连环追击查杀网页病毒及后遗症一
日期:2007-03-26 荐:
上网的时候不注意打开一个网址,在不知觉的情况下,病毒可能已经悄悄进驻了电脑,这些病毒会使IE不停的弹出窗口,IE主页被修改等等,严重的对系统性能也会造成非常大的影响。IE病毒清除起来还是比较容易,但是清除后安全工具不能完成恢复IE的设置,所以杀毒后的IE也会有很多的故障,这些问题在本文中我们都将要讲到。下面就让我们一起走进网页病毒的世界。 什么是网页病毒 网页病毒是利用网页来进行破坏的病毒,它使用一些SCRIPT语言编写的一些恶意代码利用IE的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防。 目前的网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机,进行本地的写操作,如改写你的注册表,在你的本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。 网页病毒的性质及特点 这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有该病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。 网页病毒的种类。根据目前互联网上流行的常见网页病毒的作用对象及表现特征,归纳为以下两大种类: 网页病毒的攻击方式 既然是网页病毒,那么很简单的说,它就是一个网页,但在这个网页运行与本地时,它所执行的操作就不仅仅是下载后再读出,伴随着前者的操作背后,还有这病毒原体软件的下载,或是木马的下载,然后执行,悄悄地修改你的注册表,等等…那么,这类网页都有什么特征呢? (1)美丽的网页名称,以及利用浏览者的无知 (2)利用浏览者的好奇心 (3)无意识的浏览者 网页病运行效果分析 这一节请看文章《恶意代码十三大症状及简单修复方法》这里有非常详细的介绍. 网页病毒基本预防手段 (1)现在上网的人几乎都有自己的QQ号,并且现在网页病毒很多都通过QQ来进行传播,所以当你的QQ好友给你发过来的是一段网址的时候,你一定要确认了才打开。否刚很可能是对方感染了病毒,在不知情的情况下病毒自动发送的信息。 (2)要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入,否则往往不经易间就会误入网页代码的圈套。 (3)升级你的IE到最高版本并装上所有的安全漏洞补丁。 (4)由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。 具体方法是:在IE窗口中点击"工具→Internet选项,在弹出的对话框中选择"安全"标签,再点击"自定义级别"按钮,就会弹出"安全设置"对话框,把其中所有ActiveX插件和控件以及Java相关全部选择"禁用"即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用 ActiveX的网站无法浏览。 (5)注意信件预览功能 从上述病毒得知,若信件夹带恶性的HTML/Script语言时即可能会自动执行。因此,即使我们收到的有毒电子邮件并不夹带文件,依然有可能会感染病毒。若您是时常收取病毒信件或文件的高风险群,可以考虑将信件预览功能关闭。 (6)下载微软最新的Microsoft Windows Script (7)安装病毒防火墙,一般的杀毒软件都自带.打开网页监控和脚本监控 (8)请经常升级你的杀毒软件病毒库,让他们能及时的查出藏在你计算机内的病毒残体。经常性的做全机的扫描检查。 (9)小心来历不明的信件 平时难免会收到很多的信;例如贺卡、广告信等,病毒信件也可能夹带其中,若您收到信件主题是 “HI”、”How are You” 等基本问候,而信件内容是简短的讯息,即使发件人是您熟知的朋友或同事都必须要特别小心。因为很有可能是他们中毒了,将病毒邮件在不知道的情况下发送了您。 逐个认识IE病毒 从尼姆达病毒开始,新病毒广泛的利于了IE的Ifarme漏洞在用户预览或打开信件的时候自动运行,这种入侵方式大大的降低了用户中毒的门槛,使得病毒传播速度大大加快。之前广泛传播的爱虫和Sircam,只是利用社交工程诱使用户点击运行病毒,分别用了一个月和两周的时间才传播到全球范围,而尼姆达和求职信病毒只用了三天和几个小时的时间就达到同样的效果,不能不说IE的Ifarme漏洞在这其中“居功至伟”,这类利用IE漏洞的病毒从去年到今年层出不穷,给我们平时的上网生活与工作带来诸多危险,让我们现在就来逐个认识此类病毒,为防范新病毒做好准备。 2001年09月18日“尼姆达” 变种家族nimda-nimda.e 被发现,第一个利用IE的Ifarme漏洞的病毒 2001年10月30日 变种Nimda.E 出现有史以来传播方式最多的病毒。 病毒特征:只要一预览邮件立刻中毒,同时读取用户信件,取出SMTP地址、邮箱地址,利用这些地址将带有蠕虫病毒信件对外发送,而且在局域网内传播。该病毒还能通过“即时聊天”以及“FTP程序”传播具有极高的传染性。它利用微软的Unicode漏洞采用类似“CodeBlue”蠕虫的攻击方式对外随机攻击网站。 “求职信”变种家族Wantjob(Klez.a-Klez.H) 2001年10月26日 Klez.A 2002年1月23日 Klez.F 2002年4月16日 Klez.k,Klezh 有史以来传播最广泛的病毒。
病毒特征:通过隐藏在邮件附件中进行传播,是用Visual C 编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外,它还会在临时文件夹中创建一个Windows EXE文件,文件名以K开头,如KB180.exe,然后将Win32.Klez病毒写入此文件内。 利用的是IE的Iframe漏洞,预览后即会中毒。病毒会利用SMTP协议向外发送病毒邮件,邮件主题从病毒体的列表中随机选取一个:同时会向网络邻居的共享可写目录中写入病毒文件进行传播。 每逢偶数月的第13日,该蠕虫会自动运行,且覆盖被感染机器可用磁盘的所有文件,文件被覆盖后无法恢复,只有从备份中才能重新得到。 2001年10月25日 出现 “本.拉登” win32. BINLADEN 通过搜索ICQ网站来取得邮件地址,使用匿名的方式采用SMTP协议发送带毒邮件。该病毒利用了IFRAME漏洞。当我们预览含有病毒邮件时,病毒邮件体内脚本w代码在将被执行,如果计算机上所使用的Outlook浏览器存在该漏洞,计算机将被感染。 邮件带有一份名为BINLADEN_BRASIL.EXE的附件,该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后,若Outlook存在漏洞的话,Outlook会认为该附件是一个声音文件而直接执行它 “挨立滋”病毒Worm.Alizee 2001年11月22日 Alizee病毒被发现,利用IE的IFRAME漏洞来进行侵入和传播。 Alizee病毒通过电子邮件散布,其主题不固定,附件名为“whatever.exe”,它在人们预览邮件、甚至还没有正式开启时,就会通过IE的漏洞自动运行来感染系统。 感染后的系统会利用IE通讯簿,向外发送带毒邮件,会成企业邮件服务器堵塞。其危害手法实际上已经过时,但没有更新IE的用户,或者是没有下载最新病毒代码的用户仍可能感染这种病毒。 2001年11月27日“坏透了”Worm.Badtrans 被发现 利用IE的IFRAME漏洞来进行侵入和传播, 即使不点击其中的附件,Badtrans病毒就会自动执行 ,这种感染方式与其他许多大量发送电子邮件的病毒相似。Badtrans.B Badtrans.B病毒把自己伪装成回复的邮件,具有更高的欺骗性。它还在被感染的计算机系统上安装特 洛伊木马程序,使攻击者能够访问被感染的计算机系统,并将被感染系统的IP地址发给病毒的作者。 执行后,Badtrans.B病毒能够记录通过键盘输入的所有数据,收集到的数据以加密的方式存储在硬盘上。 携带Badtrans.B病毒的电子邮件的附件为.MP3、.DOC或.ZIP类型的文件,但实际上是带有.SCR或.PIF等后缀的双扩展名文件 2001年12月20日 “笑哈哈”Worm_Shoho.A或Welyah。首先出现在亚洲,该病毒是用Visual Basic编写的,病毒文件大小为110592字节。它是一种基于Windows的常驻内存型病毒,通过E-mail方式传播,利用IE的漏洞自动执行,并向Microsoft Outlook地址簿中的邮箱反复发送自身,还会随机删除当前目录下的文件,造成系统不能启动。 该网络蠕虫不使用Outlook程序设置的SMTP(发送邮件服务器)来发送邮件,而是使用自身的SMTP引擎来发送E-mail带病毒信件。 该蠕虫病毒利用的是Iframe漏洞,一旦预览或打开邮件,其附件程序readme.txt.........PIF就会自动运行。该病毒作者非常狡猾,他将这个附件的两个扩展名称txt和PIF之间输入了长达125个空格,一般人很难发现还有PIF扩展名存在。
标签: