本文目录一览:
- 1、Trojan-Downloader.Win32.Agent.bcd 无法删除~~用了好几个杀毒软件了...杀了开机又有了,怎么办啊~~!!!
- 2、您下载的文件包含木马病毒,已成功隔离。。有点慌了 怎么办
- 3、为什么感觉现在很多人的电脑上都不安装360了?
- 4、戴尔g3突然蓝屏
- 5、简述病毒与木马的相同点与不同点,还有病毒和木马的代表事件
Trojan-Downloader.Win32.Agent.bcd 无法删除~~用了好几个杀毒软件了...杀了开机又有了,怎么办啊~~!!!
前些天上网下载一个软件,下载后发现是exe格式的,有点怀疑的病毒。但是由于要得很急,所以也没杀毒就直接运行了,结果发现果然是一个流氓软件包。这个流氓软件包首先在你电脑里安装一个木马病毒,然后会不断地下载安装各类流氓软件到你的电脑上。做这个软件包的人真是太缺德了,会生个小孩都搞不好会没 *** 。先不骂这些人了,说正事。
经过仔细检查发现,这个核心的木马就是trojan-downloader.win32.agent.bbb病毒。中了这个病毒后,我是这样清除的:
1、用超级兔子清理自动安装的流氓软件。再清理注册表。
2、用mcafee查毒,没发现病毒。改用奇虎的安全卫士360(我很不喜欢这个由周宏一这个老流氓投资开发的软件),但抱着死马当活马医的想法,还是试了一下。发现每次把由木马自动安装的流氓软件清理掉后,再起机又会重新安装,360对这个病毒也起不到什么作用。后来再改用卡巴斯基,发现可以删除大部分被木马程序安装的其他流氓软件和木马,就剩下trojan-downloader.win32.agent.bbb这个病毒删除不了。
3、经过分析,发现这个病毒是写入到explorer进程的,核心是一个名为kumiq.dll的组件(这个组件的名字不一定,也可能你电脑上是别的名字),这个组件是在windows/system32目录下。由于被explorer调用,所以无法删除,因为explorer是随系统启动就会运行的,因而进入安全模式也没用。
4、进到注册表(进入注册表 *** :点“开始”=》“运行”=》键入“regedit“,点确定,然后按F3,把下面的这个键值名复制进去。在操作注册表的时候更好做一下备份,),把所有与这个名字(kumiq.dll)有关的项目全部删除,但经这么一番折腾后,发现起码不会再自动安装其他木马和流氓软件了(以前每次启动都会自动生成一个pvsec.dll的组件,并且进程里面有好几个木马的进程,这些全都被清理掉了)。
5、下载一个叫做unlocker的软件,安装好后把kumiq.dll的调用进程杀掉,再删除这个组件(用其他所谓的文件粉碎机之类的东西是删不掉这顽固的病毒组件的)。
6、重启后,再用卡巴斯基全面查一遍毒,防止残留。再用超级兔子清理一下注册表(因为清理掉了很多病毒组件,如果不清理注册表,开机会提示“***找不到组件”之类的,很烦人)。完工。
7、以上只是大概的过程,给大家一个思路,好让大家清除这个病毒的时候少走弯路,大家如果有什么不清楚的可以留言问我。
8、总结:病毒虽然清理掉了,但是由于在手工删除注册表字段的时候下手太狠,可能把一些与病毒无关的也干掉了,所以重启后,个人设置以及其他程序的默认设置全部丢失。虽然后来手工把一些丢失的字段加了进去,解决了一部分问题,但总是会发现新的问题,系统不是很稳定。并且为了手工清除这个病毒,花了很长的时间,这个时间足够重新安装一遍系统了。我是为了顺便研究一下这个病毒,才没有选择重新安装的。所以大家如果是遇到这个病毒,我建议还是把要紧的资料备份一下,再重新安装一遍系统来得更快。
============================
由于trojan-downloader.win32.agent.bbb病毒会修改系统配置,可能一些组件的调用会写入到IE的一些配置程序里,而不是写入到注册表中。建议重新安装IE试试。
to:qiujiu
可能是你对unlocker的使用不太熟悉,简要介绍一下unlocker的使用 *** :
1、安装unlocker
2、找到你要删除的文件,点右键,在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用,那么在界面中会看到调用的进程,选中这些进程,然后点unlocker键(在右下方的键中,好象是这个名字)。点击后,你会看到进程被杀掉了(即窗口中进程框中没有进程了)。
4、然后点击左下方的下拉选择框,选中delete选项,再点击unlocker键,文件就会被删除。
您下载的文件包含木马病毒,已成功隔离。。有点慌了 怎么办
楼主你好,可以安装使用腾讯电脑管家界面简约,其实就是电脑管家的设计师们,经过常用功能使用频率的各项数据表现,结合用户使用习惯等等方面综合权衡之后,对往期版本做了精简调整,将最需要、最常用的功能快捷标签放置在新版电脑管家之一屏上图标变大了,各种功能按钮、logo图标,用户查找和使用起来将会更为方面。而且产品本身也变得更为大气主色调,腾讯电脑管家8.0的默认主色调,选择Windows 8风格。
为什么感觉现在很多人的电脑上都不安装360了?
电脑上安装360就等于请来了一个流氓瘟神,各种不相干的插件一股脑都装的你的系统中,各种广告层出不穷。我以前用Win7时宁愿裸奔也不安装各种各样的杀毒软件,现在我用Win10 系统,内有自带的杀毒程序,就更不用其他杀毒软件了!
一,捆绑太多软件。二,控制欲太强,三,乱删文件,记得多年前给360删掉的文件,四,会更卡。反正有好多,的以从2011年到现在,看到360就脑火,
安全软件,就安有安全的样子,我的电脑,我都不能说了算,要你何用。
越来越多的人不使用360其实原因很简单,无非是以下这些因素,我来一一列一下!
1、用户觉醒: 我想使用过360的用户心理都清楚,360会给用户带来哪些不良内容。全家桶这种东西最早就是从360流行出来,安装界面、卸载界面、使用过程中存在太多的小陷阱了,你一不小心就可能会中招,给安装了没想要的软件。
可以说360给整个软件行业起了个坏榜样,此后整个软件圈都基本模仿这种方式,以至于用户无论在安装,还是卸载时都需要细细查看每一步的操作,一旦做了懒人,那电脑中一定会莫名其妙多出来点新东西。想卸载没卸载,结果还新添了一个软件。
这种做法最终透支的是用户的信任,最终一部分觉醒的用户自然也就抛弃了360系软件。
2、杀毒技术堪忧: 360在安全领域通过免费这种大招将国内原本的安全厂商完全打败了,但360在安全技术其实并不咋的,2015年时全球三大权威杀毒软件测试机构 AV-Comparatives、AV-TEST 和 Virus Bulletin 联合取消360的认证,因为涉嫌做价。
此事后360在安全上更是不思进取,这些年360杀毒的版本大家有见更新过?一直是5.0版本,已经好几年没更新过了,也就更新下病毒库而已,而所谓的尝鲜版也都尝鲜了好多年了,一直未变成正式版本。
3、微软的致命一击: 在安全领域上微软一直是在持续进步的,Win10自带的安全功能在性能上可以说足够对付我们日常的使用了,目前的安全性能只比360高。2018年时
AV-C权威安全软件评测中Windows Defender已经排名前4,而近期的一次评测中
AV-TEST将Windows Defender列为消费者最可靠的杀毒软件。有了性能如此不错的免费杀软,谁还没事去用360杀毒啊。
综合起来说,360作为一个软件公司其产品流氓特性太多,同时安全性能也堪忧,就这样的软件的确是没啥必要留在电脑中。最后用软件圈一朋友的话结束,如果你的电脑卡顿了,只要卸载360系软件就一定能恢复正常。
作为一个有着多年电脑 *** 维修经验的电脑爱好者来说,就在此刻推心置腹的跟你分享我的经验,希望我的解答能给你带来帮助。
像这样的提问,在我看来似乎没有个是与非。一个产品出现在大众的眼前,肯定有它的是非两面。那么为什么有的产品出现在大众眼前,给予的评价却很高呢?那是因为它的优点远远盖过它的不足,久而久之它的不足就很容易被大家给忽略了。
再来聊聊为什么大家不在电脑上安装360吧!
在电脑维修的时候,也经常有很多客户提起到这个360。具体使用之后的体验是怎么样的呢,一起来听听他们的心声。
一、安装360电脑的用户
他们觉得360整体感觉下来还是有很多地方很不错的,例如一些比较实用的工具,给他们带来很大的方便。
1.更受欢迎的是 “弹窗过滤” ,相信很多人都有过这种烦恼,一开机电脑就弹出各种软件营销弹窗广告,甚至有时候在编辑文档的时候,突然弹出个广告窗口,此时心情用一个字就能表达 “烦”。 用了这个弹窗过滤就能过滤掉很多弹窗广告,用起电脑来也顺心多了。
2.360软件管家也是大多用户评价很高的工具,为什么这么说呢。其实很简单,软件管家中集成了市面上大部分的软件,能满足大部分用户的需求。这样下来,用户就不用去 *** 上一个个的去搜索下载安装了。360软件管家还提供开启纯净安装、纯净升级功能,这样下来就可以自动拦截软件内置捆绑的插件。
二、没有安装360电脑的用户
这类客户他们之所以没有安装,是因为大部分人的电脑安装的是Windows10系统,在他们看来Windows 10系统在安全方面做的还是不错,就没有必要再去安装其他的杀毒软件,有时候安装了反而适得其反,使电脑越来越卡。再就是个人电脑也没有必要去担心被别人攻击,因为只用来办公 娱乐 的电脑,想想黑客也不会那么无聊的去攻击没有价值的电脑。至于不安装360会中病毒这个说法,其实太片面了,生活中只要不浏览不该浏览器的网页,不随便打开别人发来的不明文件或者链接等,中毒的可能性应该不大吧!
总而言之,到底该不该安装360,其实都在于个人。任何一款产品面向大众,肯定有它的优缺点,无论大家是喜欢还是讨厌,都应该有一个正确的态度去面对。
我从出学校后就购买了一台笔记本电脑,用到现在差不多十多年的时间了,而我回家开箱后的之一件事情就是打开浏览器搜索360安全卫士,然后将其下载安装到电脑。
等待安装完毕之后就开始扫描系统漏洞,使用360来修补,漏洞修补好之后就开启软件管家将自己需要使用的软件一个个的下载出来。
像常用的360浏览器、 *** 、视频播放器、音乐播放器、迅雷等等,基本每一款软件都能通过它下载出来,并且还支持自定义安装模式,可以在安装后将下载的软件删除掉,节省硬盘空间。
当这些步骤做得差不多的时候,就是跟它说再见的时候了,因为现在已经极少遇到电脑病毒了,除了在安装软件以及修补漏洞时使用,其它时刻对我来说没有啥作用了,反而每一次开机还会自动运行,占用电脑内存以及CPU,干脆直接卸载掉更好。
而我老家的另外一台电脑则不经常使用,因此360安全卫士得以保存下来,根据上面的之一张图片可以看出,最近一次查杀木马病毒还是去年,看起来使用次数及频率相当的低。
自此之后我基本除了要重新安装系统之外很少在安装360安全卫士了,不过值得大家关注的是,360安全卫士其实有很多让人惊喜的地方,比如在这个上面可以找到很多有用的小工具。
通过它可以连接手机传送各种资料以及做备份还原等,如果有误删的文件还可以通过其中的文件恢复来复原,要是 *** 有问题或者你想限制 *** 的使用还可以通过上网管理进行设置。
现在的360安全卫士在功能方面非常齐全,但是由于电脑病毒以及木马程序的大量减少,我已经很少使用它了,不知道大家是否还在使用360没有,来评论区谈谈自己的看法吧。
作为个人用户,我很少去介意电脑是否会中度的情况。小事主动排错,大情况就重装系统。现在的系统很令人省心了,相反的是各类安全防护软件可能倒不大令人安心。
从操作系统发展过程来看,特别是在XP时代,基本上电脑都会必装一款杀软。现在情况不同,发展到现今的Win10,系统安全已经足够强大。外有Windows Defender防护。第三方杀软已然没有当年的“高崇”地位了。
其次,杀软有各种后台进程,占用资源情况明显。360也是如此。当然了,现在的电脑配置都不低,基本上杀软对硬件资源占用的影响是可以忽略的。
但,相比之下资源更小的杀软会更受青睐不是么?这里比如说:火绒安全。资源占用会更小是一方面,另外来说火绒还更“干净”和“安静”。没有弹窗广告,静默拦截都深受人们喜欢。
360卫士在杀软界也可算是知名的了。我们从它的全面的功能性和强大的病毒防护库也不难发现这是一款不可多得的好工具。它更像是一款全能助手,能帮你轻易完成各种任务。
当你用断网急救箱解决 *** 受限问题时;当你用强力删除删掉顽固文件时;当你用垃圾清理腾出C盘几十G空间时……
是360给了你满足感和成就感。本身缺乏电脑知识的你却完成了对自己而言貌似是不可思议的事情。
但,在对电脑知识有了进一步了解之后或者有了更合适的替代品之后,360往往就被更多人所“遗忘”了。是360不好?其实不是。我们看到的是360变得越来越强大了,无论功能还是防护能力。恰恰的变化的是使用者。
为什么感觉现在很多人的电脑都不安装360安全软件?
客观的来讲,360安全软件在杀毒以及文件垃圾清理还算是不错的,毕竟是免费的软件,包括一些系统大文件清理,在这一点个人觉得还不错
但是,只要你安装了360杀毒软件,就会默认后台安装安全卫士,将浏览器的主页捆绑360主页,或者自动安装360浏览器以及后台占用的其他资源
仅仅安装一个360杀毒软件,你可以打开任务管理器查看360所占用的后台资源,有些即便是你使用了结束进程,但依然会自动打开
如果你的电脑配置中等偏上,内存资源比较充足,以及CPU性能良好,对于360所占用的资源来讲几乎可以忽略不计,毕竟也就是几百兆,假设你安装的系统是WINDOWS 10,安装了360安全软件之后可能会出现360自动更新系统文件,当你关机或者是开机的时候,就会强制更新系统文件,导致再次开机时可能出现蓝屏的情况,尤其大多数组装台式机使用的是网上下载的Ghost镜像版本系统,那么C盘空间就会越用越大,C盘空间容量不足的情况出现
所以个人建议,担心WINDOWS 10系统系统垃圾清理杀毒,可以选择占用资源非常少的火绒杀毒软件,对系统做一个最基础的安全保护
首先,感谢360结束了自制病毒再收费杀毒的时代!
360打包式的软件令我烦恼,索性不用,我的电脑以裸奔十年。
现在仍然有很多小白喜欢安装360,因为360的界面简洁明了,方便快捷。不足之处就是乱弹窗口,安装陷阱较多。
你以为我卸载360是因为它让电脑卡顿?并不是!我卸载360的主要因素——太多的广告了。
早年的3Q之争让我不得不卸载360,后来购买了新的笔记本索性就再也没有装过360了,除了因为之前使用360以后,电脑容易卡顿之外;另外一个主要因素,真的是经常开机后,弹窗广告,确实让我烦不胜烦。
虽然,360会告诉你我已经为了你拦截了188个广告弹窗,可是你觉得这真的是好事吗?虽然确实对于一些广告有效,可是并非万能,除了它自己会存在一些弹窗广告,对于WPS这些软件竟然没有效果。
弹窗广告是一方面,另外一方面是我自己使用360软件后,发现系统反而变的比较臃肿,什么意思呢?比如我们在安装360后,反而会让电脑的总体空间减少,这种影响电脑空间的应用确实会让我难以接受。
其实,还有一件比较困难的事情,就是怎么卸载360?这是很多人下载了360,最后还是使用的原因,因为卸载比较困难。不能说困难,就是相对比较复杂。
其实,还有一个重要原因,因为现在电脑并非大家主要使用的设备了,大多数的用户还是喜欢使用手机,所以可能你家的电脑,本身就不怎么开启,而且现在大家关心的病毒问题,一般只有经常下载文件,或者一些网站导致的,现在不怎么使用电脑,这种情况就被取缔了。所以,大家反而不怎么安装360了。
那我也想问,360为什么最近这么被迫变“火”?!就是因为360退出美股成为国家队。所以国内的同行和外国的势力还有无知的小白大力出手360带节奏?!360这么多问题,怎么进入国家队的?国家收钱了?还有我想问,你们这些人有几个是计算机专业的?你真的会用电脑吗?对于小白们你们的360用明白了吗?360这么多问题,你完全可以用付费安全软件。但外国安全软件包括系统自带杀毒安全软件。也没有国产安全软件更了解中国的 *** 软件环境。在国内的合法软件,国外安全软件会报毒。“水土不服”那些替系统自带杀软背书的。我只想说:呵呵!也许你们真的就是宁可被国外监控,也不想被国内监控的那群人!说国内没有隐私可言。那请问哪个国家 *** 隐私好?!非洲?非洲现在也不安全了。去无人区吧!但你喜欢被国外监控,那就当我没说。说安全软件带慢电脑的,更好 *** 是升级换代,你“裸奔”也飞不起来。而且现在的网路安全环境不比过去安全!日常最少要定期对电脑软硬件进行维护!(清灰,杀毒,备份)对了,那些电脑啥没有,坏了重装系统或者备份还原的,你有这时间,就差个安全软件吗?国家 *** 安全日期间多看看。多学习学习。不要连初中计算机课都还给老师了的,在这把自己小白的错误在网上义正言辞的当王道在发表。养成日常电脑使用好习惯,不要看到什么都点。不用的功能能永久关闭的就关闭!我360弹唱都设置关闭。不用的功能或者软件都关闭或者卸载。但国产安全软件没有像卡巴斯基那种替换系统自带防火墙的功能。所以我现在用的是付费卡巴斯基!至于系统自带的不用功能,特别是隐私里的(Win10)。我都关闭!系统自带杀毒和防火墙一律关闭,用卡巴斯基替代!防止“水土不服”,做了设置调整。对于又不想花钱,又想用免费产品,又不想看到广告推广的。可以试试火绒。就是对于小白设置这块会有点迷糊!不那么傻瓜式。
戴尔g3突然蓝屏
一、戴尔电脑蓝屏的解决攻略
1、先查看一下是不是因为驱动不行,去戴尔的官网下载一个驱动试试,如果下载了可以了就是驱动的问题。如果下载了还不行就不是驱动的问题,需要下一步检查。
2、检查一下是不是电脑有木马病毒,使用杀毒软件就可以了,然后使用杀毒软件清理一下电脑。
3、清理一下垃圾重启还是不行那么就进入电脑的BIOS系统进行还原系统。因为很可能是因为电脑出现了问题,系统需要进行重装。
4、如果重装了还是不行,可能会是因为硬件不行引起的。检查一下电脑的cpu和硬件。如果是硬件和cpu的问题,可以修复一下。然后就可以恢复了,可以试试电脑的安装光驱,重启修复第三项就行了。
5、如果是因为电脑的硬盘有问题,可以使用计算机里面的修复功能进行修复。打开计算机找到属性就会看到系统自带的修复功能了,点击修复软件和修复硬盘的坏道就可以了,也可以选择格式化,将硬盘进行重新分区。
6、如果知道是因为硬件的问题引起蓝屏,但是自己不知道怎么修复,可以选择拿去专业的维修站点进行检修。
二、注意事项
大部分蓝屏是因为电脑中毒和硬盘损坏,可以杀一下毒和清理一下硬盘。如果都不行,更好是出去专业维修电脑的地方维修,不要自己乱装系统,以免造成更大的损失,可以直接去戴尔的专卖店咨询一下。
三、戴尔电脑经常蓝屏的原因
1、蓝屏前下载了什么软件、补丁、插件、驱动等全部卸载试试,如果是驱动不合适,请下载驱动精灵升级驱动。
2、如果电脑有木马,请下载Win清理助手、金山卫士、360急救箱查杀木马。
3、如果不经常出现蓝屏关机在开机就可以了,还是不行,请开机按F8不动到高级选项出现在松手,选“最近一次的正确配置”回车修复,在不行还原一下系统或重装系统。
4、如果是硬件问题引起的,或超频了硬件将BIOS电池放电(恢复BIOS出厂默认值)建议插拔一下显卡、内存等硬件,清理一下电脑里的卫生,并且擦亮显卡、内存的金手指(在测试一下硬件的温度是否过高)。
5、电脑在光驱读盘时被非正常打开可以导致蓝屏,一般将光盘重新放入光驱即可。电脑在带电插拔某设备时可以导致蓝屏,重启一下电脑修复或按上面第三项修复。
6、还有就是硬盘是否有问题,用系统自带的功能修复一下或下载软件修复硬盘坏道,或格式化硬盘重新分区重装系统,还是不行就需要换硬盘了。
7、最近升级了硬件,这些硬件与系统不兼容,比如:内存、显卡等,请更换硬件试试(到升级硬件的地方更换合适为止)。
8、如果是硬件问题引起的,自己又找不出问题所在,建议到维修那里检修一下。
9、玩游戏蓝屏,一般是游戏本身的问题,电脑的配置与游戏有冲突,显卡、显卡驱动不合适,CPU、显卡的温度过高,内存太小等引起的(看视频蓝屏问题同上)。
电脑蓝屏大部分是因为我们操作不当,比如说我们非法关机的次数太多,也是会引起电脑突然蓝屏的。电脑蓝屏的时候不要着急,因为非常的好处理。可以进行检查一下是不是电脑的硬件出问题了,电脑是不是下载了什么携带病毒的文件。用排除的 *** 进行修复就行了。
简述病毒与木马的相同点与不同点,还有病毒和木马的代表事件
木马不是病毒
木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴
区别:
计算机病毒具有如下几个特征:感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性
病毒是最早出现的计算机恶意程序
所以我们以病毒为标杆,拿其他类型的恶意程序来对比一下就知道有什么区别了
首先是您关心的木马:
木马并不具有感染性,木马并不会使那些正常的文件变成木马,但病毒可以感染正常文件使其成为病毒或者病毒传播的介质
木马不具有隐藏性和潜伏性,木马程序都是我们看得到的,并没有把自己隐藏起来,也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作,木马只是伪装成一个你想要使用的正常程序,甚至具有正常程序的一切功能,当你使用这些正常的功能的同时,木马的行为也就同时发作了。
木马没有破坏性,纯粹的木马旨在盗取用户资料,取得用户的信息,并不会破坏用户的系统。
从上面几点就能很清楚的看出木马和病毒的区别了
蠕虫不感染、不隐藏、不破坏计算机,它是通过阻塞 *** 或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃
后门程序则本身是正常程序,或出于某种恶意的设计或出于疏忽大意,这些正常程序中留有可能被利用来破坏计算机的漏洞,就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门,最终被黑客利用制造了极大的破坏。
虽说有区别,不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机,他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了,这种木马其实是木马和病毒的混合体,同样的,也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可,他们之间的界限正在慢慢模糊~
至于代表事件
传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:
• 开机型
米开朗基罗病毒,潜伏一年,"硬"是要得(这个没看懂)
• 文件型
(1)非常驻型
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
(2)常驻型
Friday 13th黑色(13号)星期五-"亮"出底细
• 复合型
Flip 翻转-下午4:00 屏幕倒立表演准时开始
• 隐形飞机型
FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表
• 千面人
PE_MARBURG -掀起全球"战争游戏"
• 文件宏
Taiwan NO.1 文件宏病毒-数学能力大考验
• 特洛伊木马病毒 VS.计算机蠕虫
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
• 黑客型病毒
Nimda 走后门、发黑色信件、瘫痪 ***
认识计算机病毒与黑客
2.1开机型病毒 (Boot Strap Sector Virus):
开机型病毒是藏匿在磁盘片或硬盘的之一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 @实例
Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得
发病日: 3月6日
发现日:1991.3
产地:瑞典(也有一说为台湾)
病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了。
历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座
Top
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :
(1) 非常驻型病毒(Non-memory Resident Virus) :
非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
@实例:
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
发病日:10月12日起至12月31日
发现日:1989.3
产地:荷兰
病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II 会在屏幕上显示:*DATA CRIME II VIRUS*
然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。
历史意义:虽然声称为杀手,但它已经快绝迹了
(2) 常驻型病毒(Memory Resident Virus) :
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
@实例:
Friday 13th黑色(13号)星期五-"亮"出底细
发病日: 每逢13号星期五
发现日:1987
产地:南非
病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven''t inconvenienced you"
历史意义:为13号星期五的传说添加更多黑色成分
Top
2.3复合型病毒 (Multi-Partite Virus):
复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观!
@实例:
Flip 翻转-下午4:00 屏幕倒立表演准时开始
发病日:每月2日
发现日:1990.7
产地:瑞士(也有一说为西德)
病征:每个月 2 号,如果使用被寄生的磁盘或硬盘开机时,则在16 时至16时59分之间,屏幕会呈水平翻动。
历史意义:之一只使具有特异功能的病毒
Top
2.4隐型飞机式病毒 (Stealth Virus):
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。
@实例
FRODO 福禄多 -"毒"钟文件配置表
别 名:4096
发现日:1990.1
发病日:9月22日-12月31日
产地:以色列
病征:4096病毒最喜欢感染.COM, .EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括:COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时,会发现速度慢很多,因为FAT (文件配置表) 已经被破坏了。此外,9月22日-12月31日会导致系统当机。
历史意义:即使你用DIR 指令检查感染文件,其长度、日期都没有改变,果真是伪装秀的始祖。
Top
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
@实例
PE_MARBURG -掀起全球"战争游戏"
发病日:不一定(中毒后的3个月)
发现日:1998.8
产地:英国
病征:Marburg 病毒在被感染三个月后才会发作,若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。
历史意义:专挑盛行的计算机光盘游戏下毒,1998年更受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散。
感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 "X" 符号
2.6宏病毒 (Macro Virus):
宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
@实例:
Taiwan NO.1 文件宏病毒- 数学能力大考验
发病日:每月13日
发现日:1996.2
产地:台湾
病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。
历史意义:1.台湾本土地一只文件宏病毒。2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3. 被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)
2.7特洛伊木马病毒 VS.计算机蠕虫
特洛依木马( Trojan )和计算机蠕虫( Worm )之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
特洛伊木马程序的伪装术
特洛依木马( Trojan )病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:
话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。
后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。
特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。
计算机蠕虫在 *** 中匍匐前进
计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机 *** 中爬行,从一台计算机爬到另外一台计算机, *** 有很多种例如透过局域 *** 或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如:" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail 大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域 *** 上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域 *** 将自己安装到远程计算机上(此为计算机蠕虫特性)。
@实例:
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
发病日: 不一定
发现日:1999.6.14
产地:以色列
病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).a *** (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)
历史意义:
• 开机后再生,即刻连锁破坏
--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找 *** 上的下个受害者
2.8 黑客型病毒
-走后门、发黑色信件、瘫痪 ***
自从 2001七月 CodeRed红色警戒利用 IIS 漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed 在病毒史上的地位,就如同之一只病毒 Brain 一样,具有难以抹灭的历史意义。
如同 *** 安全专家预料的,CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在 *** 上展开新型态的攻击行为。果不其然,在造成全球 26.2 亿美金的损失后, 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒,其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式,不仅考验着 MIS 人员的应变能力,更使得传统的防毒软件面临更高的挑战。
继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在 *** 上大量散播,包含: 电子邮件、 *** 资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。
每一台中了Nimda 的计算机,都会自动扫描 *** 上符合身份的受害目标,因此常造成 *** 带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed 植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。
类似Nimda威胁 *** 安全的新型态病毒,将会是 MIS 人员更大的挑战。"
实例:Nimda
发现日:2001.9
发病日:随时随地
产地:不详
病征:通过eMail、 *** 芳邻、程序安全漏洞,以每 15 秒一次的攻击频率,袭击数以万计的计算机,在 24 小时内窜升为全球感染率之一的病毒
历史意义:
计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让 *** 上的计算机几乎零时差地被病毒攻击
认识计算机病毒与黑客
防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙 」(Firewall),这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统,其目的是用来隔离 Internet 外面的计算机与企业内部的局域 *** ,任何不受欢迎的使用者都无法通过防火墙而进入内部 *** 。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让 *** 进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。
--宽带大开方便之门
CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带 *** (Broadband)的"always-on" (固接,即二十四小时联机)特性特性所打开的方便之门。
宽带上网,主要是指 Cable modem 与 xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的 *** 拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。
当我们期望Broadband(宽带 *** )能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带 *** 的美丽新世界。
计算机及 *** 家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上 *** ,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了 *** 安全的严重问题