2002年病毒大盘点
数码时尚
对于在网上四处游荡的网虫们来说,2002年最让他们难忘的应该是“病毒”二字了。无论是从传播速度、感染原理、破坏后果等方面来看,2002年的网络病毒都有惊人表现。下面就让我们一起回眸2002年吧,再次“领略”一下病毒世界的种种“风采”!
1.求职信病毒(Worm.Klez)
臭名昭著的求职信病毒早在2001年就在网上扬名了,而在2002年活动更为猖獗,破坏性更大。据英国Sophos公司的资料显示,在其客户支持部门收到病毒报告中,Worm.Klez病毒占了近1/4,并连续7个月位列每月病毒榜榜首。目前求职信病毒有英文版和中文版(Worm.Klez.cn.b)两种形式,并且还有十几个变种。英文版以Klez.K、Klez.L、Klez.H、Klez.G四个版本为典型代表。所以多家反病毒公司将Worm.Klez病毒称为2002年的“病毒之王”。该病毒自带的SMTP客户端程序,具有极强的传播感染能力,可以通过电子邮件、局域网共享目录、磁盘传播等多种途径进行传播,并能自动获取用户地址簿中的信息发出邮件。甚至每次发送的病毒邮件主题和内容都是随机的,标题一般比较吸引人,如Christmas、Hope等。诱惑力与危害程度极大。求职信病毒是通过微软的Outlook和Outlook Express漏洞进行传播的,如果你的系统没有打过补丁,当你打开带毒邮件时,作为病毒载体的邮件附件便会自动运行。然后进入所有进程,杀掉对它有威胁的进程,并且在本地硬盘搜索一些著名杀毒软件的数据文件,发现后立即删除,导致杀毒软件无法运行,再感染注册表中某些已登记安装了的软件。
处理办法:发现求职信病毒后,立即断开网络连接,然后安装专用杀毒软件进行清除。如《金山毒霸》为我们准备的“求职信”专杀工具Duba_WantJob.exe,下载地址:ftp://www.duba.net/download/othertools/duba_wantjob.exe。当然,为了预防该病毒在浏览该带毒信笺自动执行,必须下载微软的补丁程序。地址是:http://www.microsoft.com/technet/security/bulletin/ms01-020.asp。
2.妖怪病毒(Worm.Bugbear-A)
妖怪病毒在2002年10月份才被人们发现。在这短短的三个多月里,它以极强的危害性、多元化的攻击手法,已让全世界的人们为之震惊(平均每87封电子邮件中就有一封携带Bugbear病毒)。很快它就被人们称为2002年最为活跃的病毒。该病毒通过电子邮件入侵电脑,再自行复制后入侵整个网络。入侵后,它将会尝试攻击并关闭电脑中的杀毒及防火墙软件。接下来还会监控电脑用户的键盘动作,并截获用户的登录名和密码等资料,然后偷偷制成一个文档传送到不明人士的账号中,造成机密资料外泄。该病毒如果检测到有打印机或者网络打印机存在,会将病毒体的二进制代码随机取出进行打印,大量浪费墨水和纸张。除这些特征外,该病毒还自带邮件发送引擎,可以搜集受害电脑用户的地址簿,然后向其他人发送大量的染毒邮件。不过在收到被感染的病毒邮件时,如果不主动执行附件,病毒是不会发作的。
处理办法:可以升级杀毒软件进行杀毒,如用瑞星杀毒软件2003版进行查杀,当然病毒库最好升级到最新版本。
3.“中国黑客”病毒(Worm.runouce)
该病毒在全球首创运用了“三线程”结构,这个新颖的架构导致传统杀毒软件的内存杀毒技术失效。同时“中国黑客”病毒采用了CIH病毒的VXD(虚拟设备驱动)技术,可进入到系统核心层取得系统的最高权限。这就意味着该病毒可以在你的电脑上为所欲为,如毁坏BIOS、毁坏硬盘数据等等。在传播方式上,“中国黑客”病毒寻找用户邮件地址簿来向外发送病毒邮件,这一点与求职信病毒非常相似,而且传播速度非常快。除此外,它还可以像Nimda病毒那样感染脚本文件,通过脚本文件来执行病毒程序,并在被感染的脚本文件的目录下生成Readme.eml的病毒邮件。
处理办法:与其他病毒一样的是,该病毒也是利用了IFRAME漏洞的恶性蠕虫,所以首先要做的是把补丁升级到最新,如IIS和IE。然后安装瑞星杀毒软件2003版进行查杀。
4.新欢乐时光(VBS.KJ)
新欢乐时光病毒与它的老前辈欢乐时光病毒一样,都是用采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染。一般情况下该病毒会感染扩展名为.html,.htm,.asp,.php,.jsp,.htt和.vbs的文件。被感染后,在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);这样大量的文件会消耗系统资源,电脑运行速度明显变慢,并且在任务列表中可以看到有大量的Wscript.exe程序在运行。不过该病毒并不会自己搜索地址簿发送带毒邮件,而是变相地修改系统中Microsoft Outlook Express、Microsoft Outlook 2000/XP的设置,采用html格式的信纸来撰写邮件,这样病毒就感染全部信纸。当你用这些信纸写信时,病毒就会附在邮件中,隐蔽性更强!
处理办法:如果手动清除比较麻烦,大家可以升级杀毒软件处理该病毒,用KV3000杀毒王进行查杀,同样要把病毒库升级到最新版本。
5.爱情森林(Sckiss)
爱情森林是木马病毒,同时也是第一个利用QQ进行传播和破坏的恶性木马病毒。该木马程序被运行后,便将自身复制到Windows系统的System目录下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此容易迷惑用户,使用户误认为这是一个正常的系统文件。然后它会修改注册表,在“HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersionRun”下添加键值“Explorer=%windowssystem%Explorer.exe”,使该木马程序可以在开机后自动运行。该木马程序会使用本地QQ,在用户不知情的情况下向用户的其他朋友发送某个特定的网站信息,如果你的朋友不能辨别,登录此网站时,就会中毒。因为该网页是一个利用JS脚本语言编写的恶意网页,利用JavaExploit漏洞,在用户不知不觉中悄悄自动下载爱情森林病毒并执行,从而对用户计算机系统造成破坏。
处理办法:可以手工清除该木马。
第一步:先打开任务管理器,结束里面的那个Explorer进程,然后删除System目录下的木马程序Explorer.exe,或重新启动到DOS下在System目录直接删除该木马程序。
第二步:打开注册表编辑器,删除“HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersionRun”下名为“Explorer”的键值。当然,也可用瑞星杀毒软件查杀!
6.Macro.MakeLove病毒
Macro.MakeLove病毒是2002年新发现的一种恶性宏病毒。当你打开染上该病毒的Word文件后,该病毒将驻留内存,然后关掉Word的宏和VBA编辑工具栏,并关闭Word自身的宏病毒保护。并且它还故意屏蔽了该宏代码的查看功能,这样我们就不能使用Word的查看病毒宏代码功能来查看它了。当系统感染了该宏病毒后,它就会自动感染其他打开的Word文档,并在其他文档中生成宏病毒体模块Module1。当日期是3月、6月、9月和12月的5日时,该宏病毒将在自动运行批处理文件(C:\Autoexec.bat)中写入“deltree-yC:\*.*”。这样在下次开机时,电脑会自动删除C:盘下所有的目录及数据文件,用户将无法启动通常安装在C:盘下的Windows系统。
处理办法:由于该病毒的破坏代码只有当Windows系统被安装在C盘时才起作用,这是Windows安装的默认路径,同时还要使用DOS下面的Deltree命令,所以我们可以通过两种途径阻止病毒的破坏行为。一是改变Windows的安装目录,修改或删除目录树程序文件Deltree。
7.汉城病毒(Worm.Winevar)
汉城病毒(Worm.Winevar)是一种智能型病毒,它具有很强的智能反跟踪技术。当它发现自己被跟踪时,会弹出对话框:“Whatafoolishthingyouhavedone!”,随即删除System32目录下的所有文件。该病毒运行时,首先扫描内存,强行终止大部分正在运行的进程,还会释放一个修改过的FunLove病毒。该病毒是利用邮件进行传播的,并把自己复制到系统桌面上,文件名为Explorer.pif,同时删除各硬盘分区里的所有文件,所以危害性极大。
处理办法:如果你中了该病毒,发现出现病毒发作时的对话框,请不要点“确认”按钮,应该立即切断计算机电源,然后重新开机使用软盘启动进入DOS状态,用KV3000杀毒王进行杀毒。
8.FunLove病毒
Funlove病毒是一个驻留内存的Win32病毒。它感染本地驱动器和网络驱动器上的可执行文件,当染毒程序运行后,该病毒将创建一份名为Flcss.exe的文件,放在当前Windows系统的System目录下(WinNT系统中为System32),并同时开启一个线程进行自身的传染,被感染的宿主程序运行时几乎没有时间延迟。不过该病毒对数据没有直接的破坏性,但也会占用系统资源,降低运行速度。
处理办法:发现系统中毒后,应该立即断开网络,备份重要文件,然后将病毒生成的Flcss.exe文件删除,最后用启动盘引导系统,在DOS下查杀。也可以使用FunLove专杀工具进行杀毒,下载地址:ftp://www.duba.net/download/othertools/killfunlove.exe。不过在使用该工具之前,同样要求断开网络连接,以免FunLove病毒通过局域网从其他机器传播到这台机器里。
9.女鬼病毒(Joke_ghost)
女鬼病毒是利用VB语言写成的恶作剧程序。当你感染上女鬼病毒后,系统会不定时地在电脑上出现恐怖的女鬼,并伴有阴森恐怖的鬼哭狼嚎的声音。女鬼每次出现大约停留30秒钟,低垂着脑袋,披头散发,两眼还射出红光,加上阴森的恐怖之声,如果用户在夜间使用电脑,会感到毛骨悚然。该程序主要通过电子邮件以及网上下载传递,文件名称为mc.exe,不会对计算机造成损害。不过该病毒运行时需要一个VB的动态链接库,如果你的系统没有这个文件,女鬼就不会找你了。
处理办法:第一,重启电脑后删除mc.exe文件即可;第二,该病毒发作时,同时按下“Ctrl+Alt+Del”键后,选择mc.exe文档结束工作,最后删除mc.exe档案就可以了。
今年的流行病毒仍然是以网络、邮件传播为主,与去年的病毒相比,更具隐蔽性、欺骗性。当然,除了猖獗的电脑病毒外,手机病毒、信息家电病毒也将会向我们走来。让我们做好心理准备,迎接新的病毒战吧!