资源描述:
《计算机病毒的认识与预防1》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
計算機病毒的認識與預防防毒入门-认识计算机病毒--------------------------------------------------------------------------------电脑病毒对大多数的电脑用户而言应该是再耳熟能详不过的名词,有些人也许从来不曾真正碰到过电脑病毒,而吃过电脑病毒亏的人却又闻毒色变,其实在个人电脑这么普遍的今天,即使您不是一个电脑高手,也应该对电脑病毒有些基本的认识,就好比我们每天都会关心周遭所发生的人事物一样,毕竟电脑病毒已经不再像过去是遥不可及的东西,自从Internet潮流席卷全球以来,电脑信息以每秒千里的速度在传送,我们每天可以通过Internet收到来自全球各地不同的消息,但在享受信息便利的同时,电脑安全问题也就显得格外重要了。一、什么是计算机病毒过去式:所谓电脑病毒在技术上来说,是一种会自我复制的可执行程序。在真实的世界中,大部分的电脑病毒都会有一个共通的特性-它们通常都会发病。当病毒发病时,它很可能会破坏硬盘中的重要资料,有些病毒则会重新格式化(Format)您的硬盘。就算病毒尚未发病,它也会带来不少麻烦。首先病毒可能会占据一些系统的记忆空间,并寻找机会自行繁殖复制,您电脑效能将会变得比一般正常的电脑慢。这也是为什么不时就要做好防毒工作的主要原因了。现在式:自从Internet盛行以来,Java和ActiveX的网页技术逐渐被广泛使用,一些有心人士于是利用Java和ActiveX的特性来编写病毒。以Java病毒为例,Java病毒它并不能破坏您硬盘上的资料,可是若您使用浏览器来浏览含有Java病毒的网页,Java病毒可以强迫您的Windows不断的开启新视窗,直到系统资源被吃光为止,而您也只有选择重新开机一途了。所以在Internet革命以后,电脑病毒的定义就更改为只要是对用户会造成不便的这些不怀好意的程序码,就可以被归类为病毒。二、计算机病毒的生命周期电脑病毒就好像细菌的生长一般,所以我们才将它称做「病毒」。而电脑病毒的成长可以被归纳成下列几个阶段:创造期:当电脑黑客们花了数天或数周努力的研究出一些可以广为散布的程序码,电脑病毒就这样诞生了。当然,他们是不会这样就算了的,他们通常都会设计一些破坏的行为在其中。孕育期:这些电脑黑客们会将这些含有电脑病毒的文件放在一些容易散播的地方。如BBS站,Internet的FTP站,甚至是公司或是学校的网络中等等。潜伏期:在潜伏期中,电脑病毒会不断地繁殖与传染。一个完美的病毒拥有很长的潜伏期,如此一来病毒就有更多的时间去传染到更多的地方,更多的用户,一旦发病将会造成更大的伤害。例如世界知名的米开朗基罗病毒,在每年三月六日发作前,有整整一年的潜伏期。发病期:当一切条件形成之后,病毒于是就开始破坏的动作。有些病毒会在某些特定的日期发病,有些则自己有个倒数计时装置来决定发病的时间。虽然有些病毒并没有发病时的破坏动作,但是它们仍然会占据一些系统资源,而降低系统运作的效率。根除期:如果有够多的防毒软件能够检测及控制这些病毒,并且有够多的用户购买了防毒软件,那么这些病毒就有机会被连根扑灭。虽然到现在为止,并没有人敢宣称某一只病毒完全绝迹,但是有些病毒已经很明显的被完全制止了-如早期的DiskKiller等。防毒入门-计算机病毒种类-------------------------------------------------------------------------------- 传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:·开机型 米开朗基罗病毒,潜伏一年.·文件型 (1)非常驻型 DatacrimeII资料杀手-低阶格式化硬盘,高度破坏资料 (2)常驻型 Friday13th黑色(13号)星期五-"亮"出底细·复合型 Flip翻转-下午4:00屏幕倒立表演准时开始·隐形飞机型 FRODOVIRUS(福禄多病毒)-"毒"钟文件配置表·千面人 PE_MARBURG-掀起全球"战争游戏"·文件宏 TaiwanNO.1文件宏病毒-数学能力大考验·特洛伊木马病毒VS.计算机蠕虫 "Explorezip探险虫"具有「开机后再生」、「即刻连锁破坏」能力·黑客型病毒 Nimda走后门、发黑色信件、瘫痪网络认识计算机病毒与黑客2.1开机型病毒(BootStrapSectorVirus):开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。@实例Michelangelo米开朗基罗病毒-潜伏一年.发病日:3月6日发现日:1991.3产地:瑞典(也有一说为台湾)病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(PartitionTable)和开机区(BootSector),以及软盘的开机区(BootSector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说ByeBye了。历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座2.2文件型病毒(FileInfectorVirus):文件型病毒通常寄生在可执行文件(如*.COM,*.EXE等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种:(1)非常驻型病毒(Non-memoryResidentVirus): 非常驻型病毒将自己寄生在*.COM,*.EXE或是*.SYS 的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。@实例:DatacrimeII资料杀手-低阶格式化硬盘,高度破坏资料发病日:10月12日起至12月31日发现日:1989.3产地:荷兰病征:每年10月12日到12月31号之间,除了星期一之外DATACRIMEII会在屏幕上显示:*DATACRIMEIIVIRUS*然后低阶格式化硬盘第0号磁柱(CYLINDER0从HEAD0~HEAD8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。历史意义:虽然声称为杀手,但它已经快绝迹了(2)常驻型病毒(MemoryResidentVirus): 常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如Interrupts),由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。@实例:Friday13th黑色(13号)星期五-"亮"出底细发病日:每逢13号星期五发现日:1987产地:南非病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday13th-540C、Friday13th-978、Friday13th-B、Friday13th-C、Friday13th-D、Friday13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"Wehopewehaven'tinconveniencedyou"历史意义:为13号星期五的传说添加更多黑色成分.5千面人病毒(Polymorphic/MutationVirus):千面人病毒可怕的地方,在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。每一个中毒的文件中,所含的病毒码都不一样,对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。@实例PE_MARBURG-掀起全球"战争游戏"发病日:不一定(中毒后的3个月)发现日:1998.8产地:英国病征:Marburg病毒在被感染三个月后才会发作,若感染Marburg病毒的应用软件执行的时间刚好和最初感染的时间一样(例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则Marburg病毒就会在屏幕上显示一堆的"X"。如附图。历史意义:专挑盛行的计算机光盘游戏下毒,1998年最受欢迎的MGM/EA「战争游戏」,因其中有一个文件意外地感染Marburg病毒,而在8月迅速扩散。 感染PE_Marburg病毒后的3个月,即会在桌面上出现一堆任意排序的"X"符号2.6宏病毒(MacroVirus):宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有写宏能力的软件都有宏病毒存在的可能,如Word、Excel、AmiPro等等。@实例:TaiwanNO.1文件宏病毒-数学能力大考验发病日:每月13日发现日:1996.2产地:台湾病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。历史意义:1.台湾本土地一只文件宏病毒。2.1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3.被列入ICSA(国际计算机安全协会)「InTheWild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)每逢13日,被TAIWAN_No.1Marco感染的word文件将会显示画面:2.7特洛伊木马病毒VS.计算机蠕虫特洛依木马(Trojan)和计算机蠕虫(Worm)之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。特洛伊木马程序的伪装术 特洛依木马(Trojan)病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事: 话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计" !希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。 后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。 特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。计算机蠕虫在网络中匍匐前进 计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是E-mail.最著名的计算机蠕虫案例就是"ILOVEYOU-爱情虫"。例如:"MELISSA-梅莉莎"便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染Word的Normal.dot(此为计算机病毒特性),而且会通过OutlookE-mail大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性)。@实例:"Explorezip探险虫"具有「开机后再生」、「即刻连锁破坏」能力发病日:不一定发现日:1999.6.14产地:以色列病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi!IreceivedyouremailandIshallsendyouareplyASAP.Tillthen,takealookattheattachedzippeddocs.问候语也有可能是Bye,Sincerely,All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannotopenfile:itdoesnotappeartobeavalidarchive.IfthisfileispartofaZIPformatbackupset,insertthelastdiskofthebackupsetandtryagain.PleasepressF1forhelp."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c(csourcecodefiles).cpp(c++sourcecodefiles).h(programheaderfiles).asm(assemblysourcecode).doc(MicrosoftWord).xls(MicrosoftExcel).ppt(MicrosoftPowerPoint)历史意义:·开机后再生,即刻连锁破坏 --传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找网络上的下个受害者2.8黑客型病毒-走后门、发黑色信件、瘫痪网络 自从2001七月CodeRed红色警戒利用IIS漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed在病毒史上的地位,就如同第一只病毒Brain一样,具有难以抹灭的历史意义。 如同网络安全专家预料的,CodeRed将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为。果不其然,在造成全球26.2亿美金的损失后,不到2个月同样攻击IIS漏洞的Nimda病毒,其破坏指数却远高于CodeRed。Nimda反传统的攻击模式,不仅考验着MIS人员的应变能力,更使得传统的防毒软件面临更高的挑战。 继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含:电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于Nimda的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。 每一台中了Nimda的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的DoS阻断式攻击。另外,若该台计算机先前曾遭受CodeRed植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。类似Nimda威胁网络安全的新型态病毒,将会是MIS人员最大的挑战。"实例:Nimda发现日:2001.9发病日:随时随地产地:不详病征:通过eMail、网络芳邻、程序安全漏洞,以每15秒一次的攻击频率,袭击数以万计的计算机,在24小时内窜升为全球感染率第一的病毒历史意义:计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让网络上的计算机几乎零时差地被病毒攻击认识计算机病毒与黑客 防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙」(Firewall),这是一套专门放在Internet大门口(Gateway)的身份认证系统,其目的是用来隔离Internet外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。 一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而CodeRed、Nimda即是利用微软公司的IIS网页服务器操作系统漏洞,大肆为所欲为。--宽带大开方便之门 CodeRed能在短时间内造成亚洲、美国等地36万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"always-on"(固接,即二十四小时联机)特性特性所打开的方便之门。 宽带上网,主要是指Cablemodem与xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。 当CodeRed在Internet寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。 当我们期望Broadband(宽带网络)能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带网络的美丽新世界。 计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题。防毒入门-各世代计算机病毒解析--------------------------------------------------------------------------------历代计算机病毒解析 -第一代病毒:锁定寄主程序,一对一感染 -常见第一代病毒病例表 -第二代病毒:隐身Internet,瞬间骨牌式感染 -著名的第二代病毒病例表 -新生代病毒:轰炸无线通讯,来无影去无踪 -手机病毒前科犯 -PDA前科犯 -观察名单 每年3月6日,一只与文艺复兴时代大师米开朗基罗同名的计算机病毒,选择它的诞生日发病,到了这一天计算机使用者无不胆颤心惊,心脏够强的以自己硬盘下赌注;心脏不够强的,干脆当天不开机或是更改系统日期,以求自保。在1995年之前,杀手级病毒,非米开朗基罗莫属,一直到1995年出现了第一只非以执行文件为感染对象的文件宏病毒-Word.Concept,才全面改写这种形势。第一代病毒 -锁定寄主程序,一对一感染出生年代:1987年特色-自我复制/有潜伏期/在特定条件下发病/长度4KB以下主要媒介:磁盘感染速度:感染破坏拘限于区域性代表案例:米开朗基罗 每当发生重大刑事案件时,警方总是呼吁民众不要窝藏嫌犯,同时也鼓励知情者报案。嫌犯为了躲避缉捕,往往会选择一处自认为隐密安全的地方。第一代病毒窝藏地方就是所谓的「寄主程序。」 最常见的「寄主程序」就是一些可执行文件,如扩展名为.EXE及.COM的文件。但是后来由于微软的WORD愈来愈广被使用,且WORD所提供的宏功能又很强,使用WORD宏写出来的病毒也愈来愈多,也因此扩展名为.DOC的也会成为寄主程序。尤其是自1997年起,后起之"毒"-文件宏病毒可真的算是红上半边天,只要提到TaiwanNO.1,那可说是无人不知、无人不晓。 早期,所谓计算机病毒在技术上来说,是一种会自我复制的可执行程序。大部份的计算机病毒都有一个共通的特性,通常在特定条件下会发病,病征包括破坏硬盘中的重要资料,甚至重新格式化(Format)硬盘。比如每年3月6日米开朗基罗病毒,就会在开机时,格式化硬盘。 另外,就算病毒尚未发病,它也会带来不少麻烦。首先病毒可能会占据一些系统的记忆空间,并寻找机会自行繁殖复制,使得计算机效能变得比一般正常的计算机慢。常见第一代病毒病例表:病毒名称发病特定条件病发情形Michelangelo米开朗基罗每年3月6日格式化硬盘Jerusalem耶路撒冷每逢13号星期五杀掉想执行的程序Casino赌场1/15,4/15,8/15出现吃角子老虎Flip翻转每月二号屏幕翻转Sunday星期天每逢星期日计算机无法使用Fish鱼每月1,11,21,31屏幕右上方出现信息TaiwanNO.1每月13日出现心算画面猜拳病毒每月1.6.15.25日出现猜拳画面剧场病毒每月1.15日出现一哭一笑面具图案钓鱼台每月5.20日出现"钓鱼台是中华民国领土…"等对话窗口 BOZA每月31日出现'成名的滋味,愈来愈过瘾….'等信息 常见第一代病毒病例表:病毒名称发病特定条件病发情形Michelangelo米开朗基罗每年3月6日格式化硬盘Jerusalem耶路撒冷每逢13号星期五杀掉想执行的程序Casino赌场1/15,4/15,8/15出现吃角子老虎Flip翻转每月二号屏幕翻转Sunday星期天每逢星期日计算机无法使用Fish鱼每月1,11,21,31屏幕右上方出现信息TaiwanNO.1每月13日出现心算画面猜拳病毒每月1.6.15.25日出现猜拳画面剧场病毒每月1.15日出现一哭一笑面具图案钓鱼台每月5.20日出现"钓鱼台是中华民国领土…"等对话窗口BOZA每月31日出现'成名的滋味,愈来愈过瘾….'等信息第二代病毒-隐身于Internet,瞬间骨牌式感染出生年代:1997年特色-不需要寄主的程序、不需存在硬盘中、跨作业平台、远程遥控破坏主要媒介:Internet感染速度:感染破坏力零时差,瞬间遍布全球主要破坏事迹:Writeonce,destroyanywhere代表案例:Melissa梅莉莎 「LKK」的老扣扣传统病毒,以磁盘为主要传染媒介,一只米开朗基罗开机型病毒,从中国台湾传到美国,可能需要两年的时间。在那个时代,病毒非常的偏食,它只吃.exe和.com这类的执行文件。但1995年起,病毒的胃口变大了,它居然发现.doc文件的味道也不错,害得全球数以万计的Word使用者如临大敌,连发个E-mail都害怕附加文件夹带病毒。 现在,ActiveX和JAVA可以让我们欣赏动感十足的网页,可是新的危机却悄然而至,Internet居然成为「第二代病毒」觊觎的最佳传媒。它们不需要像第一代传统病毒需要找个寄主程序感染,等待特定条件成熟后展开破坏动作,(如:米开朗基罗每年3月6日发病;TaiwanNO.1每月13日发病)第二代病毒,会在你防不甚防时侵入你的硬盘,删除或破坏你的文件,更有甚者会让你的CPU完全瘫痪。 Internet的风行使得计算机病毒也随之进化成易写易传、防不胜防的邪恶程序(MaliciousCode)。它不再需要高深的程序技巧来设计、不再是黑客的专利、它不再需要寄主程序,Internet就是它的最佳媒介,它可以一对多地传给Internet上的群体;它也可以伪装成电影欣赏会的免费入场卷,欢迎你去下载,自投罗网;它根本不需要常驻磁盘或硬盘中,只要你一打开电子邮件,感染即刻完成;它跟Internet一样是跨平台,不受任何OS限制,而且还可结合旧式病毒的强大破坏力,更肆猖狂。这就是Internet时代下的第二代病毒,邪恶、有力、突破空间的限制,无远弗届。浪费王以浪费系统资源的方式,来阻塞你主机的中央处理器(CPU)的速度。详细介绍:由于Microsoft公司WindowsNT和2000中的IndexService服务与其IIS服务间的接口程序-IndexingServiceISAPI中含有一个"缓冲区溢出"漏洞,致使黑客可以向IIS 发出一段恶意请求,导致受攻击系统的缓冲区溢出,从而使攻击者获得对系统的完全控制权限。CodeRedII病毒正是利用该系统漏洞来对系统进行攻击。有关该漏洞的信息请参考MicrosoftTechnet和eEyeDigitalSecuritysite网站。CODERED.C只能对安装有IIS服务的Windows2000系统产生长期有效的病毒攻击行为而对于WindowsNT系统,它将直接导致系统的崩溃。该蠕虫在系统内存中搜索KERNEL32.DLL的位置,然后找到GetProcAddressAPI。同时它也搜索其它所需使用到的API或程序。所需的库文件名称为:WS2_32.DLL-WinsockV2.0ADVAPI32.DLL-用来操纵系统注册表USER32.DLL-用来使系统重启和其它的一些功能接着该蠕虫会将%windir%CMD.EXE文件复制到以下以下路径:C:INETPUBSCRIPTSROOT.EXEC:PROGRA~1COMMON~1SYSTEMMSADCROOT.EXED:INETPUBSCRIPTSROOT.EXED:PROGRA~1COMMON~1SYSTEMMSADCROOT.EXE然后病毒在根目录下释放一个后门木马程序-EXPLORER.EXE文件(TrendMicro的防毒产品将该文件命名为TROJ_CODERED.C),如C:EXPLORER.EXE。该木马程序将使攻击者享有对系统的完全控制权限。因为系统将优先执行根目录下的EXPLORER.EXE,而非系统本身的EXPLORER.EXE。同时该蠕虫会修改注册表内的键值以废除登录时系统的安全保护:HKLMSoftware/MicrosoftWindowsNTCurrentVersionWinLogonSFCDisable并且创建以下的注册键:HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtualRoots/Scripts=%rootdir%inetpubscripts,,204/MSADC=%rootdir%programfilescommonfilessystemmsadc,,205/C=C:,,217/D=D:,,217该蠕虫还会检查系统当前的时间,如果发现系统年份大于2002年或是月份大于10月,将强行使系统重新启动。重启后的系统内该蠕虫本身将不再存在,但是其释放的木马程序却一直在运行中。当然,如果系统未安装Microsoft提供的漏洞修补程序,系统随时都会受到又一次的攻击。解决方案:1.可以使用TrendMicro提供的fixtool工具来清理受感染的机器。方法是在命令提示符下运行该程序,或是在资源管理器内直接双击该文件。2.系统管理员需立刻下载Microsoft提供的MS01-033patch安全补丁文件。如想查看系统是否以部署了该修补程序,可以使用TrendMicro提供的工具freedetectiontool。3.将您系统与Internet的连接断开。4.安装该修补程序。5.删除一下目录下所有的ROOT.EXE: C:INETPUBSCRIPTSROOT.EXEC:PROGRA~1COMMON~1SYSTEMMSADCROOT.EXED:INETPUBSCRIPTSROOT.EXED:PROGRA~1COMMON~1SYSTEMMSADCROOT.EXE6.使用一下命令删除CODERED.C释放的木马文件文件:ATTRIBC:EXPLORER.EXE-H-A-RDELC:EXPLORER.EXEATTRIBD:EXPLORER.EXE-H-A-RDELD:EXPLORER.EXE如果无法使用该方法删除木马,表明该木马已驻留在内存中,请使用第一条中提到的工具来清除它。7.重新启动计算机。8.将以下注册键的键值设为"0",以重新开启系统安全性:HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinLogonSFCDisable9.对路径"HKLMSYSTEMCurrentControSetServicesW3SVCParametersVirtualRoots"下的注册键,直接删除或将其键值设为"0"/Scripts/msadc/c/d10.使用TrendMicro的防毒软件扫描整个系统,删除所有被检测出含有CODERED.C和TROJ_CODERED.C的文件。在进行扫描前请确保已从TrendMicro的网站下载了最新的病毒码和扫描引擎。[关于CodeRed.a]风险级数:苹果迷小心!Simpsons辛普森病毒入侵MacOS趋势科技近日发现一只名为"Mac_Simpsons.A辛普森"的计算机新病毒,主要针对Mac操作系统进行攻击。该病毒由Applescript所撰写,主要通过MacOS的OutlookExpress或Entourage电子邮件系统来传播,信件主题为:SecretSimpsonsepisodes!(未公开的辛普森家庭影集!),并夹带名为"SimpsonsEpisodes"(辛普森家庭影集)的文件。Mac使用者一旦执行该附加文件,病毒会寻找电子邮件系统的通讯簿,自动发送大量垃圾邮件。Simpsons辛普森病毒还会启动IE浏览器,连结至著名卡通「辛普森家庭」的官方网站:http://www.snpp.com/episodes.html。趋势科技技术支持部经理康宏旭表示:「由于"辛普森病毒"具有大量传播垃圾邮件的特性,除了会感染MacOS,还会针对PC使用者发送夹带病毒的信件。虽然不致于造成PC中毒,但网络带宽将会因此拥塞。」趋势科技呼吁苹果迷,不要开启主题为:SecretSimpsonsepisodes的电子邮件。趋势科技产品用户请立即更新病毒码,以侦测、清除此病毒。如何判断Mac_Simpsons.A辛普森病毒?*信件主题:SecretSimpsonsepisodes!(未公开的辛普森家庭影集)*信件内容:HundredsofSimpsonsepisodeswerejustsecretlyproducedandsentoutontheinternet,ifthismessagegetstoyou,theepisodesareenclosedontheattachmentprogram,whichwillonlyrunonaMacintosh.Youmusthavesystem9.0or9.1towatchthehilariousepisodes,inhighquality.Just downloadandopenit.From,<寄件者>*附件名称:"SimpsonsEpisodes"(辛普森家庭影集)风险级数:TROJ_BADTRANS.A恶性传输病毒根据国外report显示,这只前些日子发生的TROJ_BADTRANS.A病毒,在美国有感染情况加深的状况。这是一只通过MSOutlook和OutlookExpress传递的计算机蠕虫TROJ_BADTRANS.A,称之为"恶性传输病毒"。它会以相同主题和信息散布受感染的文件,然后将具有间谍特落依的成分种到用户的计算机中以窃取用户的资料,此外也会更新WIN.INI,所以会在下一次重新开机时执行。解决方案TrendLabs趋势科技全球防毒研究暨支持中心建议:1.为避免中毒,不要开启任何来历不明、主题不明的邮件2.请趋势科技用户更新病毒码877(含)以上,以侦测出所有含TROJ_BADTRANS.A的文件。3.点击开始=>执行4.输入WIN.INI5.将RUN="C:%WINDIR%INETD.EXE"这行删除.仅保留run=6.扫描所有文件,将侦测出病毒文件删除风险级数:Happytime令电脑不happy由VBS程序9编写的蠕虫病毒,以Unititled.htm附件形式通过MSOutlook散播。发作时删除.EXE和.DLL文件,同时将附件传送至地址簿中的所有使用者,导致电脑瘫痪。该病毒发作的条件为:电脑时钟的日期和月份数加起来为13,如5月8日,6月7日等;和该病毒被触发366次。解决方法1.点选开始|设定|控制面板2.选择显示器|web3.请将"在我的activedestop显示web内容"勾选取消,并按确定4.至趋势科技网站,下载病毒清除程序5.执行解毒程序FHAPTIME.exe6.启动防毒软件扫描所有文件,将侦测出的病毒文件删除7.重新启动计算机风险级数:TROJ_MATCHER.A恋爱配对病毒正在Internet上大量传播恋爱配对病毒是一只利用VisualBasic6.0写出来的特洛伊型病毒,它伪装成一只恋爱配对程序,以此吸引收到病毒的使用者执行这只病毒程序。一旦执行后,它会利用VisualBasic的MicrosoftScriptControl组件,通过计算机里面已经安装的电子邮件程式,自动大量复制并转寄给该受害者Windows通讯簿里面的所有收件人。该病毒所转寄的邮件主题为"Matcher",而附件文件名则为"MATCHER.EXE"。解决方案:TrendLabs趋势科技全球防毒研究暨支持中心建议:1.请立即更新扫描引擎至5.17以上,病毒码880(含)以上,以侦测及清除此病毒 2.点选开始=>执行3.输入regedit4.寻找下列路径5.HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun6.将@="C:%winsys%matcher.exe"删除7.使用文书编辑软件开启c:autoexec.bat将下列内容删除并存盘echooffechofrom:Buggerpause8.重新启动计算机9.扫描所有文件.将侦测出troj_macher.a文件删除风险级数:TROJ_BADTRANS.A"恶性传输病毒"让十三号星期五果然不安宁又是一只通过MSOutlook和OutlookExpress传播的计算机蠕虫TROJ_BADTRANS.A,称之为"恶性传输病毒"。它会以相同主题和信息散布受感染的文件,然后将具有间谍特洛伊的成分种到用户的计算机中以窃取用户的资料,此外也会更新WIN.INI,所以会在下一次重新开机时执行。解决方案:TrendLabs趋势科技全球防毒研究暨支持中心建议:1.为避免中毒,不要开启任何来历不明、主题不明的邮件2.请趋势科技用户更新病毒码877(含)以上,以侦测出所有含TROJ_BADTRANS.A的文件。3.点击开始=>执行4.输入WIN.INI5.将RUN="C:%WINDIR%INETD.EXE"这行删除.仅保留run=6.扫描所有文件,将侦测出的病毒文件删除风险级数:PE_MAGISTR.A具有多重型态的千面人病毒请趋势科技用户立即更新病毒码862(含)已上,VSAPI扫描引擎5.17以上。这只常驻内存型病毒类似TROJ_MTX.A,它使用了一些复杂的防侦错的技巧,所以使得这只病毒非常难以分析。这只PE_MAGISTR.A是恶性程序病毒并兼具病毒及特洛伊的成分,会感染系统中的EXE.及SCR档,一但执行,这只特洛伊会感染窗口系统文件然后通过MSOutlook/OutlookExpress/NetscapeNavigator大量寄发邮件给受感染用户通讯簿中的所有人。由于这只病毒具有多重型态的本质(属于千面人病毒polymorphicvirus),除了难以分析以外,它本身也不具任何主题、内文及附件。是一种很诡谲难防的病毒。解决方案TrendLabs趋势科技全球防毒研究暨支持中心建议:·为避免中毒,不要开启任何来历不明、主题不明的邮件·趋势科技防毒软件用户请立即更新扫描引擎至5.200以上,病毒码862(含)以上,以侦测及清除此病毒趋势产品使用者请定期更新您的病毒码与扫描引擎并将所有侦测为PE_MAGISTR.A的文件删除。 风险级数:Troj_NakedWife删除Windows和System目录下所有系统文件此病毒用VBScript编写,并且需要被感染计算机的System目录下有MSVBVM60.DLL文件支持方能发作,发作时将删除Windows和System目录下的所有DLL,INI,EXE,BMP,LOG和COM文件,所以,受此病毒感染的计算机无法重新启动。此病毒通过MSOutlook和OutlookExpress传播,向地址簿中的所有地址发出主题为"FW:NakedWife",附件为"NakedWife.exe"的邮件。风险级数:TROJ_MYBABYPIC.A宝贝照片暗藏病毒一只名为"TROJ_Mybabypic.a宝贝照片的特洛伊木马病毒(别名:MYBABYPIC.A,I-Worm.Myba,Backdoor.MyBabyPic),正通过电子邮件扩散。这只特洛伊木马病毒会通过MicrosoftOutlook散播自己。此病毒信件的主题为"MyBabypic.",附件为"MYBABYPIC.EXE"。当附件的病毒程序被执行之后,会显示出一个小孩照片跟一个对话窗口,关掉这个窗口之后,这只特洛伊木马病毒会将自己复制到windowssystem目录下并且修改登录数据库,以便在每次Windows启动时能够执行病毒程序。这只病毒也需要WindowsScriptingHost才能正常运作并连到一些特定的网站。除此之外,这只病毒有一些具破坏性的行为,它会覆盖一些特定扩展名的文件或是删除一些特定的文件。[深入了解][下载解毒程序]风险级数:TROJ_NAVIDAD.E(别名EMMENUEL)圣诞节病毒NAVIDAD.E,再度出现新变种圣诞节病毒NAVIDAD.E,再度出现新变种。名称仍为NAVIDAD.E(别名:EMMANUEL)趋势科技请用户立即更新病毒码830(含)以上侦测之并提供免费自动清除程序这个新变种和现有的EMMANUEL病毒,行为完全相同。不管是邮件主题,或是附件,都和现有的EMMANUEL一样。因此请所有计算机使用者小心提防各种不明电子邮件。如果您收到夹带EMANUEL.EXE文件的电子邮件,请不要开启企业用户如果希望能在电子邮件服务器拦截EMMANUEL,请将病毒码更新到830。解决方案及清除程序请参考下列风险级数:TROJ_NAVIDAD.E(别名EMMENUEL)圣诞节阴霾一波未平一波又起TROJ_NAVIDAD.A近来出现新变种病毒,名为TROJ_NAVIDAD.E(别名:EMMANUEL),其传播途径与TROJ_NAVIDAD.A相同,通过电子邮件散播;但在"附件名称"、"病毒被执行时所显示的信息窗口与图标"皆略有差异。会通过中毒者的Outlook发送大量垃圾邮件,一旦收件人执行附件EMANUEL.EXE,计算机即会跳出一连串信息窗口,屏幕下方工作列同时会出现一朵小花,与ICQ图标相似。趋势科技呼吁,计算机使用者如果收到夹带EMANUEL.EXE文件的电子邮件,请不要开启;趋势科技防毒产品使用者,请记得更新病毒码至806(含)以上,以侦测、清除此病毒。解决方案:自动清除程序:1.在另一台没有中毒的计算机下载fix_navid2.com2.将fix_navi2.com储存至一张空白磁盘中 3.将磁盘拿至中毒的计算机.4.点选开始|执行5.输入a:fix_navi2.com并按确定6.重新激活计算机7.扫描所有文件.将侦测出TROJ_NAVIDAD.E文件全部删除[我想深入了解][更新病毒码]风险级数:VBS_TQLL.A虚心假意祝贺新年快乐又有一只虚心假意祝贺新年快乐的计算机蠕虫来凑热闹了,去年年底12月29日发现一只计算机蠕虫VBS_TQLL.A,趋势科技发布最新病毒通报,呼吁计算机用户注意这只MicrosoftOutlook邮件病毒,千万别执行附件名happynewyear.txt.vbs的邮件。这只VBS_TQLL.A会随一封主题为「NewYear!」的电子邮件出现,邮件的内容写着:「WowHappyNewYear」,附件名为「happynewyear.txt.vbs」。一旦执行附件,病毒便会暗渡陈仓将自己安装在受害者计算机中,在Windows目录下增加一个名为"3K.EXE"或"TEEN.EXE"的执行文件,是一种Backdoor木马程序,另外,病毒会将自己寄给使用者通讯簿里所有的名单,自动对这些邮件地址发送垃圾邮件。解决方案:1.按Ctrl-Alt-Dela.WinNT用户,按TaskManager,然后进入Process。删除"3K.EXE"执行文件。b.Win95/95用户,删除"3K.EXE"执行文件。2.在WINDOWSdirectory中删除"3K.EXE"or"TEEN.EXE"3.请用防毒软件扫描系统并删除所有侦测为VBS_TQLL.A及TROJ_TQLL.A的文件。请趋势科技用户立即更新病毒码826(含)已上,VSAPI扫描引擎5.20,并删除所有侦测为VBS_TQLL.A的文件。 风险级数:TROJ_NAVIDAD.A用不怀好意的眨眼来传送圣诞快乐信息又是一只叫"NAVIDAD"的新蠕,这次是在南美洲发现,NAVIDAD在西班牙文中为"圣诞节"之意。甫出现便已在各地传出感染灾情。其中毒症状是当执行被感染文件时,会出现标题为"error"的对话框,框内的文字为"UI",如果中毒用户按下ok,会在萤幕右下方出现一个眼睛icon,游标指向眼睛icon,会出现"Loestamosmirando..."的字,意思是"Wearewatchingyou"。接着若点选眼睛icon,又会出现以下对话框"Nuncapresionoresteboton"意思是"neverpressthisbutton.",若不信邪,再点选玩下去,跟着就会有一错误信息出现意思是:"MerryChristmas,Unfortunatelyyou'vegivenintotemptationandloseyourcomputer."也就是说,悲剧降临你的电脑了。TROJ_NAVIDAD.A病毒利用MicrosoftExchangeMessagingAPI(MAPI),以email夹带附件"NAVIDAD.EXE"进行散播。当使用者在不知情的状况下执行该附带档,电脑随即中毒。病毒会将自己寄给使用者通讯录里所有的名单,并修改windowsregistry。该病毒最特殊之处为,病毒会寻找收件匣中的寄件者名单,自动回覆带有病毒文件的email,因为该信件与一般回覆信件无异,使用者不会对其存有戒心,执行附件后将造成连锁性的感染。例如:Carolyn寄电子邮件给电脑中毒的John,病毒会自动回覆该信件,并夹带病毒文件,Carolyn见John 回信,不疑有他,执行email附件,即遭TROJ_NAVIDAD.A病毒感染。解决方案:一、自动清除程序:1.请至趋势科技网站下载自动清除程序"knvd.com".2.在另一台没有中毒的电脑中下载knvd.com3.将knvd.com存至一张空白磁片中4.将磁片拿至中毒的电脑5.点选开始|执行6.输入a:knvid.com并按确定7.重新启动电脑8.扫描所有文件.将侦测出TROJ_NAVIDAD.A文件全部删除二、手动清除程序:1.从「开始」|「程序集」|「MS-DOS模式」2.键入DOS指令以重新命名regedit.exe为regedit.com语法如下cdcdwindowsrenregedit.exeregedit.com3.键入Exit指令并按「确定」,回到Windows。4.按一下「开始」按钮,接着选取「执行」5.输入「regedit」。按一下「确定」。6.在左边视窗,按一下含有"+"记号的方块以展开节点来寻找下列登录HKEY_CLASSES_ROOTexefileshellopencommand7.在右边视窗,以展开节点来寻找含有下列登录的记录值并点选(Default)="%windir%SYSTEMWINSVRC.EXE"%1""%*"where%windir%8.当编辑视窗出现,将所有整个部分删除,只留下"%1"%*"。9.同步骤3-5,输入「regedit」。按一下「确定」,进入以下注册机值。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun10.点选Win32BaseServiceMOD=%windir%SYSTEMWINSVRC.EXE,并按「删除」11.从「开始」|「程序集」|「MS-DOS模式」12.键入DOS指令并按「确定」,重新命名regedit.com为regedit.exe。13.使用趋势科技防毒软体扫描,删除所有侦测为TROJ_NAVIDAD.A的文件。更多有关TROJ_NAVIDAD.A病毒资料,请至趋势科技网站查询所有Internet使用者若要快速检查您的PC是否还含有病毒,请利用HouseCall─ 这是趋势科技的线上杀毒程序。这项工具可侦测出您的PC中潜藏的病毒。风险级数:TROJ_MSINIT.A又见渗透力超强的特洛伊病毒,电脑黑客再添助手最近收到不少来自用户关于TROJ_MSINIT.A的报告,据悉TROJ_MSINIT.A是一只新的Trojan,一旦执行,更新registry,所以每次执行文件,系统将会再度开启,此外它还会企图通过扫描IPaddress将自己散布到其他电脑;他会在涵盖"Windows"directory的共享c:底下寻找电脑。解决方案:1.从开始进入执行2.键入REGEDIT并按确定键3.之后视窗出现二分隔版,先在左边找到HKEY_LOCAL_MACHINE按其+,接着在展开文件夹中依序进入Software/Microsoft/Windows/CurrentVersion/RunServices,进入RunServices之后,将右边出现的任何包含"msinit=ormsinit="c:WindowsSystemDNETC.EXE".等registrykey反白并删除。4.回答YES之后离开regisstry。5.从开始进入关机,选择重新开机并按OK,重新启动电脑。6.扫描所有文件,将侦测出TROJ_MSINIT病毒的文件删除。请趋势科技用户立即更新病毒码781(含)以上,VSAPI扫描引擎5.20。趋势产品使用者请定期更新您的病毒码与扫描引擎。使用趋势科技防毒软体扫描系统,删除所有侦测为TROJ_MSINIT.A的文件。趋势产品使用者必须下载最新版病毒码来扫描系统。所有Internet使用者若要快速检查您的PC是否还含有病毒,请利用HouseCall─这是趋势科技的线上杀毒程序。这项工具可侦测出您的PC中潜藏的病毒。风险级数:PE_MTX.A神秘黑客,来无影去…有踪详细内容:PE_MTX.最近进入网路病毒排行榜第四名,值得特别注意。基于此,趋势科技要特别提醒用户要密切注意这只病毒,因为这只病毒出现会通过email以无主题无内容这种"无声无息"的方式出现,防卫上要特别谨慎。一旦被执行,PE_MTX会抓取以下几个档(IE_PACK.EXE,WIN32.DLLandMTX_.EXE)进入Windowsdirectory接着会更新Windowsregistry以致于用户在每次系统重新开机时病毒就会被执行。PE_MTX同时也包含了特洛伊成份,这同时也使得这病毒会试图连结Internet并下载文件。这个成份被侦查为TROJ_MTX.A.。解决方案:1.点选开始|寻找2.输入WININIT.INI3.若找到文件,请删除WININIT.INI后,跳过下列第四步骤。直接执行第行第五步骤4.若无法找到文件,请由另一台未感染病毒的电脑覆制wsock32.dll。方式如下a.由一台电脑覆制c:windowssystemwsock32.dll至一张空白磁片 b.将该磁片放入感染病毒的电脑C.进入ms-dos模式.输入下列指令c:cdcdwindowscdsystemcopya:wsock32.dllexit5.进入ms-dos模式6输入下列指令c:cdcdwindowsattribmtx_.exe-hattribIe_pack.exe-hattribWin32.dll-hexit7.至开始|执行中输入regedit,并按确定8.请您点选HKEY_LOCAL_MachineSoftwareMicrosoftWindowsCurrentVersionRun9.将右边视窗SystemBackup="c:windowsmtx_.exe"删除10.点选HKEY_LOCAL_MACHINESoftwareMATRIX将MATRIX删除11.扫描所有文件.将侦测出troj_mtx.a文件全部删除12.使用紧急救援磁片(开机片)重新开机(请使用关闭电源的方式重新开机)13.再放入紧急救援磁片并执行A:>PCSCAN/V/C/A即可开始扫描并清除病毒。若您没有我们的杀毒软体,可使用以下方式:(1)请到http:\www.trend.com.twdownloadpccillin.htm下载pcs730res.exe(2)请到http:\www.trend.com.twdownloadpattern.htm下载lpt$771.exe(3)您可先建一个目录如下:c:>mdpcscan(4)将pcscan730res.exe和lpt$771.exe储存于您所建的目录下(5)使用一张乾净的dos磁片开机(6)在a:>提示符号下输入c:(7)在c:>提示符号下输入cdpcscanpcs730res.exe{自动解压缩}lpt$771.exe{自动解压缩}(8)执行pcscan/v/a/c即可开始扫描并清除病毒所有Internet使用者1.若要快速检查您的PC是否还含有病毒,请利用HouseCall─这是趋势科技的线上杀毒程序。这项工具可侦测出您的PC中潜藏的病毒。2.若要在病毒感染您的PC或网路之前就将病毒扫除,维护您PC的健康,请即刻采用可能的防毒解决方案。趋势科技可针对家庭用户、企业用户、及ISP,提供病毒防护与内容保全解决方案。其他电子邮件使用者可使用趋势科技的线上杀毒程序HouseCall 风险级数:红色警戒VBS_Kalamar克拉玛病毒(别名:AnnaKournikova)自动散播垃圾邮件,灾情直逼ILOVEYOU我爱你病毒详细内容:全球知名网络防毒软件厂商趋势科技今日(2/13)发布红色病毒警讯,一只名为"VBS_Kalamar克拉玛"(别名为AnnaKournikova)的新病毒,正通过电子邮件,迅速地在全球各地扩散。这只由VBScript程序语言所撰写的新病毒,传播途径类似去年5月的ILOVEYOU我爱你病毒,主要通过一封信件标题为"Hereyouhave,:o)"的电子邮件散播,收件人一旦执行附件,病毒会通过中毒者的Outlook发送大量垃圾邮件。若计算机日期为1月26日,病毒会企图连接至下列网站:http://www.dynabyte.nl。趋势科技表示,目前"VBS_Kalamar"克拉玛病毒已陆续在美国、欧洲及日本等地传出感染灾情。详细病毒感染状况请至趋势科技全球病毒实时监控中心查询:http://wtc.trendmicro.com/taiwan。VBS_Kalamar克拉玛病毒(别名:AnnaKournikova)病毒FAQ:如何判断"VBS_Kalamar"克拉玛病毒?l信件主题:Hereyouhave,:o)l信件内容:Hi:Checkthis!l附件:AnnaKournikova.jpg.vbs(如下图)解决方案:TrendLabs趋势科技全球防毒研究暨支持中心建议:l当收到信件标题为"Hereyouhave,:o)"的电子邮件,请立即删除,勿开启附件以免中毒。l趋势科技防毒软件用户请立即更新扫描引擎至5.200以上、病毒码至847(含)以上,以侦测及清除此病毒l或采用趋势科技内容过滤产品InterScaneManager或ScanMailforExchange、ScanMailforLotusNotes以计算机病毒附件名称、信件主题及信件内容来侦测及清除。风险级数:JS_SEEKER.A,擅改用户网络浏览器预设页面请趋势科技用户立即更新病毒码792(含)已上,VSAPI扫描引擎5.20。不论是排行榜或是电话、电子邮件咨询,都显示JS_SEEKER.A感染率最近有增加的趋势,这只JavaScript病毒会更改Windows的注册机值,并因此而使得受感染用户的网络浏览器预设页面变成http://www.sureseeker.com。就在这病毒执行时,这只病毒会抓取在Windowsdirectory中HOMEREG111.REG的文件。这文件包含更改Windows注册表值的指令,所以受感染用户的InternetExplorer和NetscapeNavigator预预设网页会被更改成以下。此外,这只病毒会将他更改的注册机值BACKUP1.REGandBACKUP2.REG制作备份,这个步骤在完全不需用户确认之下自行进行并自行删除。解决方案趋势产品使用者请定期更新您的病毒码与扫描引擎。使用趋势科技防毒软件扫描系统。趋势产品使用者必须下载最新版病毒码792来扫描系统。所有Internet使用者1.若要快速检查您的PC是否还含有病毒,请利用HouseCall─ 这是趋势科技的线上杀毒程序。这项工具可侦测出您的PC中潜藏的病毒。2.若要在病毒感染您的PC或网络之前就将病毒扫除,维护您PC的健康,请即刻采用可能的防毒解决方案。趋势科技可针对家庭用户、企业用户、及ISP,提供病毒防护与内容保全解决方案。风险级数:VBS_LOVELETTER.BD(情书虫加上履历表的变种)小心网罗人才却中了美人计--履历表里夹带情书,要撒下毒网!请趋势科技用户立即更新病毒代码为760(含以上)。详细内容:如果你是雇主,请密切防范一封夹带情书的履历表!因为,有毒喔!网络上的病毒花招百出,令人防不胜防。情书病毒热情犯滥,履历表病毒害人不浅,但是没想到…情书和履历表有一天竟会联手出击!VBS_LOVELETTER.BD是最近新发现的一只蠕虫,这只新蠕虫同时也是今年五月发现的VBS_LOVELETTER情书病毒的变种。一旦执行被感染的文件,VBS_LOVELETTER.BD这只病毒会试图将自己藏匿在resume.txt.vbs中,寄给所有你outlook名单中所有的朋友。送出二类型的email给所有名单中的人,第一种是以''contract''为主题,''resume.txt''为附件的型式。第二种是以''Resume''为主题,''resume.txt.vbs''为附件的型式。此外,VBS_LOVELETTER.BD同时会下载并且执行backdoor特洛伊,这会使得门户洞开,黑客入侵,并偷走机密文件。趋势科技并且察觉出这类黑客就是:TROJ_PSW.HOK.B,请用户小心解决方案:请在MSDOS磁盘操作系统下的各种应用程序下清除:在MSDOS磁盘操作系统下,如果''hcheck.exe''存在,请清除之。1.重新启动Windows,按一下「开始」按钮,接着选取「执行」2.输入「regedit」。3.按一下「开始」按钮,接着选取「执行」4.展开节点来寻找下列登录出现:HKEY_CURRENT_USERSoftwareACH05.直接按一下在左边的ACH0这个文件匣,然后从选单中选取删除删除下列登录"HKEY_CURRENT_USERSoftwareUBSUBSPINOptionsDatapath趋势产品用户请定期更新您的病毒代码与扫描引擎。使用趋势科技防毒软件扫描系统。趋势产品使用者必须下载最新版病毒代码760来扫描系统。所有Internet用户1.若要快速检查您的PC是否还含有病毒,请利用HouseCall—这是趋势科技的在线杀毒程序。这项工具可检测出您的PC中潜藏的病毒。2.若要在病毒感染您的PC或网络之前就将病毒扫除,维护您PC的健康,请立即采用可能的防毒解决方案。趋势科技可针对家庭用户、企业用户、及ISP,提供病毒防护与资料安全解决方案。其他电子邮件用户可使用趋势科技的在线杀毒程序HouseCall 风险级数:红色警戒求职热季,履历表病毒(Resume.A)自我推荐,与Melissa一较高下,趋势科技抢先删毒通过求职热季就要到来,相信许多大企业的人事部门或高阶主管们,经常收到许多自我推荐的求职信函,提醒您得提高警觉!免得求才不成,还使得公司的重要资料瞬间遭删除。一只名为「履历表」-”W97M_Resume.A”的新病毒,27日凌晨在美国通过EMAIL扩散。根据趋势科技表示,这只新病毒类似梅莉莎病毒的感染方式,其破坏力则较梅莉莎强大,病毒除了试图经由感染者的MicrosoftOutlook发出自动信件,还会删除所有磁盘中的全部文件,造成电脑无法正常运作。所幸截至截稿为止”W97M_Resume.A”病毒并没有酿成严重的灾情,目前计有8家美国大型企业中毒,约有2万台电脑受害。目测辨毒法--检查信件标题:Resume-JanetSimons附件---Explorer.doc基本防毒动作-千万别打开附件,因为用户一旦执行附加文件,即会遭到病毒感染。解决方案趋势科技用户-立即下载最新病毒代码715以清除此病毒。非趋势科技用户--1.察看是否有c:DATA ormal.dot存在,请删除该文件2.如果C:WINDOWSSTARTMENUPROGRAMSSTARTUP目录下有explorer.doc这个文件,请删除
