病毒茶几

软件与生俱来的＂杯具＂——后门 前面我们认识了脚本病毒、宏病毒,除此之外你还会看到杀毒软件的另一种常带有＂backdoor.win32＂前缀名字的病毒（见图）,通过之前的了解,我们知道后面的不同命名指的是病毒发现者对它的个性命名以及变种名。前面的win32表示是一种感染山indows32位系统的病毒,而bockdoor标明了这是一种后门病毒。     

我用KV杀病毒

病毒名称：Worm／Sachiel．d 病毒类型：宏病毒 病毒长度：12.800 bytes 感染对象：网络蠕虫 病毒描述：Worm／Sachiel．d病毒主要通过软盘驱动器进行传播。当病毒运行后，会在除各个驱动器的根目录以外的位置搜索．gif,．htm，．html或者．JPg，．jpeg类型的文件，如果找到病毒会将自身以同样的文件名后加上．pif或者．scr的双扩展名复制过去。还会删除．pwl类型的文件。如果病毒运行在Windows95／98／Me系统下，它会修改win．ini文件的[Windows]项.     

我用KV杀病毒

病毒名称:w97m/thus.a病毒类型:宏病毒病毒长度:1,128bytes感染对象:word97文档病毒描述:此病毒会在用户关闭、打开或者创建文档时感染word的模板。如果当前系统日期是12月13日的话,此病毒会删除被感染机器的C:\目录下的所有文件及文件夹。病毒名称:W97M/Nottice病毒类型:宏病毒发作日期:12月13日病毒描述:W97M/Nottice是一种宏病毒,它可以感染模板文件,并在用户对文档进行关闭时感染Word文档。该病毒会在12月13日发作,当其发作时会自动打开一个新的Word文档,并显示一条拼写错误的信息:IMPOR-TAT NOTTICE![...]IS MARRIED WI…     

EXE格式视频中毒后的处理

正Q:我在系统还未安装杀毒软件的情况下拷贝了一个EXE格式的视频,安装杀毒软件后报告此视频文件感染了win32.parite.H病毒,清除病毒将会导致视频文件无法打开,我现在还保存有原视频文件的压缩包。请问,这种情况应该如何解决?A:首先做好原视频文件的备份,然后尝试搜索该病毒的专杀工具进行查杀,如果查杀后仍出现视频文件损坏,可以考虑使用虚拟机来播放带毒的视频文件,再将其转录为正常安全的视频,复制到主机中。完成     

紧急升级病毒库——防阻新欢乐时光

6月25日获悉,北京某些高校校内一半以上的计算机都已经被“新欢乐时光”病毒感染。据称仅仅北京邮电大学就有60%以上的联网计算机披感染,未联网的计算机也通过文件拷贝的方式被感染了40%以上。同时,清华大学、广州中山大学、上海复旦大学等高校的计算机也有不同程度的感染。另外,一些大公司局域网用计算机也被大面积感染,被感染后的机器系统资源被大量消耗,速度变慢。为什么“新欢乐时光”病毒作为典型的互联网病毒相对于传统的病毒更难于防范?主要原因在于:首先此病毒每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次该病毒虽然不会主动发送电子邮件!但是它修改了系统中 OutLook 2000/XP 与Outlook Express 的设置,感染全部 html 格式的信纸,当计算机用户发送邮件时,病毒会自动附在邮件信纸中,隐蔽性更强;第三,在局域网环境中由于它寄生在     

病毒晴雨表

病毒名称:Funlove病毒类型:文件型病毒病毒特征:病毒主要感染Win9x 和 WinNT 4.0的 Win32 PE 文件,如,exe、.scr 和.ocx 文件。当该病毒首次运行时,会在系统SYSTEM 目录下生成一个名为FLCSS.EXE 的文件,然后感染所有的.exe、.scr 和.ocx 文件,而且Explorer.exe 也会在 NT 系统重新启动后被感染。这个病毒还会修政Ntoskrnl.exe 和 Ntldr 等 NT 系统文件,并通过这种方式实现在下次系统重启动后拥有 NT 系统的所有通道。然后它就会定期地检查网络上的写通道,通过网络映射感染共享网络驱动器上的.exe、.scr 和.ocx 文件。但到目前为止还没有发现这个     

遭遇病毒启示录

大家遭遇过—个叫做win32.funlove.4099的病毒吗?该病毒通过网络传播,专门感染Windows32/9x/NT下的可执行文件,其生命力很强,虽然没有明显的破坏力,但是却可以明显减慢机器运行速度,而且对网络服务器有着较大的威胁,因为它可以使一般用户具有管理员的权限。该病毒的     

计算机病毒(2)

计算机病毒可按照其感染系统的方式进行分类: 文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,因此这种病毒在运行程序时即被激活。当这种病毒被激活时,它就传播给其它程序文件。 引导扇区病毒:引导扇区是硬盘的一部分,当开机时它便控制操作系统如何动作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存,病毒一旦进入内存,就可以传播给其它磁盘。     

反病毒公告

病毒分析: 此病毒发现于云南地区(由本网云南网员率先提供),它被命名为CHQ1。这是一种启动型的病毒,传染软盘的BOOT引导区,硬盘的主引导区。该病毒在对磁盘进行读写以及复位等操作时实施传染。当用被病毒传染的软盘或硬盘启动时,病毒首先进入系统并抢占系统高端的2K内存驻留,然后引导正常系统启动,该病毒截取磁盘读写中断INT 13H以获取控制权。CHQ1病毒无明显的触发条件和表现症状。被感染的硬     

我用KV杀病毒

此病毒会在用户关闭、打开或者创建文档时感染Word的模板。如果当前系统日期是12月13日的话．此病毒会删除被感染机器的C：＼目录下的所有文件及文件夹。     

NICE DAY病毒的特点与杀除

最近,笔者在系机房发现了一种新的系统型病毒,用KILL68和CPAV都查不出.此病毒编得相当简洁,整个病毒的有效代码不足450字节.通过分析病毒程序发现此病毒只对A驱动器内的磁盘和硬盘C进行感染,每月的一号当病毒调用INT13H读写有错或用染毒硬盘引导或感染完硬盘,病毒即发作.病毒发作时在屏幕缓冲区第二页B800:3CH处填写“HAVE A NICE DAY(c)YMP”,故笔者给它命名为NICE DAY VIRUS.若用带毒的磁盘引导系统,病毒修改0:413H单元的值将内存减少两K,并将病毒体移至高端(对于640K机器)9F80:0H处开始存放,修改INT 13H向量指向9F80:0DH,原INT 13H的向量存放于病毒体偏移9H处,病毒的INT 13H主要工作是处理感染A驱软盘和发     

反病毒公告

病毒分析: 此病毒发现于云南地区(由本网云南网员率先提供),它被命名为CHQ1。这是一种启动型的病毒,传染软盘的BOOT引导区,硬盘的主引导区。该病毒在对磁盘进行读写以及复位等操作时实施传染。当用被病毒传染的软盘或硬盘启动时,病毒首先进入系统并抢占系统高端的2K内存驻留,然后引导正常系统启动,该病毒截取磁盘读写中断INT 13H以获取控制权。CHQ1病毒无明显的触发条件和表现症状。被感染的硬盘无明显破坏,但对软盘目录区有潜在的破坏作用。     

KILL全球病毒监测网

幸运2000病毒幸运2000是一个visulaBasicScript（VBS）覆盖型病毒。它能够感染当前目录下所有的文件。此病毒在感染过程中,会用病毒体覆盖原文件的全部内容,但不改变原文件名。这样使所有被感染文件再世不能使用和恢复。此病毒每次运行时有50％的概率将显示消息：“Thisisouend…”,同时会在IE最喜欢的站点（favoritelist）中生成一个与俄罗斯的WEB服务器的快速访问（shortcut）。幸运2000病毒传播范围较广,它能够在WindoWs95／98／2000和WindowsNT4系统中传播。·Prettypark蠕虫此蠕虫病毒通过电子邮件方式传播。当用户收到的邮…     

我用KV杀病毒

病毒描述：WM／Mdma是一种宏病毒，它可以感染模板文件，并在用户对文档进行关闭时感染Word文档。由于病毒自身存在的一些错误，它总是假定自己运行在Windows95系统下。     

病毒晴雨表

病毒名称:W97M/Salim.A病毒类型:宏病毒,蠕虫病毒特征:W97M/Salim.A 通过在线聊天系统传播。它依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒被激活,当染毒文档被关闭时,病毒的宏将运行.病毒将在 C 盘根目录生成文件 Salim_se.doc 和 Win32Drv.doc。解决方案:Kill 19.05版可检测并消除该病毒.病毒名称:FROJ_QZAP.1026病毒类型:特洛伊木马病毒特征:此病毒用 PKLITE 压缩。一旦执行,会删除硬盘分区,使得重启动后无法找到硬盘.解决方案:要使硬盘可用,请完成下列操作:用启动盘启动;使用 FDISK.EXE 创建硬盘分区;使用 FORMAT.EXE 格式化硬盘;重装系统。病毒名称:VBS_TTFLOADER.A病毒类型:VBScript病毒特征:此病毒通过聊天室传播,感染用户     

我用KV杀病毒

病毒名称:W97M/FF.b病毒类型:宏病毒爆发时间:每月1号感染对象:W ord97病毒描述:这是一个W ord97的宏病毒,可以在用户打开被感染的W ord文档时感染Norm al.dot模板,此时如果用户再去打开正常文档时也会被感染。病毒会关闭W ord的宏病毒保护功能,用户也无法进行宏编辑。此病毒会在C盘根目录下生成一个FF.SYS文件。它在每月1号发作,发作时可以修改系统的M SDOS.SYS文件,导致系统无法正常启动。解决方案:1.为防止该病毒的传播和破坏,建议用户保持对KV反病毒软件版本的更新,开启各项监视功能,尤其是KV的“Office文档监视”。2.建议…     

电脑大玩家

拨开迷雾这个分区到底有什么用 通过上面操作,我们知道这个分区保存的主要是系统启动文件,显然它的主要作用就是用于启动系统。win7一改以前版本将启动文件和系统目录共存的方式,通过一个隐藏小分区来单独存放启动文件,这样能更好地保护系统启动不受影响。由于是隐藏分区,病毒或者用户误操作都不会对系统启动造成影响。     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

1091病毒的内部剖析

笔者最近在机器上发现一种怪现象,用DIR等读盘命令时,屏幕出现严重的抖动现象并拌有不规则的读盘声音,便怀疑是病毒作怪。使用KV300(B+)没发现病毒,但仍不放心。于是重新用干净的系统盘启动,然后用DEBUG去查看COMMANDCOM(DOS6。22)。果然发现有一段外壳程序,但是用DEBUG是不可能跟踪的,选用SOFT—ICE来跟踪它,才发现这是一个设计巧妙的病毒程序。 该病毒属于文件型外壳病毒,属于恶性病毒,它修改DOS中断,降低系统速度,更严重的是,当有读盘动作时,便触发病毒,感染当前工作路径下所有的COM和EXE文件。虽然此病毒长度为443H(1091)     

半月病毒播报

“跳转流氓”（win32．troj．egstartpage．28672） 这是一个流氓广告程序。它会将用户的主页修改为某些网站的地址。用户启动IE时就会被引导到这一网站,随后又眺转至其它广告站点。近期“跳转流氓”（win32．troj．egsrartpage．28672）的感染量迅速反弹,并逼近20万台次。