常见的计算机病毒

常见的计算机病毒

（主要介绍危害性）班级：计科13152

姓名：张金飞梅利莎(Melissa，1999年)爱虫(Iloveyou，2000年)求职信病毒(Klez，2001年)红色代码(CodeRed，2001年)AV终结者(2007年)磁碟机病毒(2007年)OnlineGames系列盗号木马鬼影病毒（2010）知识拓展：测试病毒原理检测杀毒软件性能方法梅利莎(Melissa)

Melissa病毒由大卫·史密斯(DavidL.Smith)制造，是一种迅速传播的宏病毒，它作为电子邮件的附件进行传播，梅丽莎病毒邮件的标题通常为“这是你要的资料，不要让任何人看见(Hereisthatdocumentyouaskedfor，don'tshowanybodyelse)”。一旦收件人打开邮件，病毒就会自我复制，向用户通讯录的前50位好友发送同样的邮件。因为它发出大量的邮件形成了极大的电子邮件信息流，它可能会使企业或其它邮件服务端程序停止运行，尽管Melissa病毒不会毁坏文件或其它资源。1999年3月26日爆发，感染了15%-20%的商业计算机。爱虫(Iloveyou)

爱虫病毒最初也是通过邮件传播，而其破坏性要比Melissa强的多。标题通常会说明，这是一封来自您的暗恋者的表白信。邮件中的附件则是罪魁祸首。这种蠕虫病毒最初的文件名为LOVE-LETTER-FOR-YOU.TXT.vbs。后缀名vbs表明黑客是使用VB脚本编写的这段程序。很多人怀疑是菲律宾的奥尼尔·狄·古兹曼制造了这种病毒。由于当时菲律宾没有制定计算机破坏的相关法律，当局只得以盗窃罪的名义传讯他。最终由于证据不足,当局被迫释放了古兹曼。根据媒体估计，爱虫病毒造成大约100亿美元的损失。求职信病毒

求职信病毒是病毒传播的里程碑。出现几个月后有了很多变种，在互联网肆虐数月。最常见的求职信病毒通过邮件进行传播，然后自我复制，同时向受害者通讯录里的联系人发送同样的邮件。一些变种求职信病毒携带其他破坏性程序，使计算机瘫痪。有些甚至会强行关闭杀毒软件或者伪装成病毒清除工具。求职信病毒出现不久，黑客就对它进行了改进，使它传染性更强。除了向通讯录联系人发送同样邮件外，它还能从中毒者的通讯录里随机抽选一个人，将该邮件地址填入发信人的位置。红色代码

红色代码和红色代码Ⅱ(CodeRedII)两种蠕虫病毒都利用了在Windows

2000和WindowsNT中存在的一个操作系统漏洞，即缓存区溢出攻击方式，当运行这两个操作系统的机器接收的数据超过处理范围时，数据会溢出覆盖相邻的存储单元，使其他程序不能正常运行，甚至造成系统崩溃。与其它病毒不同的是，CodeRed并不将病毒信息写入被攻击服务器的硬盘，它只是驻留在被攻击服务器的内存中。最初的红色代码蠕虫病毒利用分布式拒绝服务(DDOS)对白宫网站进行攻击。安装了Windows2000系统的计算机一旦中了红色代码Ⅱ，蠕虫病毒会在系统中建立后门程序，从而允许远程用户进入并控制计算机。病毒的散发者可以从受害者的计算机中获取信息，甚至用这台计算机进行犯罪活动。受害者有可能因此成为别人的替罪羊。虽然WindowsNT更易受红色代码的感染，但是病毒除了让机器死机，不会产生其它危害。AV终结者

“AV终结者”又名“帕虫”，“AV”即是“反病毒”的英文(Anti-Virus)缩写，是一种是闪存寄生病毒，主要的传播渠道是成人网站、盗版电影网站、盗版软件下载站、盗版电子书下载站。禁用所有杀毒软件以及大量的安全辅助工具，让用户计算机失去安全保障;破坏安全模式，致使用户根本无法进入安全模式清除病毒;AV终结者还会下载大量盗号木马和远程控制木马。AV终结者病毒病毒运行后会生成后缀名.da磁碟机病毒

这是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行;对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态;破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒，病毒会在每个分区下释放AUTORUN.INF来达到自运行。感染除SYSTEM32目录外其它目录下的所有可执行文件。并且会感染RAR压缩包内的文件。病毒造成的危害及损失10倍于“熊猫烧香”。OnlineGames系列盗号木马

这是一类盗号木马系列的统称，这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽，梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现。鬼影病毒鬼影病毒是指寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法清除的病毒。2010年3月15日，国内某安全中心发现一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。

在后来，还陆续出现“鬼影病毒”的变种，“鬼影2”“鬼影3”……“鬼影6”。测试病毒病毒的测试一般在虚拟机、沙盘、影子系统中测试一些主流的影子系统软件能防机器狗穿透，其实整个过程中穿透确实发生过，病毒驱动提高自身优先级把读写指令提交到磁盘硬件，这个是难以在软件层阻止的，但是病毒完成硬盘真实更改后就退出了，影子系统软件可以把更改还原，过程是:病毒穿透完成修改真实目录文件-病毒退出-影子系统软件找到被病毒修改的文件用备份还原它=最终结果还是是病毒没有成功完成目的

，知道这个原理就知道只要病毒常驻内存运行保护更改不被还原就可以实现常驻穿透，可是这里样本都没有这个功能，一些影子系统软件有一个软件内核驱动层暴力重启[效果跟按主机的重启键是一样的]来防止穿透。

---------------------请复制下面的代码到文本中保存-------------------

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

---------------------请复制上面的代码到文本中保存-------------------

测试方法：

1.鼠标右键点击桌面空白处，创建一个“文本文档”。

2.将上面这段测试代码复制到“文本”里，保存，然后可以直接右键点击这个文本，用杀毒软件扫描也可以等一会，如果你的杀毒软件还行，会自动报毒并将该文本删除那就可以初步放心了。

测试原理：

该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做