2002年度十大流行病毒

五、相关软件下载

   
   1．“求职信”（Worm.Klez）病毒
    “求职信”病毒是自有计算机病毒已来的杰出代表。其不仅有英文版和中文版（Worm.Klez.cn.b）两种形式，并且有多个变种，其英文版就主要有Klez.K、Klez.L、Klez.H、Klez.G四个版本。此病毒有自己的SMTP引擎，具有极强的传播感染能力，可以通过电子邮件、局域网共享目录、磁盘传播、方式病毒感染等多种途径进行传播感染，并能自动获取用户地址薄中的信息乱发邮件，甚至每次发送的病毒邮件主题和内容都是随机的，危害程度极大。“求职信”病毒主要是利用了微软的Outlook和Outlook Express漏洞进行传播感染，因此如果在未打补丁的计算机中打开带毒邮件，邮件附件会自动运行，而且此病毒具有极高的智能，将遍历所有进程，杀掉对它有威胁的进程，还通过注册表和内存两方面破坏这些反病毒软件，并感染注册表中某些常用的已登记安装了的软件，保证病毒被激活。在Windows的Internet临时文件夹中搜寻对它有威胁的文件，找到后立即删除从而达到阻止用户上网升级或下载对付它的程序。并能够让系统变慢并阻塞网络流量，删除文件等恶性行为。因为“求职信”病毒具有传染渠道多，破坏力非常强的特点，其给全球众多企事业单位和个人电脑用户造成了巨大的经济损失。
    2．“杀手13”（Worm.KillOnce）病毒
    “杀手13”蠕虫病毒也可以在Windows 2000、Windows XP等操作系统环境下正常运行。在运行时会将自身写入系统目录及回收站，并通过修改注册表进行自启动，同时在局域网中进行疯狂传播，建立多个线程，干掉已知的反病毒软件，并用NET命令打开局域网上计算机的后门。12月13日，当此病毒爆发时，还会给被感染的计算机带来毁灭性的攻击：删除C盘全部目录和所有文件！
    3．“新娘”（Worm.bride）病毒
    “新娘”病毒是一个黑客程序，其可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接www.hotmail.com网站，假如无法连接到这个网站，则该病毒会休眠几分钟，然后修改注册表，并将自己加入注册表自启动项，病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件，病毒还能释放出FUNLOVE病毒感染局域网内的所有计算机，而且此病毒还能够杀掉已知的几十家反病毒软件，使这些反病毒软件失效。
    4．“怪物”（Worm.Bugbear-A）病毒
    “怪物”病毒是蠕虫病毒，危害性比较大，也非常具有“智能化”。主要破坏性表现为：监控电脑用户的键盘动作，并截获用户的登录名和密码；修改注册表，电脑用户开机时病毒被自动启动；自动搜索并杀掉它知道的反病毒软件的进程；向外界病毒客户端发送被感染用户的机密信息，如用户名和密码等等；并且“怪物”病毒会攻击打印机，只要它找到本地打印机或者网络打印机，就会随机打印二进制代码。并且“怪物”病毒具有极强的传播能力。它会利用局域网进行传播，只要是能找到的资源，都会被“怪物”感染，这些被感染的机器只要一启动，病毒就会随之启动。
    5．“汉城”（Worm.Winevar）病毒
    “汉城”病毒具有智能反跟踪技术，此蠕虫病毒携带FUNLOVE病毒进行传播感染。它同样可以在Windows 2000、Windows XP等操作系统环境下正常运行。病毒除了会删除NT系统的服务（如：NTICE、tcpip）外，更是会删除一些反病毒软件！病毒将自己本身复制到system32目录下，并改名为前三字母为win，扩展名为.pif的随机文件名。由于病毒本身做了反跟踪设计，当发现自己被跟踪时会弹出对话框：“what a foolish thing you have done!”，随即删除system32目录下的所有文件。病毒还会尝试从http://www.symantec.com/上下载文件，如果失败，病毒将放出funlove病毒并退出。病毒还利用邮件传播，并把自己复到到系统桌面上文件名为explorer.pif，同时删除各硬盘分区里的所有文件！
    6．“中国黑客”（Worm.runouce）病毒
    该病毒是一个蠕虫病毒。该病毒具有极强的局域网传染功能。病毒在被激活的过程中会把病毒体自身复制到系统目录中。通过各种方法来达到在内存中保护病毒进程的目的，并搜索网上邻居中的可写文件夹，然后在每个可写文件夹中都生成一个以计算机名命名的.eml文件。其变种中国黑客II用两套感染机制感染不同的操作系统平台；用多线程守护技术造成很多杀毒软件无法杀掉内存病毒；利用邮件的OUTLOOK地址簿传播自身；在局域网中的可写目录中写入病毒邮件进行局域网传播，严重阻塞网络流量。“中国黑客”病毒还可以象Nimda病毒那样感染脚本文件，通过脚本文件来执行病毒程序，并在被感染的脚本文件的目录下生成Readme.eml的病毒邮件。
    7．“爱情森林”（Trojan.sckiss）病毒
    “爱情森林”是木马病毒。此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ，在用户不知道的情况下向用户的好友发送一句消息：“http://sckiss.yeah.net 这个你去看看!很好看的”一旦登陆此网站，便会中毒。因为此网站的主页是一个恶意网页，此恶意网页是用JS脚本语言编写，利用了JAVA EXPLOIT漏洞，所以不经用户的允许，便可以悄悄自动下载“爱情森林”病毒并执行，它会自动下载“爱情森林”病毒并执行，从而对用户计算机造成破坏。
    8．“IRC克隆人”（Backdoor.IRC.Cloner.k）病毒
    “IRC克隆人”是后门病毒，该病毒运行时会放出5个核心病毒程序来感染系统，然后查找系统中的网络即时聊天工具mIRC,然后病毒利用这个软件的强大功能，将这个软件改造成一个功能强大的网络病毒服务器，可以实现端口扫描、邮件炸弹、Flood攻击、UDP攻击、ICQ页面炸弹、局域网文件传染、局域网消息炸弹等多种攻击，给网络上其它的计算机造成损失。
    9．“百变金刚”（Win32.Etap2）病毒
    “百变金刚”病毒是系统病毒，感染目标为系统中所有可执行文件，更为诡异的是该病毒可以对自己先压缩，再放大，而它的长度与代码的变化毫无规律可言。它是国外最知名的病毒组织“29A”的代表作之一。此病毒是可以跨平台的病毒，可以在Window系统和Linux系统下正常工作，同时该病毒也是一个复杂的变形病毒，它的变形引擎可以对自身进行彻底的重组，使以特征码为基础的传统杀毒方法不能彻底查杀。该病毒不但展示了在不同系统平台下运行的新技术，而且“百变金刚”也为了躲避反病毒软件的捕杀，其可以对大多数反病毒软件的主程序进行回避，在某种程度上代表了病毒的未来发展趋势。
    10．“红色结束符”（Script.RedLof.htm）病毒
    “红色结束符”病毒是一个脚本病毒，可以在Windows 9X、Windows 2000、Windows XP等操作系统环境下正常运行。它感染脚本类型的文件，运行时，全盘查找脚本类型的文件(vbs、htm、html等)，如果找到，则将病毒自身加入这些文件的尾部，完成感染。该病毒还会疯狂感染文件夹，会在感染的文件夹下产生两个文件，一个名为：desktop.ini的目录配置文件，一个名为：folder.htt的病毒体文件，当用户双击鼠标进入被感染的文件夹时，病毒就会被激活，由于病毒每激活一次，就会在内存中复制一次，所以当用户多次进入被感染的文件夹时，病毒就会大量进入内存，造成计算机运行速度越来越慢，而且该病毒还会随着信件模板，进行网络传播。
    摘自瑞星 

Nimda 蠕虫病毒及解决方案

  9月18日，一种更具破坏力的恶意代码--Nimda worm 蠕虫开始在Internet上迅速蔓延传播。  Nimda 蠕虫病毒感染Windows 系列多种计算机系统，通过多种渠道传播，其传播速度之快、影响范围之广、破坏力之强都超过Code Red II。
  目前已经检测到大量被感染的计算机系统，危害严重。9月20日下午，我校园网服务器遭到严重侵袭，导致网络堵塞并一度中断。为了确保校园见解安全可靠运行，提高抗攻击能力，特发此紧急通告，请校内各部门紧密关注。

  一、影响系统
   Windows95, 98,ME,NT 和2000 所有客户端和服务器系统。

  二、传播方式
  1.通过电子邮件从一个客户端感染另一个客户端。

  2.通过浏览器传播。浏览被感染的网站从Web 服务器感染客户端。
  3.通过开放的网络共享从一个客户端感染另一个客户端。
  4.通过主动扫描或利用"Microsoft IIS 4.0/5.0 directory traversal" 的缺陷" 从客户端感染Web 服务器。
  5.通过扫描 "Code Red" (IN-2001-09),和 "sadmind/IIS" (CA-2001-11) 留下的后门从客户端感染Web 服务器。
  三、病毒症状
   感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda病毒的邮件的拷贝。
   同样，客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒留下的后门：Code Red II [IN-2001-09]和sadmind/IIS  worm [CA-2001-11]； 它也试图利用IIS Directory Traversal 漏洞 (VU #111677)。
   初步分析表明, 该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可导致网络的"拒绝服务" (DoS)。感染的机器会发送一份Nimda病毒代码复本到任何在扫描中发现有漏洞的服务器。一旦在该服务器上运行，蠕虫就会遍历系统里的每一个目录（甚至包括所有通过共享文件可以读取得目录），然后会在磁盘里留下一份自身拷贝，取名为"README.EML"。一旦找到了含有web内容的目录（包含html或asp文件），并将一段 Javascript代码添加到每一个跟web有关的文件中。  这段代码使得蠕虫可以进一步繁衍，通过浏览器或浏览网络文件感染到新的客户端。

  作为感染过程的一部分，Nimda 更改所有的含有web内容的文件(象.htm、 .html和.asp等文件)。这样，任何用户浏览该文件，不管是通过浏览器还是网络，就可能会下载一份该病毒。有些浏览器会自动的执行下载动作，感染正在浏览该网站的机器。

  Nimda病毒生成大量的自身的复本，取名为README.EML, 写到该用户有可写权限的目录里。如果在另一台机器的用户通过网络共享选取病毒文件，并且设置了预览功能的话，蠕虫就会威胁到这台新的机器。
  四、处理办法

  1.暂时不要使用Outlook Express 和 Microsoft Outlook发送或接收电子邮件，更不要打开佰生人发送的电子邮件及附件。

  2.从校园网下载 Nimda 杀毒软件和 IE5.5 q290108.exe 补丁程序。 Windows 2000用户还需下载 SP2 和 SP3 补丁程序。 

  3.将本机与网络断开，运行Nimda 杀毒软件清除病毒（感染文件太多时，可多次运行此软件，直到将病毒清除干净）。

  4.待病毒完全清除后，安装IE5.5补丁程序。Windows 2000用户还需安装 sp2 和 sp3 补丁程序。这样可以阻止Nimda worm 蠕虫再度侵入。

  5.逐个清除htm、html或asp文件中的Java script代码：
 <script language="JavaScript">

  window.open("read me.eml", null," resizable=no,

top=6000,left=6000") </script>（一般在文件末尾）

  如按以上方法无效，可访问以下网站寻求解决办法：

  www.rising.com.cn     www.iduba.net 

  五、相关软件下载

  1.Windows 2000补丁程序 SP2 和 SP3 。

  2.IE5.01以上版补丁q290108 和IE6.0安装程序IE6setup。 

  3.Nimda worm 蠕虫杀毒软件 Duba_Concept 。

  4.被Nimda worm破坏后的文件修复工具 fixnimda2.0 。

  5.快乐时光杀毒软件 ScanHappy 。

  6.红色代码2号杀毒软件 Duba_CodeRed2 和 Killrc2 。

  7.蓝色代码杀毒软件天 DuBa_CodeBlue 。

  8.Sircam蠕虫杀毒软件 Duba_Sircam 。

  9.Funlove 杀毒软件 KillFunlove 。