 |
长假过后展开杀毒大战 多个恶性病毒解毒方案公布 |
|
|
| 长假过后展开杀毒大战 多个恶性病毒解毒方案公布 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-22 11:19:57 |
|
长假过后展开杀毒大战之剑指网页病毒
五一长假给了很多网迷充分的时间去浏览网页,如果稍不留神儿逛到恶意网站上,就会发现自己的IE标题栏换成了其他网站的名字、默认主页成了他家的自留地……更恐怖的还能让你的系统禁止使用、格式化硬盘等。
只要我们掌握了一些对付此等恶意代码的“绝招”,就可尽情地放心冲浪了,本专题我们就来探讨一下恶意代码的类型及其对付方法。
恶意代码之下载运行木马程序
危害程度:★★★
感染概率:★★★
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页时,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告。
解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当做病毒迅速查出并截杀。
恶意代码之注册表的锁定
危害程度:★★
感染概率:★★★
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“Dis鄄ableRegistryTools”键值恢复为“0”,即可恢复注册表。
恶意代码之格式化硬盘
危害程度:★★★★★
感染概率:★
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说“当前的页面含有不安全的ActiveX,可能会对你造成危害”,问你是否执行。如果你选择“是”的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答“是”。该提示信息还可以被修改,如改成“Windows正在删除本机的临时文件,是否继续”,所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
恶意代码之篡改IE标题栏
危害程度:★
感染概率:★★★★★
现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值“WindowsTitle”下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。
解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\In鄄ternetExplorer\Main下,在右半部分窗口找到串值“Win鄄dowsTitle”,将该串值删除。重启机器。
恶意代码之默认主页修改
危害程度:★★★
感染概率:★★★★★
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色,这不愧是网络流氓的一贯作风。
解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\In鄄ternetExplorer\Main,在右半部分窗口中将“StartPage”的键值改为“about:blank”即可。
注意有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:1.运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,然后将下面的“registry.exe”子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重启机器。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetEx鄄plorer\Main,将Default-Page-URL子键键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
五招拦住恶意代码(运筹帷幄)
互联网上形形色色的网络陷阱,让上网冲浪者闻之色变,其实,只要做好周密的防范,恶意代码又奈我何!
☆第一招:升级IE浏览版本
大部分的恶意代码只对IE5.0版本有效,而无论是Win98还是Win2000,初始安装时都是低于IE5.0的版本,因此千万不要图一时之懒,还是赶快升级吧!
☆第二招:安装天网防火墙天网防火墙除了有隔绝恶意网络攻击的功能外,它特有的天网安全检测修复系统,对防范恶意代码有特效。
即使你使用的是IE5.0,用该系统修复漏洞之后,恶意代码也对你没有危害了。
☆第三招:安装金山毒霸、诺顿等病毒防火墙
通常病毒防火墙都内置了大量查杀VBS、Javascript恶意代码的特征库,能够有效地警示、查杀、隔离含有恶意代码的网页。
☆第四招:安装超级兔子的IE保护器
一旦发现中招,在不重新启动机器的前提下,运行IE保护器,清除所有的改动即可。
☆第五招:利用“魔法石”网页
由3721提供的“魔法石”(http://magic.3721.com)网页可以帮助我们在线清除恶意代码、优化网络、方便地进行个性化设置等。
要清除恶意代码,只要点击安全与恢复栏目,这时会出现一个对话框要求安装魔法石,照提示点击“确定”后就可以方便地完成。
长假过后展开杀毒大战之力斩聊天病毒
五一漫漫长假中,上网聊天消磨时光的大有人在。一说起聊天,就不能不提QQ,回首2003年,QQ已经成为任何人都不能忽视的互联网聊天软件。正所谓“树大招风”,QQ的大用户群使其成为病毒滋生的“温床”和黑客频繁攻击的对象。如果你在聊天中不小心中了招,没关系,下面的解毒秘籍可以帮你,如果你幸运未曾中招,也千万别忽视做好防护工作哦!
木马代表之美女杀手
英文名称:Trojan.Legend.Syspoet.b
警惕程度:★★★★
发作时间:随机
病毒类型:木马病毒
传播途径:QQ软件/网络
依赖系统:Windows9x/Nt/2000/Xp
中毒症状
该病毒通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒会将自己伪装成:http://qianhui.9966.org/zhaopi鄄an/me.jpg之类的网址,当用户点击该网址时会出现一张美女照片,当照片被打开的时候,用户的电脑则已经被病毒感染。
当浏览器版本级别低于IE6.0SP1的电脑染毒后,病毒会修改一些文件的关联,导致像office软件、任务管理器、注册表编辑器等程序无法使用。该病毒还会破坏资源管理器,只要用户打开目录的深度超过五级,病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口,因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登录等现象。另外该病毒会修改用户电脑的系统配置,导致用户重启系统时无法进入“我的电脑”。
火眼识毒
1.病毒用VB语言编写,采用UPX压缩。
2.病毒一旦执行,将自我复制到系统文件夹,并重命名为随机文件名的可执行文件。
3.病毒将在注册表启动项下,创建随机注册表键值来使自己随Windows系统启动。
4.终止带有下列字眼程序的执行:瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOTREGISTRYMONITOR、W32DASM。
5.通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒链接包括:http://qiumei.3322.org/zhaopian/me.jpg;http://jiawei.6600.org/zhaopian/me.jpg;http://siting.8800.org/zhaopian/me.jpg;http://qianhui.9966.org/zhaopian/me.jpghttp://xiujuan.2288.org/zhaopian/me.jpg。
疗毒圣药
安装系统漏洞补丁
由上述病毒的传播方式我们可以知道,即使不执行病毒文件,病毒依然可以借助系统漏洞自动执行,达到感染的目的。因此随时安装系统漏洞补丁和升级杀毒软件一样重要。为IE6的漏洞打补丁就可以修补iFrame漏洞,防患于未然。
IE6补丁下载地址:http://www.microsoft.com/windows/ie/downloads/criti鄄cal/q319182/download.asp
“QQ病毒”专杀工具http://it.rising.com.cn/ser鄄vice/technology/RS_QQMsender.htm
木马代表之QQ尾巴
英文名称:Trojan.QQ3344
警惕程度:★★★★
发作时间:随机
病毒类型:木马病毒
传播途径:QQ软件/网络
依赖系统:Windows9x/Nt/2000/Xp
该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦……”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病毒的传播源。
火眼识毒
在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
1.呵呵http://www.mm**.com刚才朋友给我发来的这个东东。你不看看要后悔哦,嘿嘿。也给你的朋友吧。
2.呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/。
3.http//www.hao***.com帮忙看看这个网站打不打的开。
4.http://ni***.126.com看看啊。我最近照的照片~才扫描到网上的。看看我是不是变了样。
疗毒圣药
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:Windows一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.安装系统漏洞补丁IE6补丁下载地址:http://www.microsoft.com/windows/ie/down鄄loads/critical/q319182/download.asp
“QQ病毒”专杀工具http://it.rising.com.cn/service/technology/RS_QQMsender.htm
网游“盗号”三大骗术(提防网游病毒)
网络游戏玩家的账号被恶意盗窃,装备被盗卖,这样的事发生得实在太多了。我们时不时地就可以看到这样的新闻:“黑客在网吧机器中植入木马病毒,企图盗窃网络游戏账号……”
网络游戏世界里,一件极品装备不知要花费玩家多少金钱、心血和不眠之夜,因此,玩家最为担心的事情,莫过于自己的虚拟人物身份被冒用,以及虚拟物品在游戏世界中被盗窃。怎么能做到有效防盗?除去在网吧被人偷看账号和密码等人为盗号之外,网络游戏“盗号”大体有以下三大骗术:
☆骗术一用木马盗取玩家账号、密码。这是比较普遍的情况,尤其是在网吧这样的公共上网场所。有人故意在机器上设计木马程序,等其他人在这台机器上玩网络游戏的时候,木马程序会偷下账号、密码等敏感信息,保存在本地的隐秘文件中,或者通过网络发送到特定的邮箱中(以后者情况居多)。
☆骗术二通过远程控制方式,盗号人可以远程查看、控制本地的机器,从而拦截用户的输入,窃取账号、密码。
☆骗术三通过系统漏洞,在本机植入木马或者远程控制工具,然后通过第二种和第三种方式进行盗号活动。
☆防骗手段安装专业的防毒软件进行全面监控;定期到微软网站去下载最新的安全补丁,以防范未然;使用复杂的密码,开启防火墙。
长假过后展开杀毒大战之勇挡流行病毒
五一长假期间在网络上畅游自然是件惬意的事,但要遇到了“不速之客”的话,恐怕事情看起来就没那么轻松了。今年五一节让我们记住了一个名词———震荡波,这个由德国18岁少年制造的病毒来势凶猛,据说其破坏程度更甚于“冲击波”。而另一个利用电子邮件和共享目录传播的“网络天空”病毒则速度极快,也不可小觑。本专题将向您介绍应对流行病毒及常见病毒的方法,所以即便是五一上网不幸中招,也不必担心!
流行病毒之震荡波
病毒英文名:Worm.Sasser
病毒大小:15872字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★★
病毒传播途径:网络
病毒依赖系统:Windows2000/XP
变种:Worm.Sasser.b/c/d/e不受影响的系统:MicrosoftWindows98MicrosoftWindowsMEMicrosoftWindowsNT4.0
病毒档案
五一黄金周第一日,一个新的病毒———震荡波(Worm.Sasser)开始在互联网肆虐。该病毒是通过微软的最新高危漏洞———LSASS漏洞(微软MS04-011公告)进行传播的,中招后的系统将开启128个线程去攻击其他网上的用户,可造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启。危害性极大,其破坏程度有可能超过“冲击波”。
中毒症状
如果用户的电脑中出现下列现象之一,则表明已经中毒。
一、出现系统错误对话框。被攻击的用户,如果病毒攻击失败,则用户的电脑会出现LSAShell服务异常框,接着出现一分钟后重启计算机的“系统关机”框。
二、系统日志中出现相应记录。运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
三、系统资源被大量占用。病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,电脑运行异常缓慢。
四、内存中出现名为avserve的进程。病毒如果攻击成功,会在内存中产生名为avserve.exe的进程,用户可以用Ctrl+Shift+Esc的方式调用“任务管理器”,然后查看内存里是否存在上述病毒进程。
五、系统目录中出现名为avserve.exe的病毒文件。病毒如果攻击成功,会在系统安装目录(默认为C:WINNT)下产生一个名为avserve.exe的病毒文件。
六、注册表中出现病毒键值。病毒如果攻击成功,会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWin鄄dowsCurrentVersionRun项中建立病毒键值:“avserve.exe”=“%WINDOWS%avserve.exe”。
疗毒圣药
1.为系统打上最新微软补丁http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx2.下载“震荡波”专杀工具微软http://www.mi鄄crosoft.com/china/technet/se鄄curity/tools/sasserclear.asp瑞星http://it.rising.com.cn/service/technology/RS_sasser.htm金山毒霸http://www.duba.net/download/3/113.shtml3.下载“震荡波”专用防火墙金山毒霸http://www.duba.net/download/other鄄tools/DB_AntiSasser.ex
流行病毒之网络天空
病毒英文名:Worm.Netsky.B
病毒危险等级:★★★★☆
病毒类型:蠕虫病毒病
毒传播途径:网络/邮件
病毒依赖系统:WINDOWS9X/NT/2000/XP/Server2003
病毒档案
“网络天空”(Worm.Netsky.B)病毒利用电子邮件和共享目录传播,传播的速度极快,在未来的几天里可能造成新一波病毒邮件泛滥。该病毒利用自带的SMTP邮件引擎发送,邮件发送人随机产生,标题可能为:hello、stolen、warning、un鄄known、fake,附件后缀为:.scr、.com、.pif、.rtf、.doc、.htm、.exe等,附件即是病毒体。
火眼识毒
病毒会显示虚假的消息框“Thefilecouldnotbeopened!”复制自己为系统目录下的services.exe文件,修改注册表实现自启动。病毒会搜索注册表,如果发现“SCO炸弹”病毒留下的键值,则会删除。另外病毒会从注册表中删除俄罗斯杀毒软件AVP的键值,企图阻止该杀毒软件的自启动,加大用户的安全风险。在硬盘上搜索以eml、txt、htm等结尾的十几种文件,从中提取电子邮件地址,用病毒体自带的SMTP引擎向这些地址大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源,甚至会影响企业的邮件服务器。
疗毒圣药
下载“网络天空(Worm.Netsky)”病毒专杀工具瑞星http://it.rising.com.cn/service/technology/RS_Netsky.htm金山毒霸http://www.duba.net/download/3/107.shtml
打好安全保卫战(运筹帷幄)
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP客户端、Telne和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达等病毒。
4.使用复杂的密码。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网。
6.了解一些病毒知识。了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好安装专业防毒软件进行全面监控。不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)。
流行病毒专杀工具瑞星http://it.rising.com.cn/ser鄄vice/technology/tool.htm金山http://www.duba.net/down鄄load/3诺顿http://www.symantec.com/avcenter/tools.list.html
在线杀毒瑞星http://online.rising.com.cn金山http://online.kingsoft.netKVhttp://online.jiangmin.com
常用杀毒软件瑞星http://go.rising.com.cn/诺顿http://www.symantec.com/region/cn/downloads/金山http://www.duba.net/
(本专题撰文王为)
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: 计算机用户如何对付“震荡波”蠕虫
下一篇新闻: 瓦楞病毒肆虐 伪装雅虎新闻网址引人上当 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
