年终策划：毁网不倦十毒恐怖笼罩全球互联网(组图)

http://www.sina.com.cn 2003年12月21日00:17 人民网

　　编辑陈健

　　病毒之灾

　　公安部公共信息网络安全监察局发布的2003年全国计算机病毒疫情调查报告显示，中国计算机用户感染计算机病毒的比例达到85.57%，较去年增加1.59%。

　　自去年以来，中国计算机病毒传播感染活动进入了比较活跃的一个时期，新型计算机病毒不断出现，多次爆发了一定规模的计算机病毒疫情，计算机病毒对信息网络安全的影响日益突出。

　　以下是今年流行的十个病毒的介绍与相应的解决方案。I-Worm/Blaster冲击波中毒后的表现特征莫名其妙地死机或重启；IE不能正常地打开链接；不能复制粘贴；有时出现应用程序，比如Word异常网络变慢；在任务管理器里有叫msblast.exe的进程在运行！查杀工具下载

　　苏州热线广通网京江热线昆明黑马站温州热线 9958下载毒霸下载漏洞补丁下载

　　(盗版用户慎用)WinNT 4.0Server中文版　英文版(推荐SP6以上版本，先安装SP6：中文版　英文版)Windows2000中文版　英文版(推荐SP3以上版本，先安装SP3：中文版　英文版)WindowsXP中文版　英文版Windows 2003Server 中文版　英文版

病毒介绍

　　I-Worm/Blaster冲击波病毒(也称“暴风雨”病毒)是一种网络蠕虫，感染的操作系统为Windows2000和WindowsXP系统。病毒会下载并运行病毒文件Msblast.exe，最终会导致机器停止响应并频繁重启。系统每次重新启动后，该蠕虫都会自动运行。然后，病毒通过DCOMRPC漏洞向网络上特定段的机器进行攻击。向该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe。冲击波病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe网络蠕虫主体。在特定的时间内会对微软的windowsupdate.com补丁升级网站实行DoS(拒绝服务)攻击。巨大的危害

　　冲击波病毒有可能引起了今年美国8月14日的大停电。由政府和行业官员组成的委员会在11月发布了中期报告，报告结论说，停电是由一系列错误造成的，事故链条的起点是位于俄亥俄州的FirstEnergy发电厂。一连串人为和电脑错误将一个小问题转变为大问题。编写者被捕

　　FBI官员8月29日宣布，特工人员在明尼苏达州逮捕了一名18岁的年轻人。此人名叫杰弗里·李·帕森。他供认，他就是几个星期前在因特网上广泛传播的“冲击波”蠕虫病毒的始作俑者。I-Worm/Sobig.(x)好大网络蠕虫中毒后的表现特征

　　往外发送邮件主题为：Re: Movies,Re: Sample,Re: Document,Re:Hereisthatsample...，邮件内容为：“Attachedfile:”手工清除Win9x：进入Dos，删除Windows目录和启动目录的winmgm32.exe文件即可；WinNT：终止winmgm32.exe进程，删除WinNT目录和启动目录的winmgm32.exe文件即可。相关的查杀工具下载

　　1 2 3 4 5 6

病毒介绍

　　I-Worm/Sobig(“好大”病毒)至今已出现五种以上的变种，I-Worm/Sobig系列的蠕虫病毒均可以自动搜索邮件地址，所有可能包含邮件地址的wab、dbx、htm和html、eml、txt格式的文件都在其搜索之列，然后疯狂向找到的Email地址发送含有该蠕虫的信件。邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。发送邮件的地址有的甚至被设为雅虎的技术支持信箱support@yahoo.com。此外该病毒也可以搜索可写的网络邻居上的机器的目录，将自身拷贝到该目录下。巨大的危害

　　垃圾邮件的数量已经由2002年年底时的每11封电子邮件中有一封垃圾邮件增长到了目前的每2.5封电子邮件中就有一封垃圾邮件，增长了4倍还多。电子邮件外包厂商MessageLabs公司在当地时间本周一发布的年终报告称，Sobig.F病毒是垃圾邮件增加的主要原因。I-Worm/Supkp.(x)超级密码007系列一招鲜防范此病毒我们在收到带毒邮件时，先观察一下邮件附件。如果是exe的文件，并且没有详细解释文件用法，那就千万不要运行，直接删除它。如果IE已经升级到6.0版，可以在OutlookExpress中做以下设置：单击OutlookExpress的工具菜单→选项→安全，选中不允许保存或打开可能有病毒的附件。相关的查杀工具下载

　　1 2 3 4 5 6

病毒介绍

　　I-Worm/Supkp(“超级密码杀手007”病毒，也称“爱情后门”、“恶邮差”)是一个集蠕虫程序、后门程序、黑客程序于一身的病毒。该病毒有许多变种。该病毒利用ipc进行guest和Administrator帐号的简单密码探测，如果成功,将尝试将自己复制到远程系统并试图注册成服务。它会修改系统注册表的关联部分，使得系统对纯文本的操作就能激活该网络蠕虫。病毒可以释放出后门程序，还可以盗取用户密码,并发送到指个邮箱。巨大的危害

　　一旦中招，您的机密信息将不再仅仅属于您。I-Worm/Mimail.(x)邮米网络蠕虫系列手工清除A、关闭WindowsMe、WindowsXP、Windows2003的“系统还原”功能；B、进入安全模式或者结束病毒进程：Win95/98/Me:重新启动计算机，并进入安全模式。WinNT/2000/XP/2003:打开进程管理器，找到“cnfrm.exe”的进程，并将其结束；C、打开注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的键值SystemLoad32=%Windir%frm.exe，关闭注册表；D、将%Windir%下的 Zip.tmp、Exe.tmp、eml.tmp、cnfrm.exe删除。

病毒介绍

　　I-Worm/Mimail(邮米病毒，小邮差病毒变种)是通过微软的电子邮件客户端程序来传播、感染的。邮件的主题是可能变化的字符串。附件是病毒体，是一个压缩文件，病毒的大小是：16KB。可以感染包括Windows9x,WindowsNT,Windows 2000,Windows XP以及WindowsME等流行的Windows平台。除了具备一些网络蠕虫的常规特性外，该病毒还有其自己的特色，该蠕虫是以ZIP压缩包的形式来传播，以前人们普遍的观念认为ZIP压缩中一般不会有病毒，从而受好奇心的驱使对压缩包。目前为止该病毒已经频繁出现多个变种。巨大的危害

　　最新变种已不再像以前那样攻击某些网站，而是会立刻弹出一个假的信用卡信息填写窗口，以此来盗取用户的信用卡。I-Worm/Swen四维病毒相关的查杀工具下载蠕虫激活后会造成部份应用程序运行失败，或者被蠕虫禁止运行，比如注册表查看器程序。该蠕虫能在网络中高速传播，极难手工清除。12 3 4 5 6提醒

　　不要随意打开陌生人的邮件，请注意微软公司不会以邮件方式发放补丁程序，请到微软公司的网站升级补丁。不要下载点对点或聊天工具中的可执行文件。

病毒介绍

　　I-Worm/Swen(“四维”病毒)是用C++编写的.病毒长度：106,496字节。该病毒可以影响目前流行的所有Windows平台（包括：Win95/98/Me/NT/2000/XP以及WindowsServer2003）它的传播方式有很多种，包括：电子邮件，KaZaA,IRC，网络共享以及新闻组等。通过邮件发送传播时它的主题、内容、以及发送Mail的地址都是随机变化的。病毒一旦感染系统并运行时，会出现一个对话框，假装是MicrosoftInternetUpdate Pack.（微软的升级包），并试图结束大部分安全软件进程，以躲避反病毒软件查杀。巨大的危害

　　该病毒将自己伪装成一封微软升级邮件，然后搜索所有有效的邮件地址向外疯狂发送病毒邮件。一秒能感染20台电脑。I-Worm/Chian冲击波杀手网络蠕虫中毒后的表现特征A、莫名其妙地死机或提示倒计时重新启动计算机；B、IE浏览器不能正常地打开链接；C、不能复制粘贴；有时出现应用程序，比如Word异常；D、系统速度变慢；网络速度下降；E、系统中有名为Dllhost.exe的进程；F、查看系统服务中可能会有名为RpcTftpd和RpcPatch的服务。解决方案使用“冲击波”专杀工具；更新微软最新补丁程序(盗版用户慎用)手工清除方法)其有关步骤可能造成系统的不稳定，建议用户尽量采用以上解决方案。

病毒介绍

　　I-Worm/Chian（“冲击波杀手”又名“冲击波克星”）病毒通过向网络发送大量的数据包，对特定IP段进行疯狂扫描，如果发现冲击波病毒，即将其删除，并立刻登录微软网站下载RPC漏洞补丁。该病毒是病毒炮制者利用一种黑客程序改编而成，虽然病毒炮制者的初衷是为了反冲击波病毒，但却造成了系统不稳定运行、重新启动、死机等，使网络流量剧增，最终导致许多网络瘫痪的后果。病毒长度是10240字节，截获的文件名称：dllhost.exe，感染系统：WindowsXP和Windows2000，传播途径：利用微软的多重漏洞。巨大的危害病毒作者所运用手法极端得近乎疯狂，该病毒发作后会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播，所以该病毒传播更有效，速度更快，而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波克星”给用户造成的危害将是“冲击波”的几倍。I-Worm/Fizzer嘶嘶声网络蠕虫专家警告从目前发现的入侵病例看，特别是那些使用微软公司OUTLOOK软件收发邮件的用户特别容易遭感染。另外，在使用KAZZA搜索器的终端计算机上也发现了病毒。KAZZA搜索器是一个在许多国家颇受欢迎的互联网媒体搜索软件，用户只要在该软件的搜索栏中填入自己想寻找的媒体影音文件的名称，搜索器就会在互联网上找到相关资料。不随意下载点对点工具共享的可执行程序，不随意打开聊天软件传递的地址，增加本地密码的安全性。相关的查杀工具下载

　　1 2 3 4 5 6

病毒介绍

　　I-Worm/Fizzer蠕虫病毒可以修改系统的TXT文件的关联，在感染系统的机器中，只要用户打开纯文本文件即可激活该网络蠕虫程序。该病毒发作时不但可以通过邮件、IRC聊天工具进行传播，而且还会记录键盘敲击，自动升级自身代码，终止很多反病毒软件的运行、查杀，最狡猾之处就是该病毒会加密存放许多配置数据，以使得一般的用户很难以获得其资源信息。它隐藏自己的方法非常特别，当要隐藏自己的时候，它会自动在WINDOWS目录下寻找一个正常的文件，然后将自身的代码注入到该文件，但是该文件的属性、版权信息、文件右键信息文件等看起来都是正常的，而实际上该文件已经被该蠕虫替换了真正的代码。巨大的危害病毒传染的新途径瞄上了聊天、点对点这种网上的常用的必备工具，Fizzer病毒就及具代表性。虽然此病毒暂时只对国外著名的聊天、点对点工具进行攻击，但这种模式会很快蔓延。Worm.SQL.helkermSQL杀手解决方案在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问，如果该步骤实现有困难可使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问；找到被感染的主机；拔掉被感染主机的网线；重新启动所有被感染机器，以清除内存中的蠕虫。关闭SQLServer服务以防止再次被蠕虫感染；插上被感染机器的网线为被感染机器安装最新的补丁。相关的漏洞补丁下载安全补丁相关的查杀工具下载

　　1 2 3 4 5 6

　　病毒介绍

　　“SQL杀手”(“蠕虫王”)病毒是一个罕见的病毒体极短小而传播性极强的蠕虫病毒。该蠕虫利用Microsoft SQLServer2000缓冲区溢出漏洞进行传播，在传播中进入一个死循环，在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434/UDP端口(MicrosoftSQLServer开放端口)，该蠕虫传播速度极快，它使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。易受攻击的机器类型为所有安装有MicrosoftSQLServer2000的NT系列服务器，包括WinNT/Win2000/WinXP等。该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。巨大的危害

　　国际互联网在全球范围内遭受病毒攻击而变慢，从而影响到网民的浏览和email的发送。“SQL杀手”的蠕虫是摧毁韩国因特网服务的罪魁祸首。Win32/FunLove.4099相关的漏洞补丁下载

　　Microsoft VM ActiveX Component漏洞补丁EVulnerability漏洞补丁专家建议要清除Funlove的变种Braid.A/Bridex(新娘)蠕虫，反病毒专家建议删除被感染机器上的任何受影响文件，然后运行杀毒软件查杀Funlove病毒。Windows操作系统可能需要重新安装以恢复被病毒损坏的文件。相关的查杀工具下载

　　1 2 3 4 5 6 病毒介绍

　　Win32/FunLove.4099病毒是驻留内存的Win32病毒，它感染本地和网络中的PE-EXE文件。病毒本身就是只具有.code部分PE格式的可执行文件。当染毒的文件被运行时，该病毒将在Windowssystem目录下创建FLCSS.EXE文件，并运行这个生成的文件。传染模块将扫描本地从C:toZ:的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX,.SCR,or.EXE扩展名的PE文件。该病毒可以重复感染文件，在局域网中传播速度极快。巨大的危害

　　蠕虫会导致被感染的系统无可挽救地丢失所有数据：首先，蠕虫会从内存和硬盘中删除反病毒程序、调试程序和防火墙。在某些情况下，蠕虫还会删除系统中其他所有文件。其次，蠕虫会释放“Win32.Funlove”病毒，同时利用该病去感染系统。最后，蠕虫还会对Symantec网站进行DoS（拒绝服务）攻击，运行对该网站无休止的请求循环。PolyBoot（WYX.B）病毒介绍

　　PolyBoot(也叫WYX.B)是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置，这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件，但一旦发作，将破坏硬盘的主引导区使所有的硬盘分区及用户数据丢失。感染对象可以是任何的平台包括：Windows,Unix,Linux,Macintosh等。(未在网上找相关的查杀工具，请用防毒软件查杀)声明：人民网“特别策划”稿件，未经特许，任何网站（含已经获得常规新闻转载授权的网站）请勿转载。来源：人民网