贝革热病毒课件.pptVIP

贝革热病毒 主要内容 贝革热病毒的基本介绍 如何有效的防范贝革热病毒 贝革热病毒的基本介绍 一、贝革热病毒 贝革热病毒是于2004年1月18日爆发的通过电子邮件进行传播，运行后，在系统目录下生成自身的拷贝，修改注册表键值的一种宏病毒。  二、贝革热病毒的特点 病毒以染毒邮件的附件形式到达，需要用户手工运行才能发作和传播。病毒附件可能是一个带有口令的.ZIP文件，其密码就在邮件之中，或者是扩展名为.EXE， .SCR，.COM或.CPL的文件。病毒运行后在系统文件夹下生成多个病毒文件，修改注册表，以达到自启动的目的。另外，病毒可通过网络共享进行传播，终止一些安全相关的软件的运行，同时具有后门功能。  三、“贝革热”病毒及其变种特征 1、生成病毒文件 该病毒运行后可常驻内存，并在%system%文件夹中生成多个自身拷贝，名称如下：winxp.exe winxp.exeopen winxp.exeopenopen winxp.exeopenopenopen winxp.exeopenopenopenopen  ２、修改注册表 病毒修改注册表，以达到随系统启动而自动运行的目的，在　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：key = %System%\winxp.exe  ３、删除注册表键值 病毒从注册表的以下目录中删除一些包含特定字符的键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  ４、通过电子邮件进行传播 病毒使用自身的SMTP引擎进行传播。病毒会从特定扩展名的文件中收集邮件地址，并会略过含有特定字符串的邮件地址。  ５、通过共享传播 在利用网络共享进行传播方面，病毒会在名称中含有shar字符串的文件夹中生成以文件名特定命名的自身拷贝。  ６、后门功能 病毒具有后门能力。病毒可打开TCP和UDP的任意端口以侦听发自远程用户的命令。  ７、其它 病毒在传播时间上给自身做了限制，当系统日期为２００６年５月５日或以后时，病毒会终止自身的运行，并会删除其在注册表中创建的自启动项，但其生成的病毒拷贝仍残留在系统内，不会被删除。 如何有效的防范贝革热病毒 由于该病毒在传播时间上给自身做了限制，所以可先将系统日期修改为２００６年５月５日以后，在进行杀毒工作。  1、终止病毒进程 在Windows９x/ME系统，同时按下CTRL+ALT+DELETE 　在Windows NT/２０００/XP系统中，同时按下CTRL+SHIFT+ESC 选择任务管理器--〉进程，选中正在运行的病毒进程，并终止其运行。  2、注册表的恢复 点击开始--〉运行，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ，并删除面板右侧的key = %System%\winxp.exe  3、删除病毒文件 点击开始--〉查找--〉文件和文件夹，查找winxp.exe、winxp.exeopen、winxp.exeopenopen、winxp.exeopenopenopen、winxp.exeopenopenopenopen，将找到的文件删除。 4、运行杀毒软件对系统进行全面的病毒查杀。  Thank you!