关于病毒
发布网友
发布时间:2022-04-26 15:24
共3个回答
热心网友
时间:2022-04-18 04:14
计算机病毒类似于生物病毒,它能把自身依附着在文件上或寄生在存储媒体里,能对计算机系统进行各种破坏;同时有独特的复制能力,能够自我复制;具有传染性可以很快地传播蔓延,当文件被复制或在网络中从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,但又常常难以根除。与生物病毒不同的是几乎所有的计算机病毒都是人为地制造出来的,是一段可执行代码,一个程序。一般定义为:计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合需要掌握c语言、卷标语法、即计算机能读懂的命令,和编程规则。
1.Elk Cloner(1982年)
它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年)
Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年)
Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998年)
CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
5.Melissa(1999年)
Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年)
Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年)
被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。
8.“Nimda”(2001年)
尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。
9.“冲击波”(2003年)
冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。
10.“震荡波”(2004年)
震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。
11.“熊猫烧香”(2007年)
熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。
12.“扫荡波”(2008年)
同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。
13.“Conficker”(2008年)
Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。
14.“木马下载器”(2009年)
本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)
15.“鬼影病毒”(2010年)
该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。
16 .“极虎病毒”(2010年)
该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有ping.exe
瑞星
和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件,杀毒软件和安全类软件会被自动关闭,如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等
Backdoor,危害级别:1,
说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2,
说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL
IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG,危害级别:5,说明:通过MSN传播即时消息
QQMSG,危害级别:6,说明:通过OICQ传播即时消息
ICQMSG,危害级别:7,说明:通过ICQ传播即时消息
UCMSG,危害级别:8,说明:通过UC传播即时消息
Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
黑客工具
事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:*病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
途径
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种:
(1)通过软盘
通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘
硬盘
通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
(3)通过光盘
因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(4)通过网络
这种传染扩散极快, 能在很短时间内传遍网络上的机器。
随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
传染
计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况;另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。
可见有条件时病毒能传染, 无条件时病毒也可以进行传染。
过程
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
可执行文件感染病毒后又怎样感染新的可执行文件?
可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;
(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的?
正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;
(3)转入Boot执行;
(4)Boot判断是否为系统盘, 如果不是系统盘则提示;
non-system disk or disk error
Replace and strike any key when ready
否则, 读入IBM BIO-COM和IBM DOS-COM两个隐含文件;
(5)执行IBM BIOCOM和IBM DOS-COM两个隐含文件, 将COMMAND-COM装入内存;
(6)系统正常运行, DOS启动成功。
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:
(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象, 病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;
(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
操作系统型病毒在什么情况下对软、硬盘进行感染?
操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。
操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?
因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。
如果您还不懂,可以上百科查查!
热心网友
时间:2022-04-18 05:32
热心网友
时间:2022-04-18 07:07
