信息中心
 
 
当前位置: 信息中心>>问题回答>>正文
 
常见的电脑病毒及防治
 59

计算机病毒一直骚扰着大家,从CIHWin32、宏病毒、特洛伊木马、冰河,到欢乐时光、情书投递,再到现在四处肆虐的红色代码、蓝色代码、中国一号、SirCamNimda、战争投票等。由此可见,病毒不再是个陌生的名词,它的危害人人皆知,小到文档文件的删除,大到硬件的破坏,对于它们,谁也不敢掉以轻心。特别是在家庭使用的计算机,由于受到的保护有限,常常是这些病毒的攻击首选,因此,如何防止病毒的入侵就显得很重要了。下面我就向大家介绍几种目前比较常见的病毒及防御这些病毒的方法。

一.“欢乐时光”病毒

  “欢乐时光”的流行使我们知道了病毒的厉害,“欢乐时光”既可以通过邮件传送,又可以通过网页让浏览者中招。所以请大家在上网的时候一定要加倍小心,不要经常去一些不知名的小网站,特别是在浏览一些个人主页时,极有可能他的网页中加入了“欢乐时光”的病毒代码,结果在你浏览时不幸感染。

  1)病毒诊断

  要想知道你电脑中是否有“欢乐时光”病毒最好方法就是打开Frontpage,新建一个网页,然后点击HTML标签,因为正常的、空白的网页没有多少HTML代码,所以不会有滚动条的出现,而一但中了“欢乐时光”后,由于它会自动在网页中加入其病毒代码,所以会出现滚动条,拖动滚动条你可以清楚的看到它加入的病毒代码。

  2)病毒防治

  1.尽量不要采用Outlook作为收发电子邮件的工具,可以采用Foxmail代替。

  2.可以将Windows Scripting Host卸载,这样可以阻止VBS脚本程序的执行,从而保证即使收到带毒邮件也可以防止“欢乐时光”病毒传染、破坏。

  3.及时安装病毒防火墙,升级杀毒软件。

  4.不要浏览小站点,收信时要小心。

二.“特洛依木马”病毒

  何谓特洛依木马?特洛依木马其实是一种骗子程序,提供某些功能作为诱饵引诱你,确在背地里摧毁你的计算机系统。记得希腊神话中关于特洛依木马的故事吗?典故就是从那儿来的。中了木马时有什么反应?很难说,因为它们发作时的情况多种多样。

  1)病毒诊断

  但是如果你的计算机有以下表现时,就很可能染上特洛依木马这种病毒了。

  计算器有时死机,有时又重新激活;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CtrlAltDel调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多(可是,有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到,借助PVIEW95就可以看到)。特别是在连入Internet网或是局域网后,如果你的机器有这些现象,就应小心了,当然也有可能是一些其它的病毒在作怪。

  2)病毒防治

  一般中了木马程序最简单的解决办法就是用杀毒软件清除,如金山毒霸、瑞星等。如果对系统熟悉也可以手动清除,首先应该按照Win9x下程序自激活的方法中所述的情况检查一下是否有可疑程序(最好的情况是你熟悉你的系统正常时的这些项,用系统自带的regedit程序查看 /修改注册表)。发现可疑程序将其连同该注册表项一起删除即可,重启系统则木马就已经被清除了。不过这里要提醒大家一点,在做删除操作和注册表修改操作前一定要先备份。

三.“泡沫小子”病毒

  泡沫小子是一种通过Outlook广泛传播的蠕虫病毒。它是第一个不需要从电子邮件打开附件就能被激活的蠕虫病毒。

  1)病毒诊断

  一般泡沫小子发送一封主题为“BubblleBoy is back!”(泡沫小子来了!)HTML电子邮件。如果你的IE5.0的安全保护设置级别置为中、低级,则该HTML页隐含着(植入)VBS程序代码,在未提示用户的情况下就会被执行。

2)病毒防治

  这种病毒在你眼前,要采取哪些简便的方法防范它呢?

  首先要做到1.不要开启匿名邮件附件,只打开已知附件,以及可信资源建立链接关系。2.关闭自动打开附件功能。3.执行*.EXE*.HTA*.VBS和其它可执行附件时要谨慎。4.打开*.DOC*.XLS*.PPT文件时要小心。5.不要在本地邮件列表中保存别名为“ALL-Company”的邮件。6.Internet Explorer4.x或以上版本的安全级别设定成“高级”;终止Active XActive Scripting7.Outlook Express:终止打开和/或预览窗口,在对话框下面,不要选中预览窗口。8.Netscape:终止JavaScript在菜单栏中选取编辑/参数,在对话框左边,点击高级,在对话框右边,不要启用邮件和新闻的JavaScript,停止JavaScript浏览最高安全级别。9.其它邮件用户:终止Visual Basic ScriptingJavaScript

四.尼姆达(概念)病毒

  尼姆达(概念)病毒,是近日来被发现的一种恶性邮件病毒。该病毒利用微软IE浏览器解释Outlook邮件MIME头的漏洞感染和传播,其速度之快,不可等闲视之。

  1)病毒诊断

  尼姆达(概念)感染特征和发现方法其实很简单,当感染“概念”病毒之后,它会在执行时将自身复制到临时目录下,再运行在临时目录中的副本。病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),在系统下次启动时,病毒会将他们删除(修改 wininit.ini文件)。同时该病毒还会在Windowssystem目录中生成load.exe文件,修改system.ini中的shell,把shell=explorer.exe改为explorer.exe load.exe dontrunold,从而使病毒在下次系统启动时仍能被激活。另外,在system目录下,该病毒还会生成一个副本:riched20.dllriched20.dll目录在Windows系统中就存在,它就会把它覆盖掉了。

  为了通过邮件将自己传播出去,该病毒使用了MAPI函数读取用户的E-mail并从中读取SMTP地址和E-mail地址。病毒还在Windows的临时目录下生成一个eml 格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。

  2)病毒防治

  由于尼姆达(概念)病毒借助的是IE浏览器的漏洞来传播的,所以堵住漏洞可以说是防护的第一步。以下的方法都可以有效的弥补这个IE的漏洞:

  1.添加微软官方的补丁

  SP2微软官方已经就Windows 2000系统目前发现的漏洞做了个“十全大补”的补丁,可以弥补绝大部分的Windows 2000漏洞。

  SP2100M左右,可以到以下网址下载:

  www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

  2.利用漏洞检测与修复系统

  如果大家嫌SP2太大、太麻烦,可以用天网防火墙个人版自带的漏洞检测与修复系统可以检查出Windows中严重的系统漏洞,并自动修复它。目前的天网个人版(测试版)中所带的漏洞检测与修复系统已经可以检查和修复“概念”病毒赖以传染和传播的 IE浏览器漏洞,所以对于防护“概念”病毒而言,是一个不可多得的顺手工具。经过了漏洞检测与修复系统修复之后,“概念”病毒就无法直接在用户的机器上自动运行了。

  该防火墙可以到以下网站下载,网址为:www.sky.net.cn/在修补完浏览器的漏洞之后,即使是收邮件的时候遇见携带有“概念”病毒的邮件,它也不能顺利的潜入用户的计算机。这时它会出现一个下载提示框。切记不要按“确定”,只要取消它就行了。或者按“确定”之后,你可以得到一个“概念”病毒的本体程序 Readme.exe。另一种防护方法是:不要用Outlook 收邮件,找其它的邮件客户端软件吧。

  3.利用杀毒软件清除

  如果在成功免疫前,你的计算机中了这个病毒,可以下载最近的防病毒软件进行清除,如金山毒霸、Norton等防病毒软件都已经推出了能够清除“概念”的最新病毒包。但是如果你需要根治这个漏洞,还是得按照以上的方法进行“免疫”。

校园网

2009.2.24
关闭窗口