篇一:通过u盘传播的一个蠕虫病毒杀毒方法
通过u盘传播的一个蠕虫病毒杀毒方法
(更新时间:2006-9 -21)
通过u盘传播的一个蠕虫病毒,
病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe)
病毒名称:Trojanspy.USBpy.a
传播途径:U盘等移动存储
[发作现象]:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
[修改办法]
1、打开任务管理器,结束进程wincfgs.exe!
2、在“资源管理器”中“文件夹选项”中,设置“显示系统文件夹内容”和“显示所有文件和文件夹”,并去掉"隐藏受保护的系统文件(推荐)"前面的勾
3、删除文件
c:\windows\system32\wincfgs.exe
c:\windows \KB20060111.exe
4、点击“开始”-“运行”-“regedit”-进入注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"KB20060111.exe",删除找到
的项/值,按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相关项/值。
5、移动存储设备:
连接好USB后,删除U盘里面的desktop.ini,wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。。
另外最好删除闪存根目录下autorun.inf文件和Recycled文件夹(也是隐藏文件)即可避免病毒再度传播.
牛贵珍老师整理 2006.09.21
篇二:蠕虫病毒深度解析
蠕虫病毒深度解析
e800.com.cn 日期:2004-11-22 15:44 作者:天极网 来源:天极网
1.引言
近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的 “冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。看来,蠕虫病毒不再
是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。
各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文
件。“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。
由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;
可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。
2.蠕虫原始定义
蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”(Worm is a program that can run
by itself and can propagate a fully working version of itself to other machines. )。
3.病毒原始定义
在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。它不能独立运行,需要由它的宿主程序运行来激活它。”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。
4.蠕虫/病毒
计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部
分病毒的技术,更加剧了这种情况。下表1给出了病毒和蠕虫的一些差别:/article_03090033a
5.蠕虫完整定义
上述蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没
有明确描述计算机使用者在其整个传染机制中所处的地位。
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与
计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。可以通过
简单的观察攻击程序是否存在载体来区分蠕虫与病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备
上面提到的蠕虫的基本特征。
通过以上的分析和比较,重新给出的Internet蠕虫完整定义为:“Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。”
通过简单的分析,可以得出结论,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”,“NAVIDAD网络蠕虫”、“Blebla.B网
络蠕虫”、“VBS_KAKWORM.A蠕虫”等等,都是病毒,而不是蠕虫。
6.蠕虫发展现状
从1988年CERT(计算机紧急响应小组)由于Morris蠕虫事件成立以来,统计到的Internet安全威胁事件每年以指数增长。这些安全威胁事件给Internet带来巨大的经济损失。美国每年因为网络安全造成的经济损失超过170亿美元,使网络信息安全问题得到了世界各国的重视。2001年美国投资20亿美元加强网络安全建设,同样其它各国也都投入了巨大的人力和物力。在全球信息化浪潮的冲击下,我国信息化建设也已进入高速发展阶段,电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来,这些与国民经济、社
会稳定息息相关的领域急需信息安全的保障。因此,解决我国的信息安全问题刻不容缓。
在Internet安全问题中,恶意软件(malware)造成的经济损失占有最大的比例。恶意软件主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。另外,许多人提出,要把恶意软件作为网络战的一种攻击手段,这时的网络安全问题已经上升到国家安全的高度了。Internet蠕虫是目前危害最大的恶意软件,几乎每次蠕虫发作都会因其造成的巨大经济损失:1988年11月2日,Morris 蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元;2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算
机,造成的损失估计超过20亿美元;随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元;2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元
攀升到26亿美元后,继续攀升,到现在已无法估计。
自从它诞生以来到现在,无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜,它都榜上有名。日前全球爆发的“冲击波” 蠕虫病毒及其变种,它们传播速度及危害之大是史无前例的,与以前的蠕虫病毒相比,“冲击波”的感染潜力大得多,由于全球微软操作系统这一漏洞影响的电脑数量庞大。从因此,其危害很难在近期内统计出。目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫出现,其
传播速度成几何级增长,危害也大有过之而无不及。
7.蠕虫研究概况
Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。从1990年开始,对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上,而且这种状况一直延续到现在。科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。虽然邮件病毒的出现,使人们认识到了Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少;近年来,新蠕虫层出不穷,危害越来越大,其造成的
危害程度远远超过传统的病毒,由于对蠕虫研究的滞后,使人们在蠕虫面前手忙脚乱。
通过对蠕虫的研究,可以扩大反病毒技术涵盖的范围,推进反病毒技术的发展。对蠕虫的实体特征、功能结构模型的研究,可以直接的转化应用到安全产品和反病毒产品中去,为减少恶意软件造成的经济损失
提供相应的手段。
2001年CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。比较突出的有Nicholas Weaver,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。Slammer的出现证实了他的预言,但值得注意的是Slammer没有采用任何一种他提到的快速传播策略,而依然使用的是最原始的随机目标选择策略。Cliff Changchun Zou以CodeRed蠕虫为例,讨论了基于微分方程描述的蠕虫传播模型,考虑了人为因素对蠕虫传播的影响,他的工作可以看作是SIR传播模型的一种扩展。David Moore(CAIDA, the Cooperative Association for Internet Data Analysis)提出了衡量防治蠕虫的技术有效性的三个参数:响应时间、防治策略、布置策略,他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。Dug Song等人对蠕虫引起的网络流量统计特征做了研究。这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的蠕虫(如CodeRed蠕虫)进行研究讨论和建模。另外,在防治策略上,目前的方案大多停留在感性认识的基础上,或者仅提出功能性需求。CodeRed蠕虫用到了很多相当高级的编程
技术,它是通过微软公司IIS服务的.ida漏洞(Indexing Service中的漏洞)进行传播。
2001年9月18日,Nimda蠕虫被发现,与以前的蠕虫不同的是Nimda开始结合病毒技术。它的定性引起了广泛的争议,著名的网络安全公司NAI把它归类为病毒,CERT把它归类为蠕虫,国际安全组织Incidents.Org同时把它归入病毒和蠕虫两类。Nimda蠕虫只攻击微软公司的WinX系列操作系统,它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME类型自动执行(Automatic Execution of Embedded MIME Types)漏洞、IIS服务器文件目录遍历(directory traversal)的漏洞、CodeRed II和sadmind/IIS蠕虫留下的
后门共五种方式进行传播。其中前三种方式是病毒传播的方式。
冲击波(Worm.Blaster)”蠕虫病毒会持续利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,并向具有漏洞的系统的135端口发送数据。然后攻击有RPC漏洞的计算机,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,值得注意的是,该病毒还会
对微软的升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统,这样就使更多的系统漏洞无法打补丁。蠕虫在网络中持续扫描,寻找容易受到攻击的系统,它就会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,蠕虫驻留系统后在注册表中创建键值,以达到随系统
启动而自动运行的目的,使系统操作异常、不停重启、甚至导致系统崩溃。
8.结论
在当前网络生存的世界中,随着网络及信息系统复杂度增大,其更新频率与利用率的提高,安全漏洞也大大增多,利用该漏洞的病毒也会越来越多。升级杀毒软件是对付这些蠕虫病毒的解决之道,而定期上网更新系统,给系统打安全补丁则是预防之道。另外,蠕虫及病毒防治工作还存在着许多深层次的问题需要解决:蠕虫病毒安全防护能力亟待加强,尚缺乏具有自主知识产权的先进反病毒核心引擎,信息安全管理和法制还不完善,全社会的防治计算机病毒安全意识需要增强。但是,只要我们强化全民的安全防范意识,建立起反病毒技术的资源共享制度,积极支持反病毒新技术理论的研究,并与国内外病毒研究机构与厂商
广泛地交流和合作,必将会有力推动我国反蠕虫病毒研究与技术的发展。
篇三:蠕虫病毒的防治
蠕虫病毒的防治
家里的电脑中了一个很奇怪的病毒。
回家使用电脑的时候,发现Symantec AntiVirus杀毒软件启动有异常,当时也没有在意,但是用着用着,发现系统越来越慢,很多网站都无法打开,打开任务管理器,发现有一个filereg.exe的奇怪进程占用很多资源,且无法关闭。
这是我怀疑中了病毒,我试图打开注册表编辑器regedit,但是regedit却被自动关闭,我意识到病毒程序在阻止我编辑注册表,并且我发现Symantec AntiVirus并没有象正常情况下运行,这时我觉得需要重新启动机器了。
重启的时候我选择安全模式进入,防止病毒在启动时候加载,打开regedit,果然发现病毒修改了注册表,在HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run、HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices 、HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run 和HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices四处增加了ActiveX File Registration Service = “filereg.exe” 内容,我将这四处信息都删除了,然后打开WINNT\system32目录,发现里面有个filereg.exe的文件,删除掉。然后按正常方式重新启动。
重新启动后我发现Symantec AntiVirus有可以正常运行了,但是杀毒程序报告我说需要删除HOSTS文件的内容,我打开WINNT\system32\drivers\etc\HOSTS文件,竟然惊奇的发现,病毒居然通过修改HOSTS文件屏蔽了symantec,mcafee,trendmicro,microsoft等网站,以防止杀毒软件和系统更新,真厉害啊,于是将HOSTS文件中增加的信息全部删除。
上网查询知道,这个病毒名字是WORM_RBOT.EOB,趋势杀毒网站里面也介绍了手动删除病毒的方法,和我使用的方法一样,通过以上方法即可手动删除病毒。
这个蠕虫病毒具有反杀毒软件的一些特性,感觉其危险程度较高。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有