2008年危害网吧安全病毒大盘点

风雨2008,网络的迅猛发展和经济利益的驱使导致电脑病毒、木马的数量呈爆炸式增长,其总数已经超过了近五年病毒数量的总和。其中机器狗、磁碟机、FLASH漏洞病毒都榜上有名,而机器狗病毒因其危害程度以及感染率均超越其他病毒,成为名副其实的“毒”王。

一、机器狗
病毒名称:Trojan.Psw.Onlinegame.Dog
病毒中文名:机器狗
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me

机器狗病毒特征:
机器狗病毒是一种可以穿越硬盘还原卡,并使还原软件无法正常使用的木马程序下载器。网吧的电脑感染了“机器狗”病毒之后,会威胁用户的帐号安全,因为病毒会自动下载一些盗号木马。部分变种使用电子宠物“机器狗”图片作为图标,会主动连接互联网中的指定服务器,下载其他一些木马、病毒等恶意有害程序。病毒还会窃取操作系统中游戏的登陆账号和密码信息,使得个人信息被篡改或丢失。

机器狗病毒危害:
(1)进入系统后修改注册表,让几乎所有安全软件不能正常使用。
(2)在用户无法察觉的情况下连接网络,自动在用户的电脑里下载大量木马、病毒、恶意软件、插件等。这些木马病毒能够窃取用户的账号密码、私密文件等各种隐私资料。
(3)通过第三方软件漏洞、下载U盘病毒和Arp攻击病毒的方式进行疯狂扩散传播,造成整个局域网瘫痪。
(4)将恶意代码向真实的磁盘中执行修改覆盖目标文件,导致被修改覆盖的真实磁盘文件无法被还原,系统重新启动后,会再次下载安装运行之前的恶意程序,很难一次彻底清除。

机器狗病毒防治方案:
(1)及时更新杀毒软件,和“机器狗”类似的几个病毒都会找杀毒软件下手,注意观察杀毒软件的工作状态,可以充当“机器狗”之类病毒破坏系统的晴雨表。
(2)及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。
(3)网络防火墙、ARP防火墙一个也不能少,网络防火墙和ARP防火墙对“机器狗”在局域网的泛滥可以起到遏制作用。
(4)保持足够警惕,小心接收和打开不明程序。控制面板中修改文件夹选项,显示所有文件的扩展名,发现EXE/PIF/COM/SCR等类型一定要倍加小心。如果你的资源管理器工具菜单下文件夹选项不见了,或者打开后,修改选项失效,通常也是中毒的标志。
(5)常备一套工具箱,清理专家、procexp、autoruns、冰刃、Sreng,AV终结者专杀,磁碟机专杀。需要时,这些小工具可令系统起死回生。
(6)强烈建议禁用自动运行功能。禁止自动运行的方法,超简单,在清理专家的百宝箱,打开U盘免疫器,全部选中所有驱动器之后,点禁用。发现被狗咬,应该及时停止登录在线游戏,请求游戏运营商先将帐号冻结,避免遭受损失。就好比你的银行卡丢掉,你的第一反应是给银行打电话,请求冻结帐号
二、磁碟机
病毒名称:Trojan.Psw.Onlinegame.CD
病毒中文名:磁碟机
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me

磁碟机病毒特征:
磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。

磁碟机病毒危害:
(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具。
(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。
(3)自动下载最新版本和其它的一些病毒木马到本地运行。
(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。
(5)病毒并不主动添加启动项,而是通过重启重命名方式。这种方式自启动极为隐蔽,现有的安全工具很难检测出来。
(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件。

磁碟机病毒防治方案:
(1)用改名法将system32和dllcache目录下的cmd.exe临时改名为cm.dll,重启系统看看。
(2)重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe,应该是病毒现从I386目录里找来的,这个东东可不能运行。
(3)不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,NetApi000.sys即可加载,病毒已经完整运行了。病毒文件是删不掉的)。结果:所有病毒文件被一一删除了。
(4)删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。注:我的电脑只有一个分区。处理到这里,就完事了。多分区系统,非系统分区还有病毒。这样处理完后并不能彻底解决问题,还需用杀软全盘杀毒。切记!
三、AV终结者
病毒名称:Trojan/Anti-AV
病毒中文名:Av终结者
病毒类型:木马
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me

AV终结者特征:
AV终结者集目前最流行的病毒技术于一身,破坏过程经过了严密的“策划”,首先摧毁用户电脑的安全防御体系,之后“AV终结者”自动连接到指定的网站,大量下载各类木马病毒,盗号木马、广告木马、风险程序接踵而来,使用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

AV终结者危害:
(1)禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障。
(2)破坏安全模式,致使用户根本无法进入安全模式清除病毒。
(3)强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。
(4)在各磁盘根目录创建可自动运行的exe程序和autorun.inf文件,一般用户重装系统后,会习惯性的双击访问其他盘符,病毒将再次被运行。

AV终结者防治方案:
(1)保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件。
(2)给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
(3)即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
(4)安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
(5)关闭windows的自动播放功能。
(6)下载AV终结者病毒专杀工具,清除已知的病毒,修复被破坏的系统配置。(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
(7)到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
(8)利用IceSword的文件管理功能,展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%help目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
(9)然后到各个硬盘根目录下面删除Autorun.inf文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
(10)利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options],删除里面的IFEO劫持项。 四、扫荡波
病毒名称:Worm.SaodangBo.a.94208
病毒中文名:扫荡波
病毒类型:蠕虫病毒
危险级别:★★★★★
影响平台:Win9X/2000/XP/NT/Me

扫荡波病毒特征:
“扫荡波”运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载“扫荡波”,同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击,如此向互联网中蔓延开来。

扫荡波病毒危害:
据了解,这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击,用户如尚未给系统打好KB958644补丁,一旦被黑客扫描发现,瞬间便受到蠕虫病毒侵袭,成为被黑客远程控制的帮凶,主动去攻击其他用户的电脑。也就是说,局域网中一旦有一台电脑中招,全网没有修复漏洞的电脑就都会感染病毒,其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。

扫荡波病毒防治方案:
(1)用户下载MS08-067(KB958644)补丁,及时修复系统漏洞。
(2)如果打补丁出现问题或还出现攻击推崇的崩溃现象则可以使用手工解决方案禁用IPC$空连接,避免病毒连接到用户系统上。运行regedit,找到如下子键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA
把RestrictAnonymous键值改为REG_DWORD:00000001
五、网游窃贼
病毒名称:Trojan/PSW.GamePass.Gen
病毒中文名:网游大盗
病毒类型:木马
危险级别:★★★★
影响平台:Win 9X/ME/NT/2000/XP/2003

网游大盗病毒特征:
Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序,会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题,然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料,并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物

更多相关文章
  • 有复杂的地方我再开贴记录,这里只记录容易解决的坑. 1. windows下手工增加smart package.直接将下载下来的包扔到meteor package中.记得将文件夹名字改得和smart.js文件中一样. 2. meteor不能实现在document中存“DBref”.所以有时候要用类“多 ...
  • 原文 jsp(SUN企业级应用的首选)可以令菜鸟直接写简单的网页程序(网友言),而servlet却有jsp(SUN企业级应用的首选)所不及的集成程度和易维护性.两者在JAVA/BS系统中无法简单取代,但同时并存却令开发者陷入近两年来最常见的陷阱中:必须在一个即使是相对简单的项目中维持多套程序模式的方 ...
  •      引言   最近听师哥师姐们在讲一些关于在ITOO中用到的技术,像I0C容器.CAS实现的单点登录等,在今天上午马上就就要 结束的时候,突然有一个师哥问道谁能解释解释 Session和Cookie.response和request等这几个的区别,为什么我 们在项目中总是提到Cookie等,因 ...
  • (一)在HTML中使用CSS样式的方式一般有三种: 1 内联引用 2 内部引用 3 外部引用.   第一种:内联引用(也叫行内引用) 就是把CSS样式直接作用在HTML标签中.   <p style="font-size: 10px; color: #FFFFFF;"> ...
  • 易网科技讯 4月25日消息,当日百度公布了截至2012年3月31日第一季度未经审计财务报告.报告显示,该季度百度实现总营收42.64亿元人民币(约合6.771亿美元),同比增长75%:实现净利润18.83亿元(约合2.99亿美元),合摊薄后每股盈利5.38元(0.85美元),同比增长75.9%.营收 ...
  • Play on Words Time Limit: 1MS   Memory Limit: 10K Total Submissions: 10685   Accepted: 3625 Description Some of the secret doors contain a very intere ...
一周排行
  • 在上一篇文章<Android AsyncTask异步任务>中我们介绍了如何使用AsyncTask异步处理网络通信和UI更新.在本文中将使用Handler消息机制来异步处理网络通信和UI更新. Google ...
  • HTML5 = HTML o HTML5 参考阅读链接:http://book.51cto.com/art/201306/400655.htm 先要了解html5的发展,从概念上初步有个概况,对学习html5会有较好 ...
  • 易网科技讯  11月4日消息,据AllThingsD报道,科技博客网站AllThingsD的联席执行主编卡拉·丝薇谢尔(Kara Swisher)撰文称,雅虎对自己命运的思考似乎无尽无期,但出售雅虎日本股份突然变得最 ...
  • <s:iterator value="list" id="user" status="L">  <s:property value=&qu ...
  • 原题链接 题目大意:首先学习一个生物学的单词,exon:外显子,DNA序列中能够翻译表达的片段.给出很多外显子的起始点和终点,求寻找包含最多外显子的一条链,并且输出这些外显子的编号. 解法:先把所有外显子按照起始点的 ...
  • 在学习之前,我要推荐三个两个参考文档,其中一本是<ActionScript 3 语言与组件参考>另外一本是<ActionScript 3 编程 还有一本是< ActionScript 3 Co ...
  • 访问 Windows 窗体控件本质上不是线程安全的.如果有两个或多个线程操作某一控件的状态,则可能会迫使该控件进入一种不一致的状态.还可能出现其他与线程相关的 bug,包括争用情况和死锁.确保以线程安全方式访问控件非 ...
  • 何谓轮回? 唯物主义云:轮回乃是物质的循环过程,整个过程中能量守恒. 数据库云:轮回就是File到RDBMS到NoSQL的过程.自数据库产生以来,主要经历了四个阶段:人工管理阶段;文件系统阶段;数据库系统阶段;高级数 ...
  • 如果蕊蕊是我的孩子,从暑假开始,我就会给她制定一份暑假计划,多带她出去玩多活动.做学习的小主人,运动小达人,孩子需要,大人同样需要. 什么都不想当然什么事都没有,浑浑噩噩地过日子,活到头,一场空. 每个月纯支出,房贷 ...
  • Facebook 3日宣布收购电子书出版商Push Pop Press.后者主要是开发可在苹果iOS系统设备(如iPad)上运行的互动电子书.Push Pop Press创建于2010年2月,创始人是两位前苹果公司员 ...