常见计算机病毒简介.ppt

常见计算机病毒简介 震荡波 冲击波 蠕虫王 求职信 红色代码 尼姆达 震荡波 2004年“五一”黄金周第一日，一个新的病毒——“震荡波(Worm.Sasser)”开始在互联网上肆虐。该病毒利用Windows平台的Lsass漏洞进行传播，中招后的系统将开启128个线程去攻击其他网上的用户，可造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启。其破坏程度有可能超过“冲击波”。 病毒特征 该病毒会通过FTP的5554端口攻击电脑，一旦攻击失败，会使系统文件崩溃，造成电脑反复重启；病毒如果攻击成功，会将文件自身传到对方机器并执行病毒程序，然后在C:\WINDOWS目录下产生名为avserve.exe的病毒体，继续攻击下一个目标，用户可以通过查找该病毒文件来判断是否中毒。 “震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算机进行攻击，并会打开FTP的5554端口,用来上传病毒文件，该病毒还会在注册表HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run中建立：avserve.exe=%windows%\avserve.exe的病毒键值进行自启动。 预防与清除 建议用户立即到微软的站点去下载并安装该漏洞的补丁；立即升级反病毒软件的病毒数据库；打开个人防火墙屏蔽端口：5554和1068，防止名为avserve.exe的程序访问网络。 如已经感染，应立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的病毒文件，将其删除。 冲击波2003 2003年8月11日，一种名为“冲击波”（Worm.Blaster）的电脑蠕虫病毒席卷全球，瞬间造成大量电脑中毒，部分网络瘫痪。“冲击波”病毒几乎能感染所有微软“视窗”（Windows）操作系统。包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003。 感染后的症状 莫名其妙地死机或重新启动计算机； IE浏览器不能正常地打开链接； 不能复制、粘贴； 有时出现应用程序，比如Word异常； 网络变慢； 最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！ 专攻微软漏洞 “冲击波”病毒是利用微软公司公布的Windows操作系统RPC（Remote Procedure Call ，远程过程调用）漏洞进行攻击和传染的。RPC是Windows操作系统使用的一种远程过程调用协议，它提供了一种远程间交互通信机制。通过这一机制，在一台电脑上运行的程序可以顺畅地执行某个远程系统上的代码。由于微软的RPC部分在通过TCP/IP处理信息交换时存在一个漏洞，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。 预防与清除 Windows 2002补丁3 sp3 132M Windows XP 补丁 la 143M “冲击波”Windows2000微软补丁 “冲击波”WindowsXP微软补丁 Xp sp1 蠕虫王2003 2003年1月25日，互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm，病毒体极其短小,却具有极强的传播性，导致全球范围内的互联网瘫痪，中国80%以上网民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。 袭击对象 此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器，包括安装了如下程序的系统：Microsoft SQL Server 2000 SP2Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000Microsoft Windows NT 4.0 SP6a?Microsoft Windows NT 4.0 SP6?Microsoft Windows NT 4.0 SP5?Microsoft Windows NT 4.0?Microsoft Windows 2000 Server SP3Microsoft Windows 2000 Server SP2?Microsoft Windows 2000 Server SP1?Microsoft Windows 2000 Advanced Server SP3Microsoft Windows 2000 Advanced Server SP2?Micros