電子科技大學(xué)防火墻病毒第3章 常見病毒與防治

1、第三章 常見病毒與預(yù)防,宏病毒、CIH病毒、蠕蟲病毒、Happy99、愛蟲病毒、Nimda、沖擊波病毒,第三章 常見病毒與預(yù)防,宏病毒：所謂宏是為避免重復(fù)同樣的工作而設(shè)計的一種工具。起源：MicroSoft Word，利用軟件支持的宏命令編寫的可復(fù)制、感染的宏。特點：跨平臺、相對簡單、不感染com exe文件、通過Doc Dot文件進(jìn)行自我復(fù)制和傳播,第三章 常見病毒與預(yù)防,宏病毒：特征：傳播快：使用廣泛制作變種快：易于修

2、改多平臺,第三章 常見病毒與預(yù)防,宏病毒：癥狀：打開文檔或模板文件時激活包含AutoOpen AutoClose AutoNew AutoExit包含對文檔讀寫命令Doc Dot中以BEF(Binery File Format)格式存放將文檔改為模板，但不改變擴(kuò)展名不能用SaveAs打開激活，復(fù)制到Normal.dot通用模板中。,第三章 常見病毒與預(yù)防,宏病毒：作用機(jī)制Word文檔中含有代碼、數(shù)據(jù)。該代碼可以被W

3、ord解釋執(zhí)行。Word文檔通過模板建立。缺省為Normal.dot。Word中每個操作都對應(yīng)一個宏命令，如：FileSave FileSaveAs。打開文件時，檢查AutoOpen是否存在。存在則執(zhí)行。AutoClose在文件關(guān)閉時執(zhí)行。含病毒代碼的宏將其移植到通用模板的代碼段。Word啟動時打開通用模板，該宏替代正常的宏，用戶調(diào)用后進(jìn)行非法操作。,第三章 常見病毒與預(yù)防,宏病毒：傳播途徑：軟盤交流的文檔硬盤感染光盤攜帶In

4、ternet下載BBS交流電子郵件附件,第三章 常見病毒與預(yù)防,宏病毒：清除手工：打開宏菜單，從Normal.dot中刪除可疑的宏打開帶有宏病毒的文檔，打開宏菜單清除保存清潔文檔軟件清除,第三章 常見病毒與預(yù)防,Concept 病毒（又稱Prank）    當(dāng)?shù)谝淮伟l(fā)現(xiàn)Word 感染該病毒時，會出現(xiàn)一個對話框，對話框中的文本只有一個“1”，按鈕也只有一個“OK”鍵（在中文環(huán)境中為

5、“確定”鍵）。病毒加載之后，就會修改【文件】菜單的【保存】命令所代表的宏，然后在每次保存文件的時候，就會將病毒保存到文件中。    受此病毒感染后，所編輯的文檔只能按模板格式保存。Concept 病毒不會造成文件數(shù)據(jù)丟失。其癥狀是Word 的Normal 模板中會出現(xiàn)兩個名字為AAAZAO 和AAAZFS 的宏命令，如圖13-1 所示。另外還有一個PayLoad 宏，該宏只包含一句話“這足以證明

6、我的觀點（That’s enough to prove my point.）”，而不做其他事情。,第三章 常見病毒與預(yù)防,雖然Concept 在這個宏里面沒有包含任何內(nèi)容，但是任何一個對宏有一定了解的人都可以修改這個宏，做一些可怕的事情，例如刪除某些文件，修改磁盤上的一些關(guān)鍵參數(shù)或生成另外的一個更可怕的病毒。因此，雖然可以認(rèn)為Concept 是良性病毒，但是必須注意，它隨時都可以變成惡性病毒（這也是其他病毒發(fā)展的必然過程）。,第三章 常

7、見病毒與預(yù)防,Nuclear 病毒該病毒會對文檔打印功能造成破壞，并會破壞MS-DOS 系統(tǒng)文件。感染該病毒后，Word 的Normal 模板將出現(xiàn)以下宏命令：AutoExec、 AutoOpen、DropSuriv、FileExit、FilePrint、FilePrintDefault、 FileSaveAs、InsertPayLoad、PayLoad，如圖13-2 所示。     Nuc

8、lear 宏病毒可能造成以下危害：    （1）如果在任何時間的55~57 秒之間操作文件，病毒會在打印的文檔上加入“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC （停止法國在太平洋的所有核試驗）”這句話。    （2）如果在下午5 點~6 點（系統(tǒng)時間）打開感染了Nuclear 病毒的文件，這臺計算機(jī)將被

9、PH33R 病毒感染，PH33R 病毒會產(chǎn)生一個 DOS 駐留程序。    （3）每年4 月5 日，Nuclear 病毒會將計算機(jī)中的IO.SYS 和 MSDOS.SYS 兩個文件的長度置為零，并刪除COMMOND.COM 文件，使 DOS 無法啟動。,第三章 常見病毒與預(yù)防,圖片來自滾石咨詢,第三章 常見病毒與預(yù)防,DMV 病毒    該病毒與Conc

10、ept 病毒類似，使Word 中的【另存為】命令無效13.2.4 宏病毒的一些變種    從第一個宏病毒Concept 誕生到1998 年底，Word 宏病毒已經(jīng)出現(xiàn)了幾千個變種，其中不少是惡性病毒，但是萬變不離其宗，所有的病毒都需要在宏里面增加一個名字為“AutoLoad”的宏，下面介紹一些另外常見的宏病毒。1. Alliance    感染.D

11、OC 和.DOT 文件，僅在每月的2、7、11 和12 日感染和復(fù)制，并且屏幕顯示一個信息窗，提示用戶已感染病毒。2. Boom    感染德文版的MS Word 軟件的.DOC 和NORMAL.DOT 文件，每年的 3 月13 日13 時13 分13 秒發(fā)作，發(fā)作時胡亂更改菜單，顯示政治笑話。3. Clock：DE    感染德文版的MS Word

12、 軟件，在每月的1、2、13、21 和27 日，每個整點過后的5 分鐘發(fā)作，發(fā)作時將文件打開和存取功能交替顛倒，并產(chǎn)生混亂。4. Concept.F    基于Concept 病毒原型的宏病毒，病毒經(jīng)過自身加密，在每月的 16 日發(fā)作，發(fā)作時分別用“，”、“e”和“not”替換文本中所有的“.”、“a”和“and”，并且屏幕顯示一個信息窗，提示用戶已感染病毒。,圖片來自滾石咨詢,第三章 常見病

13、毒與預(yù)防,5. Concept.L    感染.DOC 和.DOT 文件，每月的17 日發(fā)作，發(fā)作時將刪除“C：” 根目錄下的有關(guān)文件，并且屏幕顯示一個信息窗，提示用戶已感染病毒。6. Helper    感染.DOC 和.DOT 文件，在每月的10 日發(fā)作，發(fā)作時所有經(jīng)過打開和創(chuàng)建操作后關(guān)閉的文件將被設(shè)置一個加密口令。7. Kompu 

14、   該病毒是一個使用了加密、隱性技術(shù)的宏病毒。感染.DOC 和.DOT 文件，在每月的6 日和8 日發(fā)作。發(fā)作時在屏幕上顯示一個信息窗，提示用戶輸入口令，用戶必須輸入“KOMM”以關(guān)閉此窗口，否則，病毒將通過打印機(jī)打印出混亂的信息。8. MDMA.A    每月的1 日發(fā)作，可感染多種操作系統(tǒng)（Windows、Windows 95、 Macintosh 和Wi

15、ndows NT），在Windows 3.x 下發(fā)作時，會在 AUTOEXEC.BAT 文件中加入“deltree /Y C:”的惡意指令，后果嚴(yán)重。9. MDMA.C    上述病毒的一個變種，每月的20 日后的任何一天都可能發(fā)作，可感染W(wǎng)indows、Windows 95 和Windows NT，設(shè)置密碼口令，刪除 C:\Windows\system\*.CPL 文件。,第三章 常見病毒與

16、預(yù)防,10. Nuclear.B    有三種可能的發(fā)作方式：    （1）4 月5 日，刪除Command.com 文件。    （2）17~18 日使用，釋放一個DOS 的可執(zhí)行文件病毒PH33R.1332。    （3）在某時某分的54~59 秒間打印文件時，將會加

17、入下面一行文字：“STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC（停止法國在太平洋的所有核試驗）”。11. Phardera    發(fā)作時屏幕顯示一個信息窗，干擾用戶正常工作，同時從【工具】菜單中刪除【宏】和【自定義】命令，阻礙用戶手工殺毒。12. Saver:DE    德文版宏病毒，4 月21 日發(fā)作

18、。13. Taiwan.Theatre    雙字節(jié)宏病毒，每月的1 日發(fā)作，破壞系統(tǒng)硬盤數(shù)據(jù)。14. TW-No.1（臺灣1 號）    每月的13 日發(fā)作，發(fā)作時在屏幕上顯示一個窗口，要求用戶做4 位數(shù)連乘，若做錯，將連續(xù)打開窗口，讓用戶繼續(xù)做題，由于系統(tǒng)資源不斷消耗，系統(tǒng)運行速度將越來越慢。,第三章 常見病毒與預(yù)防,宏病毒：預(yù)防：將Norm

19、al.dot該為只讀提示保存選項關(guān)閉自動宏以宏制宏Word報警設(shè)置Normal.dot進(jìn)行密碼保護(hù)加裝殺毒軟件,第三章 常見病毒與預(yù)防,CIH病毒：破壞硬件系統(tǒng)的病毒由臺灣大學(xué)生陳盈豪編寫，由1.0～1.4五個版本1.0不具破壞性1.1可以自動判斷運行的系統(tǒng)，隱蔽1.2增加了破壞硬盤及BIOS的代碼，可以感染ZIP文件，使其解壓錯誤，發(fā)作時間4月26日1.3不感染ZIP自解壓文件，時間為6月26日1.4修改了發(fā)

20、作器及病毒的版權(quán)信息，時間為每個月26日,第三章 常見病毒與預(yù)防,CIH病毒：破壞作用從硬盤主引導(dǎo)區(qū)開始依次寫入垃圾數(shù)據(jù)，直到全部破壞，癥狀就是硬盤轉(zhuǎn)動不停最大破壞作用就是對系統(tǒng)主機(jī)BIOS的破壞。向BIOS寫入垃圾數(shù)據(jù)，造成無法啟動。主要針對EEPROM,第三章 常見病毒與預(yù)防,CIH病毒作用機(jī)理屬文件型病毒，使用VXD技術(shù)。主要感染W(wǎng)IN9X可執(zhí)行文件修改INT3中斷指向CIH INT3程序自身產(chǎn)生INT3終端獲取最高級

21、別的CPU使用權(quán)限判斷DR0=0? 0:一由CIH駐留，否則感染使用VXD技術(shù)分配內(nèi)存從被感染的文件中組合起來調(diào)入內(nèi)存在進(jìn)入INT3調(diào)用INT20來截獲文件調(diào)用操作，保留Ring0文件I/O入口地址，便于它的調(diào)用，駐留內(nèi)存如果是PE格式文件，將自身分解插入文件空白區(qū)，并修改文件執(zhí)行參數(shù)，使其首先指向CIH病毒體,第三章 常見病毒與預(yù)防,CIH病毒：防治安裝具體查解壓文件病毒和實時監(jiān)控病毒的反病毒軟件將硬盤分區(qū)，將重要數(shù)據(jù)

22、放在D以后的分區(qū)，這樣可以通過修復(fù)分區(qū)表的方式修復(fù)數(shù)據(jù)備份重要數(shù)據(jù)，不使用不明來歷的軟件和光盤CIH病毒免疫，復(fù)制病毒“感染標(biāo)記”。,第三章 常見病毒與預(yù)防,CIH病毒補(bǔ)救BIOS修復(fù)更換、寫入、熱插拔（使用其它BIOS啟動后拔下，更換）硬盤修復(fù)復(fù)制相同分區(qū)其它硬盤的分區(qū)表，進(jìn)行修復(fù)Final recoveryEasy recovery只能修復(fù)未被破壞的數(shù)據(jù),第三章 常見病毒與預(yù)防,蠕蟲病毒Explore網(wǎng)絡(luò)蠕蟲

23、通過EMAIL附件方式傳送，復(fù)制出一個Explore.exe文件，修改Win.ini，NT下則修改注冊表。通過激活OutLook，OutLook Express，Ms Exchange發(fā)送函數(shù)來實現(xiàn)。具體內(nèi)容：“I receive your email and I shall send you a replay ASAP, till then take a look at the attached zipped docs”。主題不定

24、，附件名稱為：“Zipped_files.exe” 210，432BWinzip圖標(biāo)，運行時無法打開的錯誤信息,第三章 常見病毒與預(yù)防,蠕蟲病毒破壞性竊取口令，盜取特權(quán)，借用OS的錯誤和漏洞。通過網(wǎng)絡(luò)復(fù)制自己，不感染文件，重寫內(nèi)存特定區(qū)。搶奪系統(tǒng)資源，影響系統(tǒng)效率，后果可能造成系統(tǒng)崩潰。發(fā)作后：尋找c ccp l asm doc xls ppt 文件，將字節(jié)數(shù)設(shè)置為0變種后可能破壞所有類型的文件。,第三章 常見病毒與預(yù)防,蠕

25、蟲病毒引導(dǎo)和傳染過程將自己復(fù)制到c:\windows\system 或 c:\windows\system32下改名為explore.exe修改win.ini 加入 “run= c:\windows\system\explore.exe”NT system : “HKEY_CURRENT_USER\Software\Microsoft\windows\windowsNT\CurrentVersion\windows” 將Run值

26、該為“C:\WinNT\System32\Explore.exe”,第三章 常見病毒與預(yù)防,蠕蟲病毒：防治軟件清除手工清除（WinNT）Regedit刪除Explore.exe,第三章 常見病毒與預(yù)防,Happy99病毒：1999年初，附件happy99.exe現(xiàn)象：自動打開一個名為“Happy New Year 1999”黑色背景的窗口，并不停放煙花。是偽裝成電子賀卡形式的蠕蟲文件：windows\system目錄下s

27、ka.exe ska.dll wsock32.ska，特點：字符串加密,第三章 常見病毒與預(yù)防,Happy99病毒引導(dǎo)Wsock32.dll 指向Wsock32.ska 修改connect.send入口地址為ska.exe相應(yīng)的功能模塊修改注冊表：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\runonce\ 添加“ska.exe = c:\wi

28、ndows\system\ska.exe”,第三章 常見病毒與預(yù)防,Happy99病毒：傳染發(fā)送EMAIL － 調(diào)用 Connect.Send － 調(diào)用ska.dll － 調(diào)用ska.exe 發(fā)送同一地址帶有附件happy99.exe預(yù)防不輕易執(zhí)行來歷不明的郵件附件將Wsock32.dll設(shè)置為只讀清除軟件手工：清除文件、清除注冊表,第三章 常見病毒與預(yù)防,愛蟲病毒2002年5月4日全球發(fā)作，借助母親節(jié)，開玩笑式。當(dāng)天

29、經(jīng)濟(jì)損失達(dá)10億美元。美國加州“電腦經(jīng)濟(jì)”研究機(jī)構(gòu)，指出，在第二天，有4500萬臺電腦中毒，經(jīng)濟(jì)損失達(dá)26億美元。特征：主題不定：I Love You，Joke，今晚見面喝咖啡等附件：VB編寫，刪除電腦上12種擴(kuò)展名的文件，然后逐一發(fā)送電子郵件。對象：win98，NT4.0，win95（ie5.0)，依賴于EXPRESS。APPLE， LINUX不感染,第三章 常見病毒與預(yù)防,第三章 常見病毒與預(yù)防,愛蟲病毒機(jī)制一種蠕蟲病毒

30、，通過電子郵件擴(kuò)散，10307字節(jié)，可導(dǎo)致網(wǎng)絡(luò)崩潰。來自菲律賓，馬尼拉。學(xué)生編寫?？梢詫ふ冶镜睾陀成潋?qū)動器，在所有目錄中尋找目標(biāo)破壞：覆蓋擴(kuò)展名為：vbs vbe js jse css wsh sct hta jpg jpeg mp2 mp3的文件；vbs擴(kuò)展名，例如：study.mp3 ? study.mp3.vbs(病毒體)擴(kuò)展名為mp2,mp3文件被隱藏傳播：發(fā)送郵件，通訊錄中每個地址郵件附件：Love_letter_

31、for_you.txt.vbs郵件主體：Kindly check the attached LOVE LETTER coming from me.,第三章 常見病毒與預(yù)防,愛蟲病毒：機(jī)制運行后在\WINDOWS\目錄下產(chǎn)生win32dll.vbs，在\WINDOWS\system\下產(chǎn)生mskernel32.vbs 和 LOVE_LETTER_FOR_YOU.txt.vbs(不同名稱的病毒體本身)修改注冊表：HKEY_LOCAL

32、_MACHINE\software\microsoft\windows\currentversion\Run\mskernel32 ? \windows\system\mskernel32.vbs\RunService\win32dll ?\windows\win32dll.vbs查找\windows\system\winfat32.exe,第三章 常見病毒與預(yù)防,愛蟲病毒機(jī)制(續(xù))查找win_bugsfix.exe，有則默認(rèn)為

33、“blank”。無則添加HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\win_bugsfix ? win_bufsfix.exe不存在則修改IE默認(rèn)項為（某個網(wǎng)站）http://www.skyinet.net/~/win_bugsfix.exe（已經(jīng)無效）可以利用mIRC軟件通過IRC通道傳播，給該通道的其他用戶發(fā)送HTM文件，打開后出現(xiàn)如下窗

34、口。防治：不要打開郵件附件，刪除郵件中毒后，與其他人（具有郵件地址的聯(lián)系人）聯(lián)系下載軟件關(guān)閉WIN95/98 VB腳本選項,第三章 常見病毒與預(yù)防,愛蟲病毒清除刪除所有染毒郵件刪除文件刪除注冊表項mp2, mp3文件恢復(fù)更改文件的隱藏屬性命令行：attrib –h *.mp2 / *.mp3,第三章 常見病毒與預(yù)防,惡性美麗殺變種病毒 - W97M.SKEPTIC 轟動全球的美麗殺（melissa）病毒導(dǎo)致

35、歐美等國家數(shù)十萬臺計算機(jī)遭到該病毒的攻擊，同時造成大量著名的網(wǎng)絡(luò)郵件服務(wù)器癱瘓；W97M.SKEPTIC:比美麗殺傳播更廣、更復(fù)雜的其變種惡性病毒。該病毒與美麗殺病毒非常相似，病毒以附件的方式通過電子郵件進(jìn)行自我擴(kuò)散，病毒查找Outlook用戶地址簿，自動地把感染的文件發(fā)送給地址簿的前60個用戶。郵件的主題是"Important　Message From "；郵件的內(nèi)容為"Look what I fo

36、und…"。,第三章 常見病毒與預(yù)防,惡性美麗殺變種病毒 - W97M.SKEPTIC 該病毒感染Microsoft Word 97的NORMAL.DOT模板和所有在感染系統(tǒng)中打開和創(chuàng)建的Word文件。病毒在注冊表"HKEY_CURRENT_USER\Software\Microsoft\Office\"中插入一名為"Sixtieth Skeptic"的注冊鍵并賦值為"Whe

37、reˊs Jamie？"。該病毒通過檢查該增加鍵名來判斷其自身是否通過email傳播?！　≡摬《驹贑盤根目錄下產(chǎn)生兩個文件："C:\SS.BAS"和"C:\SS.VBS"。 SS.BAS文件包含有加密的宏代碼。SS.VBS是一個VBScript程序文件，它可以在WSH（Windows Scripting Host）支持的系統(tǒng)運行。在缺省情況下，Windows 98 支持WSH系統(tǒng)。V

38、BScript文件SS.VBS創(chuàng)建一Word可運行目標(biāo)，然后用SS.BAS文件感染NORMAL.DOT文件.,第三章 常見病毒與預(yù)防,惡性美麗殺變種病毒 - W97M.SKEPTIC 該病毒在Windows系統(tǒng)注冊表　“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”中增加賦值為“C:\SS.VBS”的“Sixtieth Skeptic”注冊鍵。當(dāng)重新

39、啟動時系統(tǒng)會自動運行VBS程序?！　〈瞬《緜鞑バ詷O強(qiáng)，不易清除。它利用所有可能的方法進(jìn)行傳播和復(fù)制，例如作為email（60個地址）附件進(jìn)行傳播，感染NORMAL.DOT文件和所有打開過及新創(chuàng)建的文件，還可通過修改注冊表，在系統(tǒng)重新啟動時自動激活病毒體并發(fā)作。,第三章 常見病毒與預(yù)防,【ChinaByte 綜合消息】據(jù)控方提供的法庭文件顯示，因編 制“美麗殺”計算機(jī)病毒并對全球電腦網(wǎng)絡(luò)造成嚴(yán)重破壞而 受到起訴的大衛(wèi)·L&#

40、183;史密斯承認(rèn)，“美麗殺”病毒確實是 他所為。曾做過程序員的史密斯在4月1日被美國警方抓獲。 　　 新澤西州高級法院公布的由州司法部副部長巴布提供 的文件顯示，史密斯承認(rèn)是他編制了“美麗殺”宏病毒，非 法進(jìn)入美國在線以達(dá)到在網(wǎng)上傳播該病毒的目的，并且最后 毀壞了他用來傳播病毒的電腦。史密斯的辯護(hù)律師稱巴布文 件中的描述與事實不符，但他拒絕作進(jìn)一步說明。 　　 史密斯受到“擾亂公共通信”、“預(yù)謀破壞”和“企 圖破壞”等多項指控

41、，不過他對全部指控自辯無罪。他對另 外兩項較輕的指控，盜竊計算機(jī)服務(wù)和非法進(jìn)入計算機(jī)系統(tǒng) 也自辯無罪。 　　 如果州司法當(dāng)局的指控成立，史密斯將被最輕判處40 年監(jiān)禁和罰款48萬美元。史密斯在交納了10萬美元保釋金 后，迄今仍是自由之身。,第三章 常見病毒與預(yù)防,Nimda病毒沖擊波病毒：Msblaster.exe,第三章 常見病毒與預(yù)防,第三章 常見病毒與預(yù)防,第三章 常見病毒與預(yù)防,沖擊波病毒攻擊對象Windows2000

42、、windows XP、windows server2003現(xiàn)象系統(tǒng)資源被大量占用有時出現(xiàn)RPC服務(wù)終止的對話框系統(tǒng)反復(fù)啟動不能收發(fā)郵件不能正常復(fù)制文件不能瀏覽網(wǎng)頁復(fù)制、粘貼操作受到嚴(yán)重影響DNS、IIS服務(wù)遭到非法拒絕,第三章 常見病毒與預(yù)防,沖擊波病毒機(jī)理復(fù)制自身到Windows目錄下，名稱為msblast.exe建立名稱為的BILLY互斥量運行時，內(nèi)存出現(xiàn)msblast.exe的進(jìn)程在注冊表的HKEY_

43、LOCAL_MACHINE\software\Microsoft\windows\currentversion\run 鍵下添加 windowsautoupdate = msblast.exe間隔20秒檢測一次網(wǎng)絡(luò)，可用時建立TFTP服務(wù)器，UDP/69端口啟動攻擊傳播線程，攻擊隨機(jī)IP地址，首先是子網(wǎng)內(nèi),第三章 常見病毒與預(yù)防,沖擊波病毒機(jī)理向?qū)Ψ絋CP/135端口發(fā)送攻擊數(shù)據(jù)135端口主要用于使用RPC（Remote

44、60;Procedure Call，遠(yuǎn)程過程調(diào)用）協(xié)議并提供DCOM（分布式組件對象模型）服務(wù)。攻擊成功后，建立TCP/4444端口的后門，并綁定cmd.exe，蠕蟲連接到這個端口，發(fā)送TFTP命令，回連到發(fā)起攻擊的主機(jī)，將msblast.exe傳送到目標(biāo)主機(jī)攻擊失敗時會導(dǎo)致RPC服務(wù)崩潰，系統(tǒng)重新啟動8月之后、或每月15日之后，向微軟更新站點發(fā)起攻擊，導(dǎo)致該站點拒絕服務(wù)。,第三章 常見病毒與預(yù)防,震蕩波 (Worm.S

45、asser)”病毒通過微軟的高危漏洞 —LSASS 漏洞(微軟MS04-011 公告)進(jìn)行傳播，危害性極大，WINDOWS 2000/XP/Server 2003 等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。 現(xiàn)象：一、對話框,第三章 常見病毒與預(yù)防,第三章 常見病毒與預(yù)防,二、系統(tǒng)日志中出現(xiàn)相應(yīng)記錄 　　如果用戶無法確定自己的電腦是否出現(xiàn)過上述的異?？蚧蛳到y(tǒng)重啟提示，還可以通過查看

46、系統(tǒng)日志的辦法確定是否中毒。方法是，運行事件查看器程序，查看其中系統(tǒng)日志，如果出現(xiàn)如下圖所示的日志記錄，則證明已經(jīng)中毒。,第三章 常見病毒與預(yù)防,三、系統(tǒng)資源被大量占用 　　病毒如果攻擊成功，則會占用大量系統(tǒng)資源，使CPU占用率達(dá)到100%，出現(xiàn)電腦運行異常緩慢的現(xiàn)象。 四、內(nèi)存中出現(xiàn)名為 avserve 的進(jìn)程 　　病毒如果攻擊成功，會在內(nèi)存中產(chǎn)生名為 avserve.exe 的進(jìn)程，用戶可以用Ctrl+Shift+Esc

47、 的方式調(diào)用“任務(wù)管理器”，然后查看是內(nèi)存里是否存在上述病毒進(jìn)程。 五、系統(tǒng)目錄中出現(xiàn)名為 avserve.exe 的病毒文件 　　病毒如果攻擊成功，會在系統(tǒng)安裝目錄（默認(rèn)為 C:\\WINNT ）下產(chǎn)生一個名為avserve.exe 的病毒文件。,第三章 常見病毒與預(yù)防,六、注冊表中出現(xiàn)病毒鍵值 　　病毒如果攻擊成功，會在注冊表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windo

48、ws\\CurrentVersion\\Run 項中建立病毒鍵值： "avserve.exe "="%WINDOWS%\\avserve.exe " 。 此蠕蟲病毒利用微軟操作系統(tǒng)的緩沖區(qū)溢出漏洞（ MS04-011 ）進(jìn)行遠(yuǎn)程主動攻擊和傳染，導(dǎo)致系統(tǒng)異常和網(wǎng)絡(luò)嚴(yán)重?fù)砣?，具有極強(qiáng)的危害性。,第三章 常見病毒與預(yù)防,手動清除　 （1） 打開注冊表編輯器,刪除如下鍵值: HKLM\\Softw

49、are\\Microsoft\\Windows\\CurrentVersion\\Run " avserve.exe "="%WINDOWS%\\avserve.exe "　 （2） 打開任務(wù)管理器查看是否存在進(jìn)程名為: avserve.exe,終止它　 （3）刪除%WINDOWS%\\avserve.exe 注%WINDOWS% 是指系統(tǒng)的windows目錄，在Windows 9X/ME