第十八章電腦病毒第一頁(yè)，共38頁(yè)。第十八章電腦病毒一、計(jì)算機(jī)病毒的定義和特征:

1、定義：指能夠通過(guò)自身復(fù)制、傳染而起破壞作用的一種計(jì)算機(jī)程序2、特征：2.1傳染性：自行復(fù)制傳染并感染其他文件。2.2危害性：破壞系統(tǒng)，修改數(shù)據(jù)等2.3隱蔽性：沒(méi)有或不易找出文件名2.4可觸發(fā)性：悄悄感染，當(dāng)滿足條件時(shí)才顯示病毒程序2.5欺騙性：用欺騙的手段寄生在其它文件之上2.6不可預(yù)見(jiàn)性

：先有病毒,才有殺毒軟件

第二頁(yè)，共38頁(yè)。第十八章電腦病毒二、計(jì)算機(jī)病毒的分類(lèi)：1、操作系統(tǒng)型病毒（引導(dǎo)病毒）病毒作為系統(tǒng)的一個(gè)模塊運(yùn)行，激發(fā)后，病毒工作2、文件型病毒：寄生在文件上，裝載文件時(shí)，首先運(yùn)行病毒，然后再運(yùn)行指定的文件3、復(fù)合型病毒：既感染文件，又感染引導(dǎo)區(qū)4、宏病毒

：針對(duì)Office的

5、電子郵件病毒

：針對(duì)電子郵件

第三頁(yè)，共38頁(yè)。三、計(jì)算機(jī)病毒的模塊和機(jī)理:病毒程序安裝模塊感染模塊破壞模塊機(jī)器啟動(dòng)安裝調(diào)用文件安裝病毒程序常駐內(nèi)存感染控制部份感染判斷部份感染操作部份激發(fā)控制部分破壞操作部份第十八章電腦病毒第四頁(yè)，共38頁(yè)。第十八章電腦病毒2、機(jī)理：2.1引導(dǎo)型：通過(guò)搶占系統(tǒng)引導(dǎo)扇區(qū)，計(jì)算機(jī)啟動(dòng)時(shí)搶先運(yùn)行，滿足條件就工作。2.2文件型：病毒附在可執(zhí)行文件之上，將此文件讀入內(nèi)存時(shí)病毒程序首先運(yùn)行，開(kāi)始工作.3、各模塊的工作：3.1安裝模塊：引導(dǎo)型：機(jī)器啟動(dòng)時(shí)首先運(yùn)行引導(dǎo)扇區(qū)中的程序，病毒放在此處執(zhí)行文件型：病毒附在可執(zhí)行文件上,調(diào)用文件時(shí)病毒首先進(jìn)入內(nèi)存并駐留3.2感染模塊：第五頁(yè)，共38頁(yè)。感染控制：病毒有一控制條件，滿足就感染感染判斷:病毒有一標(biāo)記，感染時(shí)的標(biāo)記感染操作：滿足條件就進(jìn)行感染操作第十八章電腦病毒第六頁(yè)，共38頁(yè)。四：電腦病毒的基本規(guī)律和現(xiàn)象1、內(nèi)存少了1KB2、引導(dǎo)扇區(qū)被強(qiáng)占3、文件被加長(zhǎng)4、機(jī)器運(yùn)行有問(wèn)題：運(yùn)行速度慢：病毒竊取CPU時(shí)間第十八章電腦病毒第七頁(yè)，共38頁(yè)?，F(xiàn)象：

病毒被放在磁盤(pán)的引導(dǎo)扇區(qū)或可執(zhí)行文件后面，病毒程序被駐留在內(nèi)存的高端，且被保護(hù)，每個(gè)病毒有一標(biāo)記，感染時(shí)通過(guò)修改磁盤(pán)的讀寫(xiě)地址，感染病毒。運(yùn)行慢，文件加長(zhǎng)，屏幕可能出現(xiàn)一些非法畫(huà)面五、病毒防范:1、切斷傳播路徑

2、減少PC交叉使用第十八章電腦病毒3、軟件備份4、冷靜診治5、防病毒軟件第八頁(yè)，共38頁(yè)。第十八章電腦病毒六、殺毒軟件的功能和機(jī)理

:1、功能：備份主引導(dǎo)區(qū)快查內(nèi)存自我檢查、修復(fù)、自我解除自身感染的病毒檢測(cè)、修復(fù)、重建硬盤(pán)分區(qū)表功能機(jī)器不啟動(dòng)：引導(dǎo)扇區(qū)被感染讀盤(pán)時(shí)間長(zhǎng)：病毒要感染磁盤(pán)上所有可執(zhí)行文件第九頁(yè)，共38頁(yè)。設(shè)置Virus.dat(庫(kù)文件)存放病毒特征檢查代碼:庫(kù)文件向殺毒執(zhí)行文件提供已知病毒殺除代碼:根據(jù)代碼、發(fā)現(xiàn)病毒、殺除七、殺毒軟件的使用：殺毒軟件：瑞星殺毒KV殺毒王金山毒霸2、殺毒機(jī)理：第十八章電腦病毒第十頁(yè)，共38頁(yè)。瑞星殺毒軟件：1、實(shí)時(shí)監(jiān)控“防火墻功能”。2、可以檢測(cè)壓縮和解壓文件格式3、完全修復(fù)病毒破壞的硬盤(pán)數(shù)據(jù)4、可以清除“黑客”程序黑客：指侵入者或侵入行為5、解決“宏病毒”問(wèn)題可以區(qū)分病毒宏和正常宏6、定時(shí)預(yù)約查毒7、提供檢查結(jié)果報(bào)告和實(shí)時(shí)監(jiān)控技術(shù)第十八章電腦病毒第十一頁(yè)，共38頁(yè)。第十二頁(yè)，共38頁(yè)。第十三頁(yè)，共38頁(yè)。第十四頁(yè)，共38頁(yè)。第十五頁(yè)，共38頁(yè)。病毒一、"沖擊波"電腦病毒沖擊全球染病癥狀：電腦反復(fù)重啟(圖文)這是彈出ＲＰＣ服務(wù)終止的對(duì)話框的現(xiàn)象。沖擊波”病毒感染系統(tǒng)后，會(huì)使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：計(jì)算機(jī)中Ｗｏｒｄ、Ｅｘｃｅｌ、Ｐｏｗｅｒｐｏｉｎｔ等文件無(wú)法正常運(yùn)行，有時(shí)會(huì)彈出ＲＰＣ服務(wù)終止的對(duì)話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常第十六頁(yè)，共38頁(yè)。瀏覽網(wǎng)頁(yè)，復(fù)制粘貼等操作受到嚴(yán)重影響，ＤＮＳ和ＩＩＳ服務(wù)遭到非法拒絕等。利用shutdown命令：在“開(kāi)始” “運(yùn)行”中輸入“shutdown–a”即可病毒二、震蕩波病毒：這兩天振蕩波病毒很厲害，各位當(dāng)心，如果出現(xiàn)下列癥狀（一個(gè)就夠了），請(qǐng)務(wù)必注意查殺病毒：第十七頁(yè)，共38頁(yè)。

1、莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)；

2、任務(wù)管理器里有一個(gè)叫"avserve.exe"、"avserve2.exe"或者"skynetave.exe"的進(jìn)程在運(yùn)行；

3、在系統(tǒng)目錄下，產(chǎn)生一個(gè)名為avserve.exe、avserve2.exe、skynetave.exe的病毒文件；

4、最系統(tǒng)速度極慢，cpu占用100%。

第十八頁(yè)，共38頁(yè)。

【>>快速判斷感染"震蕩波"病毒四招】應(yīng)對(duì)方法一：1、使用專(zhuān)殺工具：a、清除內(nèi)存中的病毒進(jìn)程

第十九頁(yè)，共38頁(yè)。要想徹底清除該病毒，應(yīng)該先清除內(nèi)存中的病毒進(jìn)程，用戶可以按CTRL+SHIFT+ESC三或者右鍵單擊任務(wù)欄，在彈出菜單中選擇“任務(wù)管理器”打開(kāi)任務(wù)管理器界面，然后在內(nèi)存中查找名為“avserve.exe”的進(jìn)程，找到后直接將它結(jié)束。

b、刪除病毒文件

病毒感染系統(tǒng)時(shí)會(huì)在系統(tǒng)安裝目錄（默認(rèn)為C:\WINNT）下產(chǎn)生一個(gè)名為avserve.exe的病毒文件，并在系統(tǒng)目錄下(默認(rèn)為C:\WINNT\System32)生成一些名為<隨機(jī)字符串>_UP.exe的病毒文件，用戶可以查找這些文件，找到后刪除，如果系統(tǒng)提示刪除文件失敗，則用戶需要到安全模式下或DOS系統(tǒng)下刪除這些文件。第二十頁(yè)，共38頁(yè)。c、刪除注冊(cè)表鍵值該病毒會(huì)在電腦注冊(cè)表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項(xiàng)中建立名為“avserve.exe”，內(nèi)容為：“%WINDOWS%\avserve.exe”的病毒鍵值，為了防止病毒下次系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行，用戶應(yīng)該將該鍵值刪除，方法是在“運(yùn)行”菜單中鍵入“REGEDIT”然后調(diào)出注冊(cè)表編輯器，找到該病毒鍵值，然后直接刪除第二十一頁(yè)，共38頁(yè)。2、下載微軟補(bǔ)?。ㄕ?qǐng)斷網(wǎng)打補(bǔ)丁）：WindowsNT4.0Server：【中文版】【英文版】（推薦SP6以上版本，先安裝SP6）

Windows2000：【中文版】【英文版】（推薦SP3以上版本，先安裝SP3）

WindowsXP：【中文版】【英文版】

Windows2003Server：【中文版】【英文版】3、建議安裝防火墻，我自己使用的是NortonInternetSecurity第二十二頁(yè)，共38頁(yè)。感染震蕩波病毒的計(jì)算機(jī)有如下癥狀：1.在注冊(cè)表主鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加如下鍵值:avserve.exe=%SystemRoot%\avserve.exe2.拷貝其本身至系統(tǒng)目錄：%System%\<5位隨機(jī)數(shù)字>_up.exe；3.在C盤(pán)根目錄創(chuàng)建以下文件：C:\win.log(該文件用以記錄本地主機(jī)的IP地址)；4.該病毒會(huì)監(jiān)聽(tīng)以1068起始的TCP端口，同時(shí)掃描隨機(jī)的IP地址；5.它還會(huì)開(kāi)啟TCP端口5554來(lái)建立一個(gè)FTP服務(wù)器，用于傳播病毒本身；6.由于該病毒本身編寫(xiě)的漏洞存在，它運(yùn)行一段時(shí)間后會(huì)導(dǎo)致LSASS.EXE的崩潰，當(dāng)LSASS.EXE崩潰時(shí)系統(tǒng)默認(rèn)會(huì)重啟。第二十三頁(yè)，共38頁(yè)。病毒三、愛(ài)情后門(mén)病毒介紹：該病毒群于2月25日被瑞星公司率先截獲，集蠕蟲(chóng)、后門(mén)、黑客于一身，通過(guò)病毒郵件進(jìn)行郵件傳播，通過(guò)建立后門(mén)給用戶的計(jì)算機(jī)建立一個(gè)泄密通道，通過(guò)放出后門(mén)程序與外界遠(yuǎn)程木馬溝通，通過(guò)放出盜竊密碼程序主動(dòng)盜竊計(jì)算機(jī)密碼，通過(guò)遠(yuǎn)程瘋狂傳播局域網(wǎng)，最終導(dǎo)致所有計(jì)算機(jī)用戶受到病毒控制，網(wǎng)絡(luò)癱瘓、信息泄露等嚴(yán)重后果。

第二十四頁(yè)，共38頁(yè)。病毒的發(fā)現(xiàn)與清除：此病毒會(huì)有如下特征，如果用戶發(fā)現(xiàn)計(jì)算機(jī)中有這些特征，則很有可能中了此病毒，可以按照下面所說(shuō)的方法手工清除“愛(ài)情后門(mén)（Worm.Lovgate.a/b/c/d/e）”病毒。1.病毒會(huì)釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個(gè)病毒體,可以在系統(tǒng)盤(pán)上查找這些文件，找到后將這些文件刪除。

第二十五頁(yè)，共38頁(yè)。3.病毒會(huì)利用ipc$命名管道進(jìn)行g(shù)uest和Administrator賬號(hào)的簡(jiǎn)單密碼試探，如果成功將自己復(fù)制到對(duì)方的sytem32目錄中，命名為：stg.exe，并注冊(cè)成WindowRemoteService服務(wù),同時(shí)放出一個(gè)名為win32vxd.dll的盜密碼文件，以盜取用戶密碼,用戶可以在系統(tǒng)中查找這兩個(gè)文件，找到直接刪除。2.當(dāng)用戶系統(tǒng)為9X系統(tǒng)時(shí)，病毒會(huì)修改啟動(dòng)文件win.ini，在其中加入run=rpcsrv.exe項(xiàng)，用戶可以用記事本程序?qū)⒃撐募蜷_(kāi)，將這一病毒項(xiàng)刪除。第二十六頁(yè)，共38頁(yè)。

4.病毒不停地搜索網(wǎng)絡(luò)資源，導(dǎo)致整個(gè)局域網(wǎng)資源被占用，如果發(fā)現(xiàn)有共享目錄，則將自身復(fù)制過(guò)去，病毒文件名有以下幾種可能：humor.exe,fun.exe,docs.exe，s3msong.exe，midsong.exe，billgt.exe，Card.EXE，SETUP.EXE，searchURL.exe，tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe，joke.exe,images.exe,pics.exe,局域網(wǎng)的用戶如果在共享目錄中發(fā)現(xiàn)有這些文件，請(qǐng)直接刪除。5.病毒會(huì)搜索系統(tǒng)中的*.ht*中的email地址，找到后，病毒就利用MAPI功能，向外不斷發(fā)送病毒郵件，郵件標(biāo)題隨機(jī)從以下字符串中選出：

第二十七頁(yè)，共38頁(yè)。

Cracks!

Thepatch

LastUpdate

TestthisROM!ITROCKS!.

Adultcontent!!!Usewithparentaladvi

Checkourlistandmailyourrequests!

Ithinkallwillworkfine.

Sendreplyifyouwanttobeofficialb

Testit30daysforfree.

當(dāng)用戶發(fā)現(xiàn)有這樣標(biāo)題的信件時(shí)，不要隨便觀看這些郵件，最好直接將這些郵件刪除，以防止病毒運(yùn)行。第二十八頁(yè)，共38頁(yè)。6.為了能徹底清除該病毒，最好能采用瑞星殺毒軟件2006版進(jìn)行清除,對(duì)于有局域網(wǎng)的企事業(yè)單位，最好能采用網(wǎng)絡(luò)版查殺該病毒。為避免用戶遭受損失，瑞星公司已于截獲此病毒當(dāng)天就進(jìn)行了緊急升級(jí)，瑞星殺毒軟件15.23.01及以上的版本可以自動(dòng)截獲并清除此病毒，望廣大用戶及時(shí)升級(jí)。目前瑞星用戶只需及時(shí)升級(jí)手中的軟件即可徹底攔截“愛(ài)情后門(mén)（Worm.LovGate）”病毒。病毒四、CIH病毒CIH病毒是一位名叫陳盈豪的臺(tái)灣大學(xué)生所編寫(xiě)的，從臺(tái)灣傳人大陸地區(qū)的。CIH的載體是一個(gè)名為“ICQ中文Ch_at模塊”的工具，并以熱門(mén)盜版光盤(pán)游戲如“古墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相第二十九頁(yè)，共38頁(yè)。轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過(guò)Internet和電子郵件，當(dāng)然隨著時(shí)間的推移，其傳播主要仍將通過(guò)軟盤(pán)或光盤(pán)途徑。

CIH病毒，別名Win95.CIH\Spacefiller\Win32.CIH\PE_CIH等，屬文件型病毒，使用面向Windows的VxD技術(shù)編制，主要感染W(wǎng)indows

95/98下的可執(zhí)行文件，并且在DOS、Windows3.2及WindowsNT中無(wú)效。正是因?yàn)镃IH病毒獨(dú)特地使用了VxD技術(shù)，使得這種病毒在Windows環(huán)境下傳播，其實(shí)時(shí)性和隱蔽性都特別強(qiáng)，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。

第十八章電腦病毒第三十頁(yè)，共38頁(yè)。CIH病毒出現(xiàn)至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個(gè)版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破壞性，感染W(wǎng)indows

PE可執(zhí)行文件。v1.1版本能自動(dòng)判斷運(yùn)行系統(tǒng)，如是WindowsNT，則自我隱藏，被感染的文件長(zhǎng)度并不增加。v1.2版本增加了破壞用戶硬盤(pán)以及用戶主機(jī)BIOS程序的代碼，成為惡性病毒。感染ZIP自解壓包文件，導(dǎo)致ZIP壓縮包在解壓時(shí)出現(xiàn)錯(cuò)誤警告信息，發(fā)作日是每年4月26日。v1.3版本不感染W(wǎng)INZIP類(lèi)的自解壓程序，發(fā)作日改為每年6月26日。v1.4版本修改了發(fā)作日期及病毒的版權(quán)信息，發(fā)作日為每月26日。第三十一頁(yè)，共38頁(yè)。特征：該計(jì)算機(jī)病毒屬于W32家族，感染W(wǎng)indows95/98中以EXE為后綴的可行性文件。它具有極大的破壞性，可以重寫(xiě)B(tài)IOS使之無(wú)用(只要計(jì)算機(jī)的微處理器是PentiumIntel430TX)，其后果是使用戶的計(jì)算機(jī)無(wú)法啟動(dòng)，唯一的解決方法是替換系統(tǒng)原有的芯片（chip），該計(jì)算機(jī)病毒于4月26日發(fā)作，它還會(huì)破壞計(jì)算機(jī)硬盤(pán)中的所以信息。該計(jì)算機(jī)病毒不會(huì)影響MS/DOS、Windows3.x和WindowsNT操作系統(tǒng)。

第十八章電腦病毒第三十二頁(yè)，共38頁(yè)。傳播途徑：CIH可利用所有可能的途徑進(jìn)行傳播：軟盤(pán)、CD-ROM、Internet、FTP下載、電子郵件等。只有當(dāng)執(zhí)行受感染的文件時(shí)計(jì)算機(jī)病毒才會(huì)發(fā)作，否則計(jì)算機(jī)病毒將永遠(yuǎn)處于潛伏狀態(tài)。癥狀：計(jì)算機(jī)病毒可能隱藏在任何以EXE為擴(kuò)展名的可執(zhí)行文件中，但是，只有執(zhí)行這些文件，計(jì)算機(jī)病毒才會(huì)發(fā)作。一旦計(jì)算機(jī)病毒被激活（執(zhí)行了帶毒文件），計(jì)算機(jī)病毒就是進(jìn)行破壞活動(dòng)，有些是可見(jiàn)的，而另外一些則可能不被注意。第十八章電腦病毒第三十三頁(yè)，共38頁(yè)。1、它會(huì)駐留內(nèi)存，這意味著Windows95/98系統(tǒng)調(diào)用任何（打開(kāi)、關(guān)閉、重命名、復(fù)制或運(yùn)行）以EXE為擴(kuò)展名的文件時(shí)都會(huì)感染計(jì)算機(jī)病毒。2、覆蓋和重寫(xiě)B(tài)IOS信息使之無(wú)法工作。3、破壞硬盤(pán)中的所有信息（格式化硬盤(pán)）遭到計(jì)算機(jī)病毒破壞的計(jì)算機(jī)啟動(dòng)時(shí)有如下提示?quot;DISKBOOTFAILURE，INSERTSYSTEMDISKANDPRESSENTER"。而且，如果用戶從軟盤(pán)引導(dǎo)并試圖訪問(wèn)硬盤(pán)，就會(huì)出現(xiàn)如下信息"INVALIDDRIVESPECIFICATION"。該計(jì)算機(jī)病毒在其代碼中包含以下字符串"CIHv1.2TTIT"。

第十八章電腦病毒影響：第三十四頁(yè)，共38頁(yè)。該計(jì)算機(jī)病毒的第一個(gè)變種稱(chēng)為CIHv1.3或CIH.1010，這個(gè)變種會(huì)在6月26日發(fā)作，它在其代碼中包含以下字符串：“CIHv1.3TTIT”。第二個(gè)變種稱(chēng)為CIHv1.4或CIH.1019，它會(huì)在每個(gè)月的26日發(fā)作，具有極大的破壞性。它將刪除Flash-BIOS中的所有信息，因此會(huì)使計(jì)算機(jī)連系統(tǒng)盤(pán)都找不到，因?yàn)锽IOS中已經(jīng)沒(méi)有執(zhí)行該功能的程序。但是，即使啟動(dòng)了計(jì)算機(jī)，硬盤(pán)也找不到，因?yàn)橛脖P(pán)信息也已丟失CHI.1019破壞硬盤(pán)信息的方式是重寫(xiě)其中的內(nèi)容。這個(gè)變種在其代碼中包含以下字符串："CIHv1.4TATUNG"。

第十八章電腦病毒第三十五頁(yè)，共38頁(yè)。感染方式：CIH將自己的代碼放在硬盤(pán)受感染文件的可用扇區(qū)內(nèi)，