为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

病毒的防治及防范措施

2011-02-28 5页 doc 40KB 61阅读

用户头像

is_098728

暂无简介

举报
病毒的防治及防范措施技术总结:病毒的预防和诊治 病毒的防治及防范措施 随着计算机网络建设和办公自动化的迅猛发展,各单位数据交换日益增多,计算机病毒的传播途径也日趋广泛,危害性越来越大,可以说防不胜防。通过近几年来,对我厂办公自动化的维护及修理,我发现有不少微机故障都是因为计算机病毒引起的,给各用户单位的日常正常工作造成了不便,严重的甚至造成数据丢失、硬件损坏,产生无法挽回的损失。结合这几年来的实践经验,特对我厂计算机病毒现状及常见病毒的预防做一分析总结,希望能给大家提供一些帮助。 由于网络建设的高速发展及病毒制作者手段的日益高明,我厂的计算机病毒...
病毒的防治及防范措施
技术:病毒的预防和诊治 病毒的防治及防范措施 随着计算机网络建设和办公自动化的迅猛发展,各单位数据交换日益增多,计算机病毒的传播途径也日趋广泛,危害性越来越大,可以说防不胜防。通过近几年来,对我厂办公自动化的维护及修理,我发现有不少微机故障都是因为计算机病毒引起的,给各用户单位的日常正常工作造成了不便,严重的甚至造成数据丢失、硬件损坏,产生无法挽回的损失。结合这几年来的实践经验,特对我厂计算机病毒现状及常见病毒的预防做一分析总结,希望能给大家提供一些帮助。 由于网络建设的高速发展及病毒制作者手段的日益高明,我厂的计算机病毒已经由前几年的软盘等介质传播,衍变为电子邮件、网页等网络传播及光盘、软盘介质传播多种传播途径。而目前对我厂办公自动化影响最大的计算机病毒主要有网络病毒,如Nimda病毒、新欢乐时光病毒等,恶性病毒主要有CIH病毒、CMOS设置破坏者病毒、POLYBOOT病毒等。下面我们来看看病毒的主要特征及发作现象。 1、​ Nimda(概念)病毒 1、​ 主要特征:感染尼姆达病毒后,所有的盘符均被设置为共享,在资源管理器可以查看到硬盘、光驱均显示小手托着状态(共享状态),而且用word编辑文件存盘时出现内存不足提示,无法正常存盘。 2、​ 分析:尼姆达病毒可说是最为凶猛的恶意蠕虫病毒,该病毒不仅传播速度快、危害性强,而且自我繁殖能力更是位居各大病毒之首,它可以通过扫描internet,寻找www服务器,一旦找到WEB服务器,该病毒便会利用已知的安全漏洞来感染该服务器,若感染成功,就会任意修改该站点的WEB页,当在WEB上冲浪的用户浏览该站点时,不知不觉中便会被自动感染。它的危害性在于还可以在局域网传播,它通过搜索本地网络的共享文件,无论是文件服务器还是终端客户机,一旦找到,便会将一个名为RICHED20.DLL的隐藏文件加入到每一个包含DOC和EML文件的目录中。当别的用户打开这些目录下的DOC或EML文档时,word、写字板、outlook等应用程序将执行RICHED20.DLL文件,从而使机器被感染。 3、​ 杀毒修复系统措施:可以用金山毒霸专杀工具来杀除,专杀工具下载地址:http://www.duba.net/download/other/ 。但杀毒后,往往word无法再正常使用,需要重新安装office,但只有修改注册表后,才能安装上office2000,否则会出现这样的提示:“系统出现致命性错误,永远不能安装”。由于修改注册表有一定技巧,对一般用户来说操作难度比较大,我们还发现也可以通过这种方法来重新安装office2000,步骤如下:先卸载office,然后重新安装office97,再安装office2000,这样便会成功安装。在装了IIS的windows2000计算机上,Nimda总是杀不死,则应该断网后重启,用本地帐号登陆,重启前把IIS的服务设为Disable,这样才能彻底杀掉尼姆达病毒。 4、​ 预防措施:不要在联网的微机上设置共享目录,对于Windows 9x/Me操作系统,建议取消共享,如果必须设置共享的话,建议设置为密码登录访问的设置。强烈建议给windows98、windows2000操作系统打补丁,升级到最新的SP3版,更新安装地址:http://v4.windowsupdate.microsoft.com/zhcn/default.asp 。有条件的建议安装病毒防火墙,如瑞星、金山毒霸、KV3000等,并定期上网更新病毒库。 5、​ 该病毒存在单位主要有:机动处、调运处装洗车间、三油品等厂内联网的多个单位。 2、​ 新欢乐时光病毒 1、​ 主要特征:感染病毒后,电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。而且会在硬盘和软盘的每个目录(包括子目录)下生成folder.htt(带毒文件)和desktop.ini(目录配置文件),注意文件是隐藏属性的,默认情况下看不到,可以通过修改“文件夹选项”中“查看全部文件”来使这两个病毒文件显形。 2、​ 分析:新欢乐时光病毒是用VBS编写的多变形、加密病毒,感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在\windows\system\中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或在\winnt\system\中生成一个名字叫kernel32.dll的文件(Windows NT/2000),并且修改.dll文件的打开方式,感染Outlook的信纸文件。 3、​ 杀毒修复系统措施:可以用金山毒霸专杀工具来杀除,专杀工具下载地址:http://www.duba.net/download/other/ 。值得注意的是,清除这个病毒必须在安全模式下清除,因为病毒在安全模式下不会被激活;而且在清除完成前不要使用“Web视图”显示任何文件夹。对于联网计算机,杀毒前建议取消所有的共享目录。硬盘杀毒后,应对在这台微机上平时使用的移动储存介质,如软盘、优盘、移动硬盘等同时进行杀毒。 4、​ 预防措施:不要在联网的微机上设置共享目录,对于Windows 9x/Me操作系统,建议取消共享,如果必须设置共享的话,建议设置为密码登录访问的设置。强烈建议给windows98、windows2000操作系统打补丁,升级到最新的SP3版,更新安装地址:http://v4.windowsupdate.microsoft.com/zhcn/default.asp 。有条件的建议安装病毒防火墙,如瑞星、金山毒霸、KV3000等,并定期上网更新病毒库。对于信箱中可疑的电子邮件最好不要阅读,可直接删除,建议尽量不要采用信纸格式。而且我们也可以利用这个病毒的设计缺陷,可以在\windows\system\目录中创建名为kernel.dll的目录(Win9x/ME系统),或在\winnt\system\目录中创建名为kernel32.dll(WinNT/2000系统)的目录,这样可以在一定程度上阻止病毒的传染。 5、​ 该病毒存在单位主要有:机动处、实业部生产技术处、工会、电气分厂等单位。 3、​ CIH病毒 1、​ 主要特征:所有WinZip自解压文件均无法自动解开,同时会出现WinZip自解压首部中断,MAGICZIP解压缩文件不能安装,CIH病毒还会造成Windows 95系统频繁死机。这个病毒主要有3个变种:CIHv1.2:4月26日发作,CIHv1.3:6月26日发作,CIHv1.4:每月26日发作。病毒发作后,会改写BIOS中的内容,造成计算机无法启动。 2、​ 分析:这个病毒有3个主要变种(CIHv1.2:4月26日发作,CIHv1.3:6月26日发作,CIHv1.4:每月26日发作),发作现象是:攻击BIOS。CIH病毒最异乎寻常之处,是它对计算机BIOS的攻击。打开计算机时,BIOS首先取得系统的控制权,它从CMOS中读取系统设置参数,初始化并协调有关系统设备的数据流。CIH发作时,会试图向BIOS中写入垃圾信息,BIOS中的内容会被彻底洗去,造成计算机无法启动,现象是开机启动时显示器黑屏无显示。据测试, CIH能够破坏市面上各种常见的BIOS,而BIOS被破坏后,只有更换主板或BIOS才能恢复。从这个角度上看,CIH病毒是首例直接攻击和破坏计算机硬件系统的病毒,会给众多的计算机用户带来毁灭性的结局。此外,向硬盘写入垃圾内容也是CIH的破坏性之一,一旦硬盘数据被破坏,挽回数据也非常困难,但破坏硬盘和BIOS往往并不同时发作。 3、​ 杀毒修复系统措施:常见的各种杀毒软件均可杀掉CIH,如果用户在正常使用微机的过程中,发现WinZip自解压文件均无法自动解开,同时频繁死机现象,则应及时杀毒,以防万一。如CIH发作,主板BIOS是可插拔的,则可以选择相同类型的主板,在正常的主板上带电拔出正常的BIOS芯片,将出现问题的BIOS芯片插入,然后将正确的BIOS信息重新写入BIOS芯片中,则可以恢复正常。值得注意的是:1)如遇到BIOS芯片是焊死在主板上的,则基本宣判了主板“死刑”,只能返回原厂修复;2)BIOS芯片分24脚长方形老式芯片和36脚正方形新式芯片两种,需要分别找到对应的南桥、北桥芯片组的主板,才能相互带电插拔刷新BIOS;3) BIOS主要有AMI和AWARD两种,刷新BIOS时要注意选择对应的刷新软件;4)BIOS芯片信息可上网查找,要与主板型号对应起来,如找不到BIOS芯片信息,则主板也无法修复。在修复硬盘数据时,可用KV3000来修复分区表信息,但不能保证硬盘数据完全被恢复,这主要看病毒已经破坏到什么程度。 4、​ 预防措施:建议将计算机主板上的BIOS写入/防写入跳线设置为防写入,某些新型的计算机在CMOS里有BIOS写入/防写入设置,建议选择DISANBLE(不使用写入)。在手头没有杀毒软件时,也可通过设置时间,跳开4月26日、6月26日和每月26日的发作时间,也可暂时避免病毒发作。有条件的建议安装金山毒霸病毒防火墙,可终生对CIH免疫。值得注意的是,Klez蠕虫病毒可以使CIH病毒复活,Klez蠕虫中携带W95.CIH.1049,这是W95.CIH的变种,其主要区别是它的发作时间定于每年的8月2日,因此在防新病毒的同时,也要注意老病毒的复活。 5、​ 该病毒存在单位主要有:原企管处、供排水、二净化、一硫磺、仪表分厂等单位。 4、​ POLYBOOT病毒 1、​ 主要特征:通过软盘启动盘引导起来系统后,硬盘找不到,没有任何盘符,但在带毒的情况下,则可以看到硬盘,系统频繁死机。病毒发作后,硬盘所有数据丢失,不能用Fdisk和Format来分区格式化。 2、​ 分析:POLYBOOT病毒属于恶性病毒,是引导区病毒,容易造成硬盘数据丢失,无法挽回,据资料介绍,严重的可以破坏计算机硬件系统,造成硬盘无法使用。 3、​ 杀毒修复系统措施:常见的各种杀毒软件均可杀掉POLYBOOT,注意如硬盘中毒,则应对曾在中毒机器上使用过的软盘全部杀一遍毒。 4、​ 预防措施:注意用软盘无法引导起来系统,或者通过软盘启动盘引导起来系统后硬盘找不到,则应及时注意查毒。该病毒的危害性比较大,应提高警惕,对外来的软盘,应注意先查毒再使用,注意:外来的软盘不要直接放到A驱里直接启动。没有查毒而直接使用带毒的软盘,正是造成POLYBOOT病毒迅速传播的主要途径。有条件的建议安装病毒防火墙,如瑞星、金山毒霸、KV3000等。 5、​ 该病毒存在单位主要有:行政处、退休办、实业部宣传部等单位。 5、​ CMOS设置破坏者病毒 1、​ 主要特征:光驱找不到,在“系统属性”的“性能”里显示“驱动器C、D、E等正使用MS-DOS兼容方式文件系统”。 2、​ 分析:CMOS病毒是引导区病毒,该会使光驱找不到,造成无法使用,系统频繁死机。 3、​ 杀毒修复系统措施:常见的各种杀毒软件均可杀掉CMOS病毒,但是一定要用干净的系统盘引导起来杀毒,注意如硬盘中毒,则应对曾在中毒机器上使用过的软盘全部杀一遍毒。 4、​ 预防措施:没有查毒而直接使用带毒的软盘,正是造成CMOS病毒迅速传播的主要途径。对外来的软盘,应注意先查毒再使用,注意:外来的软盘不要直接放到A驱里直接启动。有条件的建议安装病毒防火墙,如瑞星、金山毒霸、KV3000等。 5、​ 该病毒存在单位主要有:行政处、机动处、仪表分厂等单位。 6、​ 网页恶意代码 1、​ 主要特征:一旦你登录含有恶意代码的网页,恶意网页就被设为主页,且不允许修改;想修改注册表,注册表编辑器被锁;开始菜单顶部的IE浏览器图标成了该恶意网页的图标;开始菜单中的程序菜单下又加入了网页图标;桌面,快速启动栏上也自然少不了它的图标;就连右键菜单和右键菜单中的“发送到”菜单下它也没忘记;C盘根目录下也没躲过此劫;重启计算机,机器便立即连接上网进入该网页;严重的甚至一登录上一个网页,硬盘就被恶意格式化了。这都是网页恶意代码的特征。 2、​ 分析:恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。 3、​ 杀毒修复系统措施:篡改IE的默认页、注册表被锁定、IE浏览器默认连接首页被修改且被锁定无法更改、IE的默认首页灰色按钮不可选、IE标题栏被修改、IE默认连接首页被修改、IE中鼠标右键失效、每次开机时系统自动弹出网页、查看“源文件”菜单被禁用等等,都可以通过金山毒霸的注册表修复器来恢复系统,注册表修复器下载地址: 。对于某些比较隐蔽的网页恶意代码,如注册表修复器无法清除,还可以通过“程序”中的“附件”的“系统工具”里的“系统信息”来查看启动文件是否有异常文件,如有,可直接去掉前面的对号,使之不启动,达到清除目的。也可以直接在注册表regedit里,通过查找关键字段来删除修复系统。 4、​ 预防措施:要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入 ,否则往往不经易间就会误入网页代码的圈套。直接预防措施是,当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高”。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率,但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。此外,建议升级IE浏览器,最新的为IE6 SP1版本,下载地址:http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp ,已经修复了多个系统漏洞,也可避免网页恶意代码的感染。Windows98操作系统漏洞修复地址:http://v4.windowsupdate.microsoft.com/zhcn/default.asp 。服务器NT系统漏洞修复地址:http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/x86lang.asp 。有条件的建议安装病毒防火墙,如瑞星、金山毒霸、KV3000等,并定期更新病毒库。 5、​ 该病毒存在单位主要有:厂内联网的多个单位。 综合来看,要预防病毒,首先要对外来的软盘和文件杀毒,不要用可疑的文件和看来历不明的电子邮件。在联网的微机上,对于Windows 9x/Me操作系统,应注意不要设置共享目录,如果必须设置共享的话,建议设置为密码登录访问的设置,这样可以有效的预防蠕虫病毒,当然给操作系统打补丁,升级修复系统漏洞也可以有效的预防蠕虫病毒。安装病毒防火墙是必要的,注意的是,定期更新病毒库也是必要的,不更新病毒库就不能预防最新的病毒,定期更新病毒库以每周或者每半月更新一次为宜。建议所里在胜炼网站上开辟病毒库升级专区,每周下载升级一次病毒库,以便有效的预防病毒的蔓延和泛滥。 2002年11月28日
/
本文档为【病毒的防治及防范措施】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索