计算机的攻击与防范.docVIP

计算机的攻击与防范 黄丽娟 摘要：近年来，因特网引入了新的病毒传送机制，通过电子邮件这个传播途径,病毒已成为当今网络业发展的最大危害。今年以来，在中国大规模爆发的多种病毒，全部都是通过互联网传播的。随着互联网日益成为全球性工具，病毒也正在成为全球性杀手。而通过网络特别是电子邮件传播的病毒与传统病毒相比，表现出了更快的传播速度以及更强有力的杀伤力。 以下我们在分析网络时代计算机病毒特点的基础上探讨一下如何有效地防范病毒，以“把好网络时代的大门”。病毒木马注册表计算机病毒的产生 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。“鬼影3”病毒“鬼影3”病毒典型症网址导航、桌面出现“免”、“美女”等广告beep.sys和alg.exe文件却无法。我们知道，“鬼影”病毒是以隐蔽性著称的，而“鬼影3”则将其隐蔽性更提升了一个层次，普通安全工具要想找出“鬼影3”的全部隐藏行为那是十分困难的，但是通过PowerTool 这款软件就可以轻松把“鬼影3”的尾巴揪出来。PowerTool是国人编写的一款专业安全工具，其功能非常丰富，是手工杀毒的不二选择。运行PowerTool后，我们切换软件的各个监测模块对系统进行全面的检测，危险的地方软件会以红色字体标注。 “鬼影3”病毒对于系统的修改 经过监测，可以发现“鬼影3”对系统进行了如下修改： 1）进程。鬼影3会创建了一个名为“Vanyro.tmp”的进程，该进程是隐藏的，在“任务管理器”中不可见。 2）文件。在C盘根目录下被创建了“Vanyro.tmp”、“PulgFile.log”、“PulgConfig.log”这三个文件，其中“Vanyro.tmp”为病毒主体文件，“PulgConfig.log”为病毒配置文件，用于下载流氓软件。 3）快捷方式。在桌面上将会被创建多个快捷方式、包括“淘宝网”、“酷狗音乐”等，以此牟利。 4）网络连接。有3个端口将被打开，用以从别的网站上下载流氓软件。 5）内核钩子。内核中被创建了一个名为“DriverStartIO”的钩子函数，鬼影3借此用于隐藏自己。 6）隐藏扩展名。鬼影3会设置隐藏文件的扩展名，以降低自身文件被发现的概率。 7）修改MBR。这是“鬼影”系列病毒引以为傲的地方，病毒会修改硬盘的MBR，从而实现优先于系统启动，即使用户重装系统也无法彻底删除。 清除“鬼影3”病毒 在PowerTool的检测下，“鬼影3”的隐藏手段暴露无遗。其实病毒并不可怕，只要我们能发现其隐藏手段，那么清除起来是相当容易的。我们可以按照以下步骤使用PowerTool清除“鬼影3”病毒： 1）结束进程：在病毒进程上点右键，选择“结束进程”。 2）恢复隐藏文件扩展名：右键→“修复”。 3）删除病毒文件：右键→“删除且不可还原”。 4）删除快捷方式：右键→“修复以及删除关联文件”。 5）恢复钩子：右键→“摘除钩子”。 6）恢复MBR：点击“自动修复MBR”按钮即可。 至此，大名鼎鼎的“鬼影3”病毒就被我们在半分钟内清除了，整个过程十分简单。其实不仅对于“鬼影3”病毒，对付其他病毒都可以用PowerTool轻松搞定，这样以后就算杀毒软件不给力，我们也不用再害怕病毒了。 新网银木马介绍 国家计算机病毒应急处理中心通过对互联网的监测发现一个恶意诱骗用户暴露银行个人银行帐号密码的网银木马TrojSpy_Banker.YY。该网银木马会监视IE浏览器正在访问的网页，如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取的信息发送出去。网银木马TrojSpy_Banker.YY的介绍：1）病毒名称：TrojSpy_Banker.YY2）病毒类型：木马程序3）其它命名：◆Win32.Troj.Banker.ic.118018（金山）◆TrojanSpy.Banker.yy（江民）◆TSPY_BANCOS.BIR（趋势）网银木马TrojSpy_Banker.YY的具体技术特征如下：1）木马大小110KB～120KB左右，由VB语言编写。//运行后会在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\?CurrentVersion\Run//下添加：“svchost”=?“%SystemDir%\svchost.exe”这样每次系统启动，木马程序都会自动运行。2）监视IE浏览器访问的页面，如果发现用户登录该行网上银行个人银行页面就会弹出伪造的IE窗口（如图一所示），诱骗用户输入登录密码和支付密码。 图一伪造的IE窗口 图二正常的网站网页请用户注意以上两页面的对比，谨防受骗上当。用户输入信息提交后，就会显示以下内容“为了给您