20CN网络安全小组论坛 - 病毒专区

论坛: 病毒专区标题: 蠕虫病毒的防治！

作者: fqjpower [fqjpower]

论坛用户

　　老调重谈，希望大家不要骂我！这篇文章主要是由于目前我们论坛上老是重复提出类似“新欢乐时光”等蠕虫病毒的问题，所以，这里主要针对如何有效的防范网络蠕虫病毒的方法提出建议！
　　病毒的发展日新月异，如今对电脑威胁最大的就属网络蠕虫病毒了！从大名鼎鼎的“爱虫、美丽莎”到“欢乐时光”，再到“尼姆达”……等等，其破坏力越来越强，因此我们有必要了解网络蠕虫病毒，所谓知己知彼，百战不殆正是这个道理！
　　其实脚本病毒是很容易制造的，它们利用了Windows系统的开放性特点。特别是COM到COM+的组件编程思路，一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒为例，它们都是把VBS脚本文件加在附件中，使用*.htm.vbs等欺骗性的文件名。蠕虫病毒的主要特性有：自我复制能力、很强的传播性、潜伏性、特定的触发性、很大的破坏性。
　　我们已经了解网络蠕虫病毒的构造，现在可以逐个击破网络蠕虫病毒几大功能模块。使网络蠕虫病毒不能这么横行无忌地破坏电脑及盗窃我们的资料。
　　1、首先破解病毒的破坏力最强的功能模块��病毒的破坏性。网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么就把本地的带有破坏性的程序改名字，比如把format.com改成fmt.com，那样病毒的编写者就无法实现用调用本地命令来实现这一功能。
　　2、破解病毒的潜伏性及触发性功能模块。它是通过死循环语句完成的，一开机就运行这程序，等待触发条件。用［Ctrl+Alt+Del］弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运行（这样的程序不一定是病毒，但病毒也常常伪装成这样），为了防止病毒对计算机的破坏，我们不得不限制这类程序的运行时间，以达到控制的效果。首先在[开始]→[运行]里输入“Wscript”，然后会弹出一个窗体。勾选“在超出指定的秒数后停止脚本”，调整下方的时间设为最小值即可。
　　另外，蠕虫病毒大多是用VBScript脚本语言编写的，而VBScript代码是通过Windows Script Host来解释执行的。将Windows Script Host删除，就不用担心这些用VBS和JS编写的病毒了！
方法：
　　①卸载Windows Scripting Host
　　在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。
　　②删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
　　点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。
　　③在Windows目录中，找到WScript.exe和JScript.exe，更改名称或者删除。
　　3、接下来破解病毒的自我复制能力功能模块。大多数利用VBscript编写的病毒，自我复制的原理基本上是利用程序将本身的脚本内容复制到一个临时文件中，然后再在传播的环节将其作为附件发送出去。该功能的实现离不开“FileSystemObject”对象，因此禁止了“FileSystemObject”就能有效地控制VBS病毒的传播。实现方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是WindowsSystem下的可执行文件。
　　4、最后就是功能模块传播性了。要彻底防治网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。
　基本上，用以上的方法可以有效地防范蠕虫病毒！

[此贴被如风(fqjpower) 在 04月25日01时04分编辑过]

地主发表时间: 04/25 00:54

回复: CyberSpy [cyberspy]

论坛用户

恶意蠕虫大盘点：利用IE漏洞的病毒逐个数

��从去年尼姆达病毒开始，新病毒广泛的利于了IE的Ifarme漏洞在用户预览或打开信件的时候自动运行，这种入侵方式大大的降低了用户中毒的门槛，使得病毒传播速度大大加快。在之前广泛传播的爱虫和Sircam，只是利用社交工程诱使用户点击运行病毒，分别用了一个月和两周的时间才传播到全球范围，而尼姆达和求职信病毒只用了三天和几个小时的时间就达到同样的效果，不能不说IE的Ifarme漏洞在这其中“居功至伟”,这类利用IE漏洞的病毒从去年到今年层出不穷，给我们平时的上网生活与工作带来诸多危险，让我们现在就来逐个认识此类病毒，为防范新病毒做好准备。
��
��“尼姆达” 变种家族nimda-nimda.e
��
��2001年09月18日被发现，第一个利用IE的Ifarme漏洞的病毒
��2001年10月30日变种Nimda.E 出现
��有史以来传播方式最多的病毒。
��
��病毒特征：只要一预览邮件立刻中毒，同时读取用户信件，取出SMTP地址、邮箱地址，利用这些地址将带有蠕虫病毒信件对外发送，而且在局域网内传播。该病毒还能通过“即时聊天”以及“FTP程序”传播具有极高的传染性。它利用微软的Unicode漏洞采用类似“CodeBlue”蠕虫的攻击方式对外随机攻击网站。
��
��“求职信”变种家族Wantjob(Klez.a-Klez.H)
��
��2001年10月26日 Klez.A
��2002年1月23日Klez.F
��2002年4月16日 Klez.k,Klezh
��有史以来传播最广泛的病毒。
��
��病毒特征：通过隐藏在邮件附件中进行传播，是用Visual C++编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外，它还会在临时文件夹中创建一个Windows EXE文件，文件名以K开头，如KB180.exe，然后将Win32.Klez病毒写入此文件内。
��
��利用的是IE的Iframe漏洞，预览后即会中毒。病毒会利用SMTP协议向外发送病毒邮件，邮件主题从病毒体的列表中随机选取一个：同时会向网络邻居的共享可写目录中写入病毒文件进行传播。
��
��每逢偶数月的第13日，该蠕虫会自动运行，且覆盖被感染机器可用磁盘的所有文件，文件被覆盖后无法恢复，只有从备份中才能重新得到。
��
��“本.拉登” win32. BINLADEN
��
��2001年10月25日出现
��通过搜索ICQ网站来取得邮件地址，使用匿名的方式采用SMTP协议发送带毒邮件。该病毒利用了IFRAME漏洞。当我们预览含有病毒邮件时，病毒邮件体内脚本w代码在将被执行，如果计算机上所使用的Outlook浏览器存在该漏洞，计算机将被感染。
��
��邮件带有一份名为BINLADEN_BRASIL.EXE的附件，该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后，若Outlook存在漏洞的话，Outlook会认为该附件是一个声音文件而直接执行它。

��“挨立滋”病毒Worm.Alizee
��
��2001年11月22日被发现, 利用IE的IFRAME漏洞来进行侵入和传播，目前欧洲和日本已传出“灾情”。 Alizee病毒通过电子邮件散布，其主题不固定，附件名为“whatever.exe”，它在人们预览邮件、甚至还没有正式开启时，就会通过IE的漏洞自动运行来感染系统。
��
��感染后的系统会利用IE通讯簿，向外发送带毒邮件，会成企业邮件服务器堵塞。其危害手法实际上已经过时，但没有更新IE的用户，或者是没有下载最新病毒代码的用户仍可能感染这种病毒。
��
��“坏透了”Worm.Badtrans
��
��2001年11月27日被发现
��
��利用IE的IFRAME漏洞来进行侵入和传播, 即使不点击其中的附件，Badtrans病毒就会自动执行，这种感染方式与其他许多大量发送电子邮件的病毒相似。Badtrans.B Badtrans.B病毒把自己伪装成回复的邮件，具有更高的欺骗性。它还在被感染的计算机系统上安装特洛伊木马程序，使攻击者能够访问被感染的计算机系统，并将被感染系统的IP地址发给病毒的作者。
��
��执行后，Badtrans.B病毒能够记录通过键盘输入的所有数据，收集到的数据以加密的方式存储在硬盘上。
��
��携带Badtrans.B病毒的电子邮件的附件为.MP3、.DOC或.ZIP类型的文件，但实际上是带有.SCR或.PIF等后缀的双扩展名文件
��
��“笑哈哈”Worm_Shoho.A或Welyah。
��
��2001年12月20日首先出现在亚洲，该病毒是用Visual Basic编写的，病毒文件大小为110592字节。它是一种基于Windows的常驻内存型病毒，通过E-mail方式传播，利用IE的漏洞自动执行，并向Microsoft Outlook地址簿中的邮箱反复发送自身，还会随机删除当前目录下的文件，造成系统不能启动。
��
��该网络蠕虫不使用Outlook程序设置的SMTP（发送邮件服务器）来发送邮件，而是使用自身的SMTP引擎来发送E-mail带病毒信件。
��
��该蠕虫病毒利用的是Iframe漏洞，一旦预览或打开邮件，其附件程序readme.txt.........PIF就会自动运行。该病毒作者非常狡猾，他将这个附件的两个扩展名称txt和PIF之间输入了长达125个空格，一般人很难发现还有PIF扩展名存在。
��
��“中文求职信” worm.donghe.49152
��
��2002年05月11日被发现, 利用了IFRAME的漏洞使之能在预览时候（IE有漏洞的版本）运行。病毒运行是会将自己复制到windows的system目录，命名为Exporler.exe，并修改exe文件的关联，以使自己下次会再次激活。病毒自动获取用户地址薄中的信息乱发邮件。病毒体内还附带了一个VBS病毒，病毒发送邮件有两种形式，一种是将病毒自身作为附件发送，一种是将该VBS病毒作为附件（附件名为hello.vbs）发送。VBS部分的病毒会修改注册表的启动项以便自己下次能运行，同时修改了IE的默认起始页面。

��“中国黑客”Win32.Runouce.6703
��
��2002年6月 7日被发现。是一例感染型蠕虫，可感染Windows的PE可执行文件。它同样是以邮件的形式进行传播，病毒邮件具有如下特征：
��
��1．与最近的病毒一样利用了iFrame的漏洞；
��2．附件名为p.exe，长度为１０７９９字节；
��3．取得当前的计算机名，如：计算机名为test，并以计算机为名的hotmail邮箱向外发信；
��
��“密码病毒”变种家族 W32.Frethem.a- W32.Frethem.k
��
��2002年07月16日被发现,此病毒在邮件被打开的时候，就可传播，也即意味着用户无须点击附件就会被感染。它是利用了微软IE的IFrame漏洞，由于许多用户仍未安装相应补丁，使得该病毒能伺机感染。会利用自己的SMTP引擎向Windows地址簿及.dbx, .wab, .mbx, .eml,.mdb文件中的邮件地址发送带毒邮件。
��
��W32.Chir.B@mm
��
��2002年7月29日发现,该病毒既是一个网络共享、电子邮件蠕虫，又是一个文件感染型病毒，会利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件。它同时会搜索所有本地及网络驱动器，并感染后缀为.htm, .html, .exe及.scr的文件。由于利用了IFRAME及MIME漏洞，只要预览即会中毒。
��
��金山毒霸等主流杀毒软件都已经能查杀以上病毒。但可以预计将来的病毒会尽可能的利用IE或Windows的漏洞，我们要如何预防呢？
��
��一、安装系统漏洞补丁
��
��由上述的病毒传播方式我们可以知道，即使不执行病毒文件，病毒依然可以藉由系统的漏洞自动执行，达到感染的目的。因此随时安装系统漏洞补丁和升级杀毒软件一样的重要。安装了IE6后就可以修补iFrame漏洞，IE6下载链接http://www.microsoft.com/downloads/release.asp?ReleaseID=32558
��
��但同时也要注意为IE6的漏洞打补丁，这些漏洞很可能会被新病毒利用，及早补漏，防范于未然。
��
��IE6补丁下载
��1.http://www.microsoft.com/windows/ie/downloads/critical/q313675/download.asp
��2.http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp
��
��二、随时升级杀毒软件
��
��这已经是老生常谈的内容了。只安装不更新防毒软件相当于关门只关一半、您需随时更新防毒软件，最好是设置杀毒软件为自动更新。如金山毒霸在工具选项中设置自动升级时间为星期一09:00。
��
��三、注意信件预览功能
��
��从上述病毒得知，若信件夹带恶性的HTML/Script语言时即可能会自动执行。因此，即使我们收到的有毒电子邮件并不夹带文件，依然有可能会感染病毒。若您是时常收取病毒信件或文件的高风险群，可以考虑将信件预览功能关闭。
��
��四、小心来历不明的信件
��
��暑假期间，难免会收到比平时较多信件；例如贺卡、广告信等，病毒信件也可能夹带其中，若您收到信件主题是 “HI”、”How are You” 等基本问候，而信件内容是简短的讯息，即使发件人是您熟知的朋友或同事都必须要特别小心。因为很有可能是他们中毒了，将病毒邮件在不知道的情况下发送了您。

哈哈，咱自己来顶

B1层发表时间: 04/25 10:38

论坛: 病毒专区