萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 連環追擊查殺網頁病毒及後遺症一

連環追擊查殺網頁病毒及後遺症一

  上網的時候不注意打開一個網址,在不知覺的情況下,病毒可能已經悄悄進駐了電腦,這些病毒會使IE不停的彈出窗口,IE主頁被修改等等,嚴重的對系統性能也會造成非常大的影響。IE病毒清除起來還是比較容易,但是清除後安全工具不能完成恢復IE的設置,所以殺毒後的IE也會有很多的故障,這些問題在本文中我們都將要講到。下面就讓我們一起走進網頁病毒的世界。    什麼是網頁病毒    網頁病毒是利用網頁來進行破壞的病毒,它使用一些SCRIPT語言編寫的一些惡意代碼利用IE的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時,自學教程,網頁病毒便被悄悄激活,這些病毒一旦激活,可以利用系統的一些資源進行破壞。輕則修改用戶的注冊表,使用戶的首頁、浏覽器標題改變,重則可以關閉系統的很多功能,裝上木馬,染上病毒,使用戶無法正常使用計算機系統,嚴重者則可以將用戶的系統進行格式化。而這種網頁病毒容易編寫和修改,使用戶防不勝防。    目前的網頁病毒都是利用JS.ActiveX、WSH共同合作來實現對客戶端計算機,進行本地的寫操作,如改寫你的注冊表,在你的本地計算機硬盤上添加、刪除、更改文件夾或文件等操作。而這一功能卻恰恰使網頁病毒、網頁木馬有了可乘之機。    網頁病毒的性質及特點    這種非法惡意程序能夠得以被自動執行,在於它完全不受用戶的控制。你一旦浏覽含有該病毒的網頁,即可以在你不知不覺的情況下馬上中招,給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。令你苦不堪言,甚至損失慘重無法彌補。 網頁病毒的種類。根據目前互聯網上流行的常見網頁病毒的作用對象及表現特征,歸納為以下兩大種類:    網頁病毒的攻擊方式    既然是網頁病毒,那麼很簡單的說,它就是一個網頁,但在這個網頁運行與本地時,它所執行的操作就不僅僅是下載後再讀出,伴隨著前者的操作背後,還有這病毒原體軟件的下載,或是木馬的下載,然後執行,悄悄地修改你的注冊表,等等…那麼,這類網頁都有什麼特征呢?    (1)美麗的網頁名稱,以及利用浏覽者的無知    (2)利用浏覽者的好奇心    (3)無意識的浏覽者    網頁病運行效果分析    這一節請看文章《惡意代碼十三大症狀及簡單修復方法》這裡有非常詳細的介紹.    網頁病毒基本預防手段    (1)現在上網的人幾乎都有自己的QQ號,並且現在網頁病毒很多都通過QQ來進行傳播,所以當你的QQ好友給你發過來的是一段網址的時候,你一定要確認了才打開。否剛很可能是對方感染了病毒,在不知情的情況下病毒自動發送的信息。    (2)要避免被網頁惡意代碼感染,首先關鍵是不要輕易去一些自己並不十分知曉的站點,尤其是一些看上去非常美麗誘人的網址更不要輕易進入,否則往往不經易間就會誤入網頁代碼的圈套。    (3)升級你的IE到最高版本並裝上所有的安全漏洞補丁。    (4)由於該類網頁是含有有害代碼的ActiveX網頁文件,因此在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。    具體方法是:在IE窗口中點擊"工具→Internet選項,在彈出的對話框中選擇"安全"標簽,再點擊"自定義級別"按鈕,就會彈出"安全設置"對話框,把其中所有ActiveX插件和控件以及Java相關全部選擇"禁用"即可。不過,這樣做在以後的網頁浏覽過程中可能會造成一些正常使用 ActiveX的網站無法浏覽。    (5)注意信件預覽功能    從上述病毒得知,若信件夾帶惡性的HTML/Script語言時即可能會自動執行。因此,即使我們收到的有毒電子郵件並不夾帶文件,依然有可能會感染病毒。若您是時常收取病毒信件或文件的高風險群,可以考慮將信件預覽功能關閉。    (6)下載微軟最新的Microsoft Windows Script    (7)安裝病毒防火牆,一般的殺毒軟件都自帶.打開網頁監控和腳本監控    (8)請經常升級你的殺毒軟件病毒庫,讓他們能及時的查出藏在你計算機內的病毒殘體。經常性的做全機的掃描檢查。    (9)小心來歷不明的信件    平時難免會收到很多的信;例如賀卡、廣告信等,病毒信件也可能夾帶其中,若您收到信件主題是 “HI”、”How are You” 等基本問候,而信件內容是簡短的訊息,即使發件人是您熟知的朋友或同事都必須要特別小心。因為很有可能是他們中毒了,將病毒郵件在不知道的情況下發送了您。    逐個認識IE病毒    從尼姆達病毒開始,新病毒廣泛的利於了IE的Ifarme漏洞在用戶預覽或打開信件的時候自動運行,這種入侵方式大大的降低了用戶中毒的門檻,使得病毒傳播速度大大加快。之前廣泛傳播的愛蟲和Sircam,只是利用社交工程誘使用戶點擊運行病毒,分別用了一個月和兩周的時間才傳播到全球范圍,而尼姆達和求職信病毒只用了三天和幾個小時的時間就達到同樣的效果,5自學網,不能不說IE的Ifarme漏洞在這其中“居功至偉”,這類利用IE漏洞的病毒從去年到今年層出不窮,給我們平時的上網生活與工作帶來諸多危險,讓我們現在就來逐個認識此類病毒,為防范新病毒做好准備。    2001年09月18日“尼姆達” 變種家族nimda-nimda.e 被發現,第一個利用IE的Ifarme漏洞的病毒    2001年10月30日 變種Nimda.E 出現有史以來傳播方式最多的病毒。    病毒特征:只要一預覽郵件立刻中毒,同時讀取用戶信件,取出SMTP地址、郵箱地址,利用這些地址將帶有蠕蟲病毒信件對外發送,而且在局域網內傳播。該病毒還能通過“即時聊天”以及“FTP程序”傳播具有極高的傳染性。它利用微軟的Unicode漏洞采用類似“CodeBlue”蠕蟲的攻擊方式對外隨機攻擊網站。    “求職信”變種家族Wantjob(Klez.a-Klez.H)    2001年10月26日 Klez.A    2002年1月23日 Klez.F    2002年4月16日 Klez.k,Klezh    有史以來傳播最廣泛的病毒。     病毒特征:通過隱藏在郵件附件中進行傳播,是用Visual C 編寫的Windows PE EXE文件.除了通過電子郵件及本地局域網傳播外,它還會在臨時文件夾中創建一個Windows EXE文件,文件名以K開頭,如KB180.exe,然後將Win32.Klez病毒寫入此文件內。    利用的是IE的Iframe漏洞,預覽後即會中毒。病毒會利用SMTP協議向外發送病毒郵件,郵件主題從病毒體的列表中隨機選取一個:同時會向網絡鄰居的共享可寫目錄中寫入病毒文件進行傳播。    每逢偶數月的第13日,該蠕蟲會自動運行,且覆蓋被感染機器可用磁盤的所有文件,文件被覆蓋後無法恢復,只有從備份中才能重新得到。    2001年10月25日 出現 “本.拉登” win32. BINLADEN    通過搜索ICQ網站來取得郵件地址,使用匿名的方式采用SMTP協議發送帶毒郵件。該病毒利用了IFRAME漏洞。當我們預覽含有病毒郵件時,病毒郵件體內腳本w代碼在將被執行,如果計算機上所使用的Outlook浏覽器存在該漏洞,計算機將被感染。    郵件帶有一份名為BINLADEN_BRASIL.EXE的附件,該病毒的附件實際上是一個可執行的文件,但是該蠕蟲設置成audio/x-wav的文件類型,因此當Outlook在收到該信件後,若Outlook存在漏洞的話,Outlook會認為該附件是一個聲音文件而直接執行它    “挨立滋”病毒Worm.Alizee    2001年11月22日 Alizee病毒被發現,利用IE的IFRAME漏洞來進行侵入和傳播。 Alizee病毒通過電子郵件散布,其主題不固定,附件名為“whatever.exe”,它在人們預覽郵件、甚至還沒有正式開啟時,就會通過IE的漏洞自動運行來感染系統。    感染後的系統會利用IE通訊簿,向外發送帶毒郵件,會成企業郵件服務器堵塞。其危害手法實際上已經過時,但沒有更新IE的用戶,或者是沒有下載最新病毒代碼的用戶仍可能感染這種病毒。    2001年11月27日“壞透了”Worm.Badtrans 被發現    利用IE的IFRAME漏洞來進行侵入和傳播, 即使不點擊其中的附件,Badtrans病毒就會自動執行 ,這種感染方式與其他許多大量發送電子郵件的病毒相似。Badtrans.B Badtrans.B病毒把自己偽裝成回復的郵件,具有更高的欺騙性。它還在被感染的計算機系統上安裝特 洛伊木馬程序,使攻擊者能夠訪問被感染的計算機系統,並將被感染系統的IP地址發給病毒的作者。    執行後,Badtrans.B病毒能夠記錄通過鍵盤輸入的所有數據,收集到的數據以加密的方式存儲在硬盤上。    攜帶Badtrans.B病毒的電子郵件的附件為.MP3、.DOC或.ZIP類型的文件,但實際上是帶有.SCR或.PIF等後綴的雙擴展名文件    2001年12月20日 “笑哈哈”Worm_Shoho.A或Welyah。首先出現在亞洲,該病毒是用Visual Basic編寫的,病毒文件大小為110592字節。它是一種基於Windows的常駐內存型病毒,通過E-mail方式傳播,利用IE的漏洞自動執行,並向Microsoft Outlook地址簿中的郵箱反復發送自身,還會隨機刪除當前目錄下的文件,造成系統不能啟動。    該網絡蠕蟲不使用Outlook程序設置的SMTP(發送郵件服務器)來發送郵件,而是使用自身的SMTP引擎來發送E-mail帶病毒信件。    該蠕蟲病毒利用的是Iframe漏洞,一旦預覽或打開郵件,其附件程序readme.txt.........PIF就會自動運行。該病毒作者非常狡猾,他將這個附件的兩個擴展名稱txt和PIF之間輸入了長達125個空格,一般人很難發現還有PIF擴展名存在。
copyright © 萬盛學電腦網 all rights reserved