病毒全解析2.doc

?? ActiveX恶意程序码 　　ActiveX控制项可供Web开发人员建立含有功能更丰富的互动式动态Web网页，例如 HouseCall，趋势科技的免费线上扫描程序。ActiveX控制项是一种内嵌在Web网页的元件物件，当使用者检视网页时便会被启动。在许多情况中，可将Web浏览器的浏览器安全设定设成高，来停止执行这些ActiveX控制项。不过，黑客或病毒作者以及其他恶意人士可能会使用ActiveX恶意程序码当作武器来攻击电脑。您必须删除它们，才能够移除恶意 ActiveX 控制项。 　　 别名 　　目前尚无公认的病毒以及恶意程序码的命名规则。每一个病毒可能有多种不同的名称或别名。请参阅病毒种类中趋势科技病毒命名规则的说明。 　　 启动磁区型病毒 　　启动磁区型病毒会感染磁碟的启动磁区或分割区表格。电脑系统最容易受到启动磁区型病毒攻击，如果您使用中毒的磁片开机的话......即使开机不成功也会使病毒感染硬碟。另外，有少数病毒可以从执行档感染启动磁区 -- 这些病毒称为复合式病毒，但不多见。系统一旦感染后，启动磁区型病毒会企图感染该电脑上使用的每一个磁碟。通常，磁区型病毒大部份都可以完全清除。 　　 发现日期 　　指某病毒第一次被发现（知道）的日期。 　　 说明 　　这是列出在Trend 病毒百科全书中之病毒的简明摘要。按一下 Tech Details（技术说明）标签可取得某种病毒的技术性说明。 　　 破坏性病毒 　　除了自我复制外，有些病毒还具有将病毒传染出去的能力破坏现象。病毒具有破坏性的定义是指该病毒会对您的系统所执行的破坏现象，例如破坏或删除文件、将硬碟格式化以及进行拒绝服务等攻击。 　　 加密型病毒 　　指病毒含有特殊的程序可将病毒码本身加密来避开防毒软体的侦测。Trend Microa 的防毒产品具有病毒码本身解密以及侦测这种病毒的能力。 　　 执行档型病毒 　　执行档型病毒会感染执行档（通常是指副档名为 .com 或 .exe 的文件）。这种病毒大部份都只是企图以感染其他主机程序的方式进行复制散播 -- 不过有些会因为覆盖原始程序码而导致原始程序被破坏。这种病毒有一小部份非常具有破坏性?A会在预设的时间企图将硬碟格式化或执行一些其他恶意动作。在许多情况下，执行档病毒可完全从中毒档案清除。如果病毒已经覆盖一部份程序码，则原始档案将无法复原。 　　 在外散播病毒清单 　　在外散播病毒清单含有目前已经发现之广泛感染使用者电脑的病毒的清单。这个清单是由防毒研究者 Joe Wells 维护并更新。Wells 除了定期更新这个清单外，并和世界各地的防毒研究团体密切合作，其中包括 Trend Micro。当 ICSA指导防毒产品的病毒测试时，会使用「在外散播」清单当作比较分析的基本。?木马基本知识??????? 木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为系统服务可以很轻松地伪装自己。 　　 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击木马图标来运行服务端，木马会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如：启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。下面具体谈谈木马是怎样自动加载的。 　　 在win.ini文件中，在[WINDOWS]下面，run=和load=是可能加载木马程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马，如AOL Trojan木马，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 　　 在system.ini文件中，在[BOOT]下面有个shell=文件名。正确的文件名应该是explorer.exe，如果不是explorer.exe，而是shell= explorer.exe 程序名，那么后面跟着的那个程序就是木马程序，就是说你已经中木马了。 　　 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的木马程序生成的文件很像系统自身文件，想通过