精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆★☆★☆新近常见问题集锦☆★☆★☆>>Virus FAQ

主题:Virus FAQ
发信人: snaix(俩字儿)
整理人: emil(2002-08-15 22:50:49), 站内信件
Virus FAQ  Build:020506 
——为了更多的网友可以更快地了解问题 
——为了更多的网友可以更好地解决问题 
——为了少做些没有必要多做的事情 
——为了所有在病毒灾难中成为不幸或可能成为不幸的人 

——只针对初学者 
——希望能使你的脸带上微笑 

以下Question简称Q,Answer简称A。如果不加说明,这里电脑病毒的含义都是广义的(包括病毒,木马,蠕虫等),操作系统为Windows9X。 

1.一些常会引起争论的问题 
Q1.1哪个杀毒软件最好? 
A1.1:在板子上问这个问题往往是得不到答案的。答案总是有千百个,看了回复之后你只会更糊涂。如果非要回答的话,若只针对查杀病毒的效果和使用频率来说,以下软件个人认为不错: 
AVP:包括Kaspersky Anti-Virus,AntiVirus eXpert,KV3000 
首推地来自俄罗斯的杀毒软件,世界级别。现在所谓国产的KV3000国际版(杀毒王)系列使用了该公司的技术。 
Norton:美国赛门铁克(Symantec)公司出品的优秀的反病毒产品。功能非常强大,查毒数量也不错。市场上主要见到的产品为Norton Anti-Virus 2002。 

Q1.2我是不是中病毒了? 
A1.2:计算机中病毒后的表现是多种多样的,尤其是到了现在。由于电脑技术呈几何级数的速度在发展,病毒可以触动的领域也就更多了。以前所说的那些病毒感染的征兆必然出现了很大的局限性。所以这里针对最近比较新的病毒做出一些总结: 

1.2.1病毒(狭义): 
文件型病毒最主要的一类是感染Windows下PE格式文件,往往有如下变化:文件大小发生变化;文件内容被更改;文件被破坏;数据丢失;系统不稳定等等。常见的有CIH,Kriz,Natas等等。其实这类病毒是比较难察觉的,最好经常检查。 
文件型病毒还应该包括宏病毒。这种病毒主要感染OFFICE的文件,尤其以Word文档为最多。被感染的文件往往不会增加文件大小,平时也不容易被发现,有些宏病毒可以在宏中的VB编辑器中被看到,有些则不可以。这类病毒往往感染Normal.dot模板,如果这个模板没有重要的内容,在中毒的时候可以考虑先删除Normal.dot这个文件(之后Word会自动再建立一个)。 
引导区病毒是最早的病毒,而且由于其局限性,该病毒在慢慢地消失。这类病毒主要感染硬盘及软盘的引导区。由于引导区的局限性几乎所有的杀毒软件都可以杀除大多数的引导区病毒。这类病毒现在的主要传播途径在公司或学校等有大量电脑的地方,通过软盘进行感染。常见的有WYX,AntiCmos等等。 
1.2.2特洛依木马: 
分后门,和密码盗取等种类。 
经常见到的主要有两种: 
一种是分服务器端和客户端的。如果受害者运行了服务器端,那么任何持有客户端软件的用户都有可能能够访问你的电脑。这些包括用户的磁盘上的任何文件,上网帐号,用户名,密码等许多资料。持有客户端软件的人可以删改、添加、运行任意文件到你的机器上(当然正在运行的文件是不可以访问的)。所以说这类木马对数据的威胁是相当大的。一台机器有没有木马在于它是否执行有服务器端程序,防范这类程序很重要。这类程序往往通过Email或者QQ被发送过来,有些带有为装性。如果你执行了一个未知的程序而执行后没有什么反应,那么最好检查一下是否有木马了。另外注意有些木马会和一些好玩的程序合并在一起被发过来,执行时会显示那个好玩的程序,而木马此时却已经进入了你的系统。这类程序往往有很强的隐藏性,最好注意文件的大小是不是和这个文件本事所说明的内容所适合。常见的有冰河、BO、SubSeven等等。 
另一种木马只有一个端。当这个程序被用户执行时,往往也不会有什么反应,或者会出现一个虚假的幌子。大多数的这类木马主要被用于记录被害者的密码、资料等等。之后会被发送到指定的邮箱。这类木马常见的有Kuang,GOP的早期版本等。 
总之小心执行不清楚的EXE会在很大程度上杜绝木马。 
1.2.3蠕虫: 
    主要是大量的自我复制,并在自我复制中消耗系统资源造成系统瘫痪。这类程序现在似乎成了破坏的主流,但是往往都带有一些病毒和木马的性质。清除的方法多种多样。现在主要通过电子邮件进行传播。所以用户打开未知邮件的时候要特别注意,尤其是有附件的。这类程序现在往往利用系统和相应软件的漏洞,所以有可能你没有打开邮件,蠕虫已经进入了系统。防范这种蠕虫的方法主要在于注意邮件和升级软件。 


2.一些常见问题和解答 
Q2.1为什么我在浏览网页的时候IE的标题、IE的主页被更改?如何恢复? 
A2.1:这主要是由于网页中带有ActiveX和一些JavaScript代码所引起的,当用户浏览网页的时候这些恶意代码会更改注册表中的配置,甚至可以生成一些恶意的文件。这些代码所造成的后果轻则更改主页,IE标题;重则删除文件,格式化磁盘,造成系统瘫痪! 
解决方法: 
1. 安装、升级杀毒软件,并且运行实时监控系统。(预防) 
2. 最好升级你的IE浏览器。 
3. 最好升级你的WScript,在本版的“版面公告”上有下载。 
4. 如果有必要,可以在IE菜单的“工具”下的“Internet选项”中点安全,通过自定义级别使ActiveX和JavaScript被禁用。 
5. 可以使用相应的工具(专修工具和杀毒软件带的工具)进行修复。在本版的“版面公告”上有相应下载。 
6. 手动恢复:略。若上述方法不能清除或者完全清除,可以给我来信mailto:[email protected] 
Q2.2“Nimda”是什么?为什么我清除后会有这个病毒源源不断地出现? 
A2.2:I-Worm.Nimda是一个网络蠕虫。利用IE,IIS等软件的漏洞进行传播,并感染文件。最好使用杀毒软件进行查杀。该蠕虫源源不断地出现是由很多原因造成的: 
1. IE没有升级。建议升级到IE6或者IE5的最新Service Pack版本。 
2. IIS没有升级,建议IIS4升级到SP6以上,IIS5升级到SP2以上。 
3. 在局域网中,由于其他连接中的机器还感染有Nimda,所以可能会被通过局域网传染,建议断开网络杀查,并且安装杀毒软件的实时监控功能。 

Q2.3求职信是什么?有什么危害? 
A2.3:这是一个Internet蠕虫,现在已经有了多个变种。主要通过E-Mail传播。具有反杀毒软件的功能,所以该病毒被感染的时候可能造成杀毒软件的不能启动(这也是一个征兆)。蠕虫会释放一个文件以用于被执行,并可以感染文件。求职信的变种利用了微软Outlook“错误的MIME头可导致IE自动执行邮件附件”的老漏洞(微软2001年3月公布的安全公告MS01-020),若在未打补丁的Outlook或Outlook Express中预览病毒邮件,病毒便会自动运行!而在一些收邮件的软件中邮件的附件是看不到的,而且附件的扩展名是双重扩展名且随机添加某个扩展名。邮件的标题是随机加入的一些问候的语句。这些都给病毒传播造成了很有利的条件。现在已经有求职信的专杀工具对付这种蠕虫,本版的“版面公告”上有相关链接下载。 

3.杀毒软件问题 
Q3.1为什么每次在我启动计算机的时候都会蓝屏?显示类似如下的信息:A fatal exception OD has occurred at 0028:c1684059 in VXD KWATCH(01) 
A3.1:造成这样的原因有很多。有一个原因是由于安装的杀毒软件过多,尤其是在系统托盘上运行了过多的不同的杀毒软件的实时监控程序,造成系统产生VxD冲突造成。可以禁止几个实时监控程序看看效果。如果不行,有必要的话可以卸载一些杀毒软件。 
Q3.2为什么我在Windows下发现一种病毒但是却不能完全清除它?尤其是在目录C:\Windows内的文件。 
A3.2:在Windows下,许多文件是正在被使用的从而不能访问,杀毒软件也一样。所以这些文件不能在Windows下面被清除。建议在纯DOS下对磁盘进行查毒,一般情况下就可以了。 
附录: 
病毒名称的命名 
国际上对病毒的命名使用了“前缀+病毒名+后缀”的方法。 
前缀: 
往往代表该病毒的作用范围或病毒是什么类型。前缀可能并不止一个。 
如: 
Win95.CIH 
其中的Win95代表该病毒在Win95系统下可以被感染。(当然9X下也都可以)。CIH则是病毒的名称。 
再如: 
Constructor.G2 
其中Constructor代表该程序是一个生成病毒的构造器。G2是这个构造器的名字。 
依次举例: 
Jerusalem.1767 
这是一个DOS下的病毒,一般DOS下的病毒没有特殊说明是没有前缀的。这样的病毒见得越来越少了。 
Macro.Word97.Melissa 
代表这是一个运行在Word97下的名叫Melissa的宏病毒。 
Backdoor.SubSeven 
代表这是一个名叫SubSeven的后门程序。 
后缀: 
往往代表病毒的字节,变种,类型等。后缀可能也不止一个。 
如: 
Win95.CIH.1003.b 
1003该病毒的病毒体有1003字节,b代表至少还有一个大小相等内容不全一样的CIH病毒。 
W32.Klez.gen@mm 
表示这是一个在Windows的32位(W32)平台下工作的名叫Klez(Klez)的一类(gen)病毒,它具有大量发送邮件(@mm)的功能。 

详细的资料如下表列: 
附表1常见病毒名称解析 
信息名称 前/后缀? 描述: 
Win&Win16 前缀 表示该病毒可以在Windows(早期的)的16位版本上运行 
Win32 前缀 代表该病毒可以活动于所有32位下的Windows系统 
Win9X 前缀 代表该病毒可以活动于Windows9X系统下 
WinNT 前缀 代表该病毒可以活动于WindowsNT(默认为版本4)系统下 
Win2K 前缀 代表该病毒可以活动于Windows2000操作系统下 
I-Worm 前缀 表示这是一个Internet蠕虫 
BackDoor 前缀 表示这是一个后门程序 
Trojan 前缀 表示这是一个特洛依木马程序 
Macro.Word97 前缀 表示这是一个活动在Word97下的宏病毒 
Macro.Word 前缀 表示这是一个活动在Word(一般为老版本)下的宏病毒 
Macro.Excel97 前缀 表示这是一个活动在EXCEL97下的宏病毒 
Macro.Excel 前缀 表示这是一个活动在EXCEL(一般为老版本)下的宏病毒 
JS 前缀 表示这是一个用JavaScript编的恶意代码 
VBS 前缀 表示这是一个用Visual Basic Script程序语言编写的病毒 
BAT 前缀 表示这是一个批处理文件病毒 
W32 前缀 同Win32 
W9X 前缀 同Win9X 
WNT 前缀 同WinNT 
W2K 前缀 同Win2K 
Worm 前后都有 同I-Worm 
W97M 前缀 同Macro.Word97 
WM 前缀 同Macro.Word 
X97M 前缀 同Macro.Excel97 
XM 前缀 同Macro.Excel 
dropper 前缀 表示可以从文件中提取出病毒的 
HLLC 高级语言同伴(High Level Language Companion)病毒,他们通常是DOS病毒,通过新建一个附加的文件(同伴文件)来传播。 
HLLP 高级语言寄生(High Level Language Parasitic)病毒,这些通常也是DOS病毒,寄生在主文件中。 
HLLO 高级语言改写(High Level Language Overwriting)病毒,通常是DOS病毒,以病毒代码改写主文件。 
dr 后缀 同dropper 
@m 后缀 表示该病毒是一个Mailer,即发送邮件器 
@mm 后缀 表示该病毒是一个Mass Mailer,大量发送器 
gen 后缀 表示这是一类病毒 
.X 后缀 X表示变种 
.num 后缀 num表示该病毒的大小 
DOS下一般无前缀 











主要杀毒软件厂商网址 
国内: 
江民公司: 
http://www.jiangmin.com;http://www.jiangmin.com.cn 
瑞星公司: 
http://www.rising.com.cn;http://www.ruixing.com 
金山公司: 
http://www.iduba.com;http://www.iduba.net 
国外 
Kaspersky Labs: 
http://www.avp.ch;http://www.viruslist.com;http://www.kaspersky-labs.com 
Symantec: 
http://www.symantec.com 
NAI: 
http://www.nai.com;http://www.mcafee.com 
Panda: 
http://www.pandasoftware.com 




文中所提内容: 
PE: 
Windows下32位的可执行文件的格式,包括*.EXE,*.DLL,*.OCX,*.VXD,等。 
Normal.dot: 
Microsoft Word中可用于任何文档类型的共用模板。可修改该模板,以更改默认的文档格式或内容。默认位置位于C:\Windows\目录下。 
Word的模板: 
任何 Microsoft Word 文档都是以模板为基础的。模板决定文档的基本结构和文档设置,例如,自动图文集词条、字体、快捷键指定方案、宏、菜单、页面设置、特殊格式和样式。 
ActiveX: 
微软倡导的ActiveX网络化多媒体对象技术。使无论任何语言产生的软件在网络环境中能够实现互操作性的一组技术。 
JavaScript: 
Java描述语言。由Netscape Communications和Sun Microsystems公司共同开发的一种描述语言,与Java的关系比较松散。JavaScript能为Web页添加基本的联机应用程序和功能,但它不是一种真正面向对象语言。由于它不经过编译,一次和Java相比,它的功能有限。在Web页中除HTML代码外可以写入JavaScript代码,JavaScript代码和Java程序相比,更易于实现,尤其对编程新手而言。 
VxD: 
虚拟设备驱动程序。Windows的一种软件,用来管理硬件或软件系统资源。如果某项资源在被访问时保留有上次访问的信息,就会影响到它的行为,这是就需要一个虚拟设备驱动程序。虚拟设备驱动程序通常用三个字母的来缩写描述,首写字母为V,末写字母为D,而中间的字母则指示了设备的类型。例如字母D表示显示器,字母P表示打印机,字母T表示计时器。如果设备的类型不定,则使用字母x。缩写为VxD。 



----

G i v e    S e r v i c e    T o    P e o p l e
                                                                      Mao Ze-dong


----------------------------------------------------------------------
欢迎来到广州网易病毒版。
如果你有任何关于病毒的问题,可以联系我
我的email是:[email protected]
我的OICQ号码是:251966
我会尽力做好!

如果我有错误,欢迎指出。谢谢。
    
[关闭][返回]