查杀对话框，这时开始了查杀“我的我的电脑电脑”中病毒的工作，如图所示。中病毒的工作，如图所示。第第75页页共共98页页目目 录录上一

52、页上一页下一页下一页退退 出出第第76页页共共98页页目目 录录上一页上一页下一页下一页退退 出出2使用使用“扫描可移动驱动器扫描可移动驱动器”查杀病毒查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。）启动卡巴斯基杀毒软件，界面如图所示。（2）在）在“扫描可移动驱动器扫描可移动驱动器”上单击鼠标，打上单击鼠标，打开开“正在扫描正在扫描”对话框，开始查杀软盘和可移对话框，开始查杀软盘和可移动磁盘中的病毒，如图所示。动磁盘中的病毒，如图所示。第第77页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第78页页共共98页页目目 录录上一页上一页下一页下一页退退 出出3使用使用“扫描对象

53、扫描对象”查杀病毒查杀病毒（1）启动卡巴斯基杀毒软件，界面如图所示。）启动卡巴斯基杀毒软件，界面如图所示。（2）在）在“扫描对象扫描对象”上单击鼠标，打开上单击鼠标，打开“选择选择扫描对象扫描对象”对话框，如图所示。对话框，如图所示。（3）选择要扫描的对象，然后单击）选择要扫描的对象，然后单击“扫描扫描”命命令按钮，就开始查杀选择对象的病毒。令按钮，就开始查杀选择对象的病毒。第第79页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第80页页共共98页页目目 录录上一页上一页下一页下一页退退 出出使用使用“信息中心信息中心”查杀病毒查杀病毒（1）启动瑞星）启动瑞星2006杀毒软件，

54、然后在杀毒软件，然后在“信息中信息中心心”选择要查杀的目标，如图所示。选择要查杀的目标，如图所示。（2）单击）单击“杀毒杀毒”命令按钮，开始对选择的目命令按钮，开始对选择的目标查杀病毒，如图所示。标查杀病毒，如图所示。第第81页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第82页页共共98页页目目 录录上一页上一页下一页下一页退退 出出第第83页页共共98页页目目 录录上一页上一页下一页下一页退退 出出2. 使用使用“快捷方式快捷方式”查杀病毒查杀病毒（1）启动瑞星）启动瑞星2006杀毒软件，然后单击杀毒软件，然后单击“快捷快捷方式方式”标签，打开标签，打开“快捷方式快捷方式”选项卡，如图选项卡，如图所示。所示。（2）单击）单击“可移动介质可移动介质”快捷方式的启动命令，快捷方式的启动命令，如图所示。如图所示。（3）打开）打开“可移动介质可移动介质”为查杀目标的工作界为查杀目标的工作界面，并且开始查杀病毒，如图所示。面，并且开始查杀病毒，如图所示。第