我与计算机病毒的一些经历 遥感学院200732590107 罗博仁 计算机.DOC

我与计算机病毒的一些经历 遥感学院 200732590107 罗博仁 计算机病毒是一直以来在网上比较热门的话题，经常在一些网站上我们可以看见这样的一些消息：某某蠕虫病毒发作，请广大网民名注意，不要…..等等。可以说计算机病毒距离我们很近很近。下面我就谈谈我与计算机病毒的一些经历。 在我的印象中最早听到计算机病毒这一词是在2000年。在那一年千年虫让整个世界都陷入恐慌。我依稀记得那个时候报纸杂志上到处都提到如果千年虫问题如果处理不好全世界的计算机系统都会混乱甚至崩溃。当然那个时候我年纪海啸更深入一点的只是就都不懂。直到后来突然想起翻起资料才知道，其实千年虫并不是实际意义上的计算机病毒，“千年虫”问题的根源始于60年代。当时计算机存储器的成本很高，如果用四位数字表示年 份，就要多占用存储器空间，就会使成本增加，因此为了节省存储空间，计算机系统的编程 人员采用两位数字表示年份。随着计算机技术的迅猛发展，虽然后来存储器的价格降低了， 但在计算机系统中使用两位数字来表示年份的做法却由于思维上的惯性势力而被沿袭下来， 年复一年，直到新世纪即将来临之际，大家才突然意识到用两位数字表示年份将无法正确辨 识公元2000年及其以后的年份。1997年，信息界开始拉起了“千年虫”警钟，并很快引起了 全球关注。“千年虫”影响是巨大的。从计算机系统包括PC机的BIOS、微码到操作系统、数据库软件 、商用软件和应用系统等，到与计算机和自动控制有关的电话程控交换机、银行自动取款机 、保安系统、工厂自动化系统等，乃至使用了嵌入式芯片技术的大量的电子电器、机械设备 和控制系统，等等，都有可能受到“千年虫”的攻击。而且在网上看到相关消息据说千年虫的魅影到现在还没有完全消失，德国银行协会在2009年曾警告说，在进入2010年之际，超过2500万张德国银行卡可能遭到类似“千年虫”软件漏洞的损害，导致电脑芯片无法识别年份“2010”，从而让使用自动取款机或在德国境内甚至境外分行取款、用卡消费的银行客户无法使用银行卡。 在2007年初最轰动中国的病毒就是熊猫烧香病毒。它是一种蠕虫病毒经过多次变种得来的。中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 真正让我对计算机病毒有一个更深的认识是我进了大学之后。 在大一时，由于我们都没有pc，因此大家不得不在学校的公共机房上网。学校的计算机可以说已经是一台台活体病毒库，上面运行着千奇百怪的病毒，着最直接就导致学校的公用电脑运行速度奇慢，打开一个网页都得半天。而且一旦我们在上面登QQ，那么QQ号必然会被盗。QQ号被盗号会到处发一些乱七八糟的广告，比如： 而且经常会提示登录错误，总之这样的一些办法很是烦人。这主要是中了QQ尾巴病毒，中毒之后，Trojan/QQMsg.FakeUpdt随机发送一些消息。传播过程及特征 1.病毒运行后，将创建下列文件： %WinDir%\winsoft, 43008字节 %WinDir%\microsoft.exe, 43008字节 2.修改注册表： /在注册表中添加下列启动项： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添加键值：KV2004 = microsoft.exe 这样，在Windows启动时，病毒就可以自动执行。 /病毒通过修改下列注册表键值，修改文件关联： HKEY_CLASSES_ROOT\txtfile\shell\open\command 修改为： = c:\windows\winsoft %1 这样，用户打开任何txt文件，都会再次运行病毒程序。 造成这种情况的原因是U盘中了U盘Autorun病毒，并且即使将里面的文件全部删掉下次再用也照样中毒。解决办法是这样的：1.打开任务管理器，将名为XP****的进程结束（这个进程是以XP开头的，后面数字不确定） 2.将文件夹选项设定为“显示隐藏文件夹”和反选“隐藏受保护的系统文件（推荐）”，点击“应用”和“确定”，就