2006年上半年十大病毒防治辦法如下:
一、灰鴿子
Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的后門。以“灰鴿子”變種cm為例,該變種運行后,會自我復制到系統(tǒng)目錄下。修改注冊表,實現(xiàn)開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載并執(zhí)行特定文件,發(fā)送用戶機密信息給黑客等。
解決辦法:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:運行REGEDIT命令打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\GrayPigeonServer ,將該鍵值刪除,然后進入 X:\windows(X:代表系統(tǒng)盤),設置顯示所有文件(或顯示隱藏文件),找到G_server.exe和G_server.dll以及G_server_hook.dll三個文件,正常模式下,無法刪除這三個文件,通過重啟電腦到安全模式下或使用第三方強力刪除工具將三個文件刪除。江民未知病毒檢測有效清除病毒文件。
二、傳奇竊賊
傳奇竊賊是專門竊取網絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行后,主程序文件自己復制到系統(tǒng)目錄下。修改注冊表,實現(xiàn)開機自啟。終止某些防火墻、殺毒軟件進程。病毒進程被終止后,會自動重啟。竊取“傳奇2”帳號密碼,并將盜取的信息發(fā)送給黑客。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:
在系統(tǒng)文件夾里面找到logo1_.exek文件并將其刪除。
三、高波和瑞波
高波: Backdoor/Agobot.** “高波”主要利用網絡弱密碼共享進行傳播的后門程序。該后門程序還可利用微軟DCOM RPC漏洞提升權限,允許黑客利用IRC通道遠程進入用戶計算機。該程序運行后,程序文件自我復制到系統(tǒng)目錄下,并修改注冊表,以實現(xiàn)程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道,偵聽黑客指令。
瑞波:該病毒經過多層壓縮加密殼處理,可以利用多種系統(tǒng)漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控制,成為"僵尸電腦"。由于此病毒會掃描感染目標,因此可以造成局域網擁堵。
高波:
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、高波手工清除:打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁,在系統(tǒng)目錄下找到病毒文件名為Medman.exe,并將其刪除。
瑞波手工清除:在系統(tǒng)目錄下找到病毒文件msxml32.exe,在注冊表中找到鍵值msxml32.exe,將其刪除。打上微軟MS03-007、MS03-026、MS04-011、MS04-031四個漏洞補丁。
四、CHM木馬:
CHM木馬利用IE瀏覽器MHTML跨安全區(qū)腳本執(zhí)行漏洞(MS03-014)的惡意網頁腳本,自從2003年以來,一直是國內最為流行的種植網頁木馬的惡意代碼類型,2005年下半年,泛濫趨勢稍有減弱,2006年上半年的感染數(shù)量仍然很大,沒有短期內消亡的跡象。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工防治:打上微軟MS03-014和MS04-023系統(tǒng)漏洞補丁,找到以下病毒和配置文件并將其刪除:
%SystemDir%\dllcache\pk.bin, 3680字節(jié),病毒配置文件
%SystemDir%\dllcache\phantom.exe, 393216字節(jié),病毒程序
%SystemDir%\dllcache\kw.dat, 803字節(jié),病毒配置文件
%SystemDir%\dllcache\phantomhk.dll, 8704字節(jié),病毒模塊
%SystemDir%\dllcache\phantomi.dll, 215040字節(jié),病毒模塊
%SystemDir%\dllcache\phantomwb.dll, 40960字節(jié),病毒模塊
在注冊表中定位到鍵值,并將該鍵值刪除。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe
五、wmf惡意文件
Exploit.MsWMF.a“WMF漏洞利用者”變種a是一個利用微軟MS06-001漏洞進行傳播的木馬。如果用戶使用未打補丁的Windows系統(tǒng),在上網瀏覽、本地打開或預覽惡意WMF文件時,自動下載網絡上的其它病毒文件,偵聽黑客指令,對用戶計算機進行各種攻擊。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工防治:
下載安裝微軟ms06-001漏洞補丁,升級打開殺毒軟件實時監(jiān)控。補丁下載。
六、QQ大盜:
Trojan/QQPass.ak (QQ大盜)是用Delphi編寫并經過壓縮的木馬,用來竊取游戲"傳奇"信息。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在系統(tǒng)目錄找到病毒文件winsocks.dll和intren0t.exe,并將其刪除。打開注冊表并定位到以下鍵值,將鍵值刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t" = %Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t" = %Windir%\intren0t.exe
七、維京:
該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之后,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統(tǒng)完全崩潰。該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之后,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒電腦中,竊取用戶的網絡游戲密碼,嚴重時造成系統(tǒng)完全崩潰。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在下列系統(tǒng)目錄中找到相應病毒文件并刪除:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll
定位到以下注冊表鍵值并將其刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
八、傳華木馬:
出自同一個木馬制作組織“傳華”的若干木馬變種。“傳華木馬”主要以盜取QQ或網絡游戲的帳號密碼為目的,變種極多,感染了大量用戶。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:使用江民殺毒軟件未知病毒檢測,定位可疑概率高的進程,根據(jù)文件信息判斷其是否病毒文件并將其刪除。
九、工行釣魚木馬:
這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行后,在系統(tǒng)目錄下生成svchost.exe文件,然后修改注冊表啟動項以使病毒文件隨操作系統(tǒng)同時運行。
病毒運行后,會監(jiān)視微軟IE瀏覽器正在訪問的網頁,如果發(fā)現(xiàn)用戶在工行網上銀行個人銀行登錄頁面上輸入了帳號、密碼,并進行了提交,就會彈出偽造的IE窗,內容如下: “為了給您提供更加優(yōu)良的電子銀行服務,6月25日我行對電子銀行系統(tǒng)進行了升級。請您務必修改以上信息!”
病毒以此誘騙用戶重新輸入密碼,并將竊取到的密碼通過郵件發(fā)送到一個指定的163信箱。該病毒同時還會下載灰鴿子后門病毒,感染灰鴿子的用戶系統(tǒng)將被黑客遠程完全控制。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在系統(tǒng)目錄下找到svchost.exe病毒文件,并將其刪除,打開注冊表找到svchost.exe的關聯(lián)鍵值,并將其刪除。
十、敲詐者:
病毒在本地磁盤根目錄下建立一個屬性為系統(tǒng)、隱藏和只讀的備份文件夾,名為“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同時搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移動到上述備份文件夾中,造成用戶常用文檔丟失的假象。
解決方法一:
1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾并且將隱藏受保護的操作系統(tǒng)把文件前的√去掉。
2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮,然后啟動WinRAR,切換到該文件夾的上級文件夾,右鍵單擊該文件夾,在彈出菜單中選擇"重命名"。
3、去掉文件夾名“控制面板”后面的ID號{21EC2020-3AEA-1069-A2DD-08002B30309D},即可變?yōu)槠胀ㄎ募䦅A了;也可直接進入該文件夾找回丟失的文件。
解決方法二:
針對病毒修改注冊表鍵值隱藏用戶文件的做法,江民反病毒專家認為破解起來并不困難,稍有注冊表常識的用戶只需運行“regedit”,修改被病毒破壞的注冊表為以下各個鍵值,這樣就能顯示隱藏文件以及系統(tǒng)文件了……
解決方法三: