計(jì)算機(jī)與信息安全匯編

1、一、計(jì)算機(jī)病毒的防治一、計(jì)算機(jī)病毒的防治計(jì)算機(jī)與網(wǎng)絡(luò)安全計(jì)算機(jī)與網(wǎng)絡(luò)安全用戶面臨的尷尬：用戶面臨的尷尬：不用殺毒軟件不行、用了殺毒軟不用殺毒軟件不行、用了殺毒軟件作用不大件作用不大 中國計(jì)算機(jī)病毒疫情調(diào)查技術(shù)分析年份中毒率200173%200385.37%200791.47% 國內(nèi)外反病毒公司普通認(rèn)為，國內(nèi)外反病毒公司普通認(rèn)為，20082008年新病毒的數(shù)量將突破年新病毒的數(shù)量將突破10001000萬個(gè)，也萬個(gè)，也就是說每個(gè)小時(shí)都會(huì)有就是說每個(gè)小時(shí)都會(huì)有10001000多個(gè)新病多個(gè)新病毒涌現(xiàn)出來毒涌現(xiàn)出來 殺毒軟件類型殺毒軟件類型1-1-采用傳統(tǒng)的反病毒軟件工采用傳統(tǒng)的反病毒軟件工作流程作流程

2、- - “特征值特征值”識別技術(shù)識別技術(shù)1.1.計(jì)算機(jī)異常計(jì)算機(jī)異常 2.2.將可疑文件發(fā)送至反病毒公司將可疑文件發(fā)送至反病毒公司 3.3.分析可疑文件分析可疑文件4.4.提取病毒特征值提取病毒特征值 5.5.編制殺毒軟件的升級程序編制殺毒軟件的升級程序 6.6.升級后再查殺該病毒升級后再查殺該病毒 利用病毒制造工具來利用病毒制造工具來“工業(yè)化、自動(dòng)化工業(yè)化、自動(dòng)化”地生產(chǎn)木馬病毒變種，其升級的速度甚至地生產(chǎn)木馬病毒變種，其升級的速度甚至超過了殺毒軟件的升級速度。超過了殺毒軟件的升級速度。 結(jié)論：傳統(tǒng)反病毒是完全的被動(dòng)、弱勢地位。結(jié)論：傳統(tǒng)反病毒是完全的被動(dòng)、弱勢地位。 近年來傳統(tǒng)反病毒產(chǎn)業(yè)在

3、與近年來傳統(tǒng)反病毒產(chǎn)業(yè)在與“熊熊貓燒香貓燒香”“”“機(jī)器狗機(jī)器狗”“”“木馬群木馬群”等超等超級病毒的交鋒中屢屢敗陣級病毒的交鋒中屢屢敗陣 傳統(tǒng)反病毒產(chǎn)業(yè)若不能在技術(shù)上有脫胎換骨的傳統(tǒng)反病毒產(chǎn)業(yè)若不能在技術(shù)上有脫胎換骨的變革，就不可能再勝任反病毒的重任變革，就不可能再勝任反病毒的重任解決辦法：解決辦法：北京東方微點(diǎn)信息技術(shù)北京東方微點(diǎn)信息技術(shù)有限責(zé)任公司有限責(zé)任公司自主研制了自主研制了“微點(diǎn)微點(diǎn)主動(dòng)防御軟件主動(dòng)防御軟件” ” 殺毒軟件類型殺毒軟件類型2-“基于程序行為自主分基于程序行為自主分析判斷的實(shí)時(shí)防護(hù)技術(shù)析判斷的實(shí)時(shí)防護(hù)技術(shù) “ “微點(diǎn)主動(dòng)防御軟件微點(diǎn)主動(dòng)防御軟件”20052005年誕生

4、，年誕生，20072007年，年，科技部將其列入我國反病毒領(lǐng)域唯一國家科技部將其列入我國反病毒領(lǐng)域唯一國家863863計(jì)計(jì)劃的技術(shù)。劃的技術(shù)。 從根本上改變了識別病毒的方式，變從根本上改變了識別病毒的方式，變“特特征值征值”識別為識別為“行為判斷行為判斷”識別識別 東方微點(diǎn)東方微點(diǎn): :http:/ 1) 國家國家863863科技項(xiàng)目科技項(xiàng)目 反病毒技術(shù)國際領(lǐng)先反病毒技術(shù)國際領(lǐng)先2) 2) 第三代反病毒產(chǎn)品第三代反病毒產(chǎn)品 著名反病毒專家劉旭領(lǐng)銜著名反病毒專家劉旭領(lǐng)銜打造打造3) 3) 主動(dòng)防殺主動(dòng)防殺99%99%以上新病毒以上新病毒 開創(chuàng)病毒免疫時(shí)代開創(chuàng)病毒免疫時(shí)代4) 4) 無需掃描無需掃

5、描 不依賴升級不依賴升級 簡單易用簡單易用 安全省心安全省心5) 5) 電腦快似電腦快似“裸奔裸奔” ” 系統(tǒng)資源占用低系統(tǒng)資源占用低6) 6) 歷經(jīng)數(shù)百萬用戶三年公測歷經(jīng)數(shù)百萬用戶三年公測 產(chǎn)品成熟品質(zhì)卓越產(chǎn)品成熟品質(zhì)卓越應(yīng)用背景應(yīng)用背景局域網(wǎng)電腦使用者經(jīng)常私自更改自己的局域網(wǎng)電腦使用者經(jīng)常私自更改自己的IP地址，造成地址，造成多個(gè)電腦多個(gè)電腦共用一個(gè)共用一個(gè)IP的現(xiàn)象的現(xiàn)象，從而出現(xiàn)，從而出現(xiàn)IP地址沖突，導(dǎo)致局域網(wǎng)電腦掉地址沖突，導(dǎo)致局域網(wǎng)電腦掉線、網(wǎng)絡(luò)運(yùn)行不穩(wěn)定等現(xiàn)象；局域網(wǎng)內(nèi)流行的線、網(wǎng)絡(luò)運(yùn)行不穩(wěn)定等現(xiàn)象；局域網(wǎng)內(nèi)流行的ARP病毒，通過病毒，通過向局域網(wǎng)的向局域網(wǎng)的其他電腦發(fā)動(dòng)其他電

6、腦發(fā)動(dòng)ARP欺騙欺騙，將局域網(wǎng)其他電腦的，將局域網(wǎng)其他電腦的ARP緩存表里面存儲(chǔ)的默認(rèn)網(wǎng)關(guān)的緩存表里面存儲(chǔ)的默認(rèn)網(wǎng)關(guān)的MAC（Media Access Control, 介質(zhì)訪問控制介質(zhì)訪問控制,即即:Physical Address ） 地址更改為一個(gè)不存在的地址更改為一個(gè)不存在的MAC地址，從而引發(fā)局域網(wǎng)電腦無地址，從而引發(fā)局域網(wǎng)電腦無法上網(wǎng)的情況。法上網(wǎng)的情況。如如: :啟用防御啟用防御ARP(ARP(（Address Resolution Protocol） ) )欺騙功能的方法欺騙功能的方法解決辦法解決辦法: :將將IPIP和和MACMAC地址綁定，這樣如果電地址綁定，這樣如果電腦私

7、自更改自己的腦私自更改自己的IPIP地址就會(huì)無法上網(wǎng)，從地址就會(huì)無法上網(wǎng)，從而達(dá)到控制局域網(wǎng)電腦私自更改而達(dá)到控制局域網(wǎng)電腦私自更改IPIP地址的行地址的行為為 提示提示: :IP地址就如同一個(gè)職位，而地址就如同一個(gè)職位，而MAC地址則好像是去應(yīng)聘這地址則好像是去應(yīng)聘這個(gè)職位的人才，職位既可以讓甲坐，也可以讓乙坐，同樣的道理一個(gè)職位的人才，職位既可以讓甲坐，也可以讓乙坐，同樣的道理一個(gè)節(jié)點(diǎn)的個(gè)節(jié)點(diǎn)的IP地址對于網(wǎng)卡是不做要求，基本上什么樣的廠家都可以地址對于網(wǎng)卡是不做要求，基本上什么樣的廠家都可以用，也就是說用，也就是說IP地址與地址與MAC地址并不存在著綁定關(guān)系地址并不存在著綁定關(guān)系 利用微

8、點(diǎn)主動(dòng)防御軟件設(shè)置綁定利用微點(diǎn)主動(dòng)防御軟件設(shè)置綁定: :在在其主界面，【安全防護(hù)與策略】其主界面，【安全防護(hù)與策略】| |【傳統(tǒng)防火墻設(shè)置】【傳統(tǒng)防火墻設(shè)置】| |【綁定【綁定MACMAC地址】，在右邊的窗口中會(huì)自動(dòng)掃描出當(dāng)前網(wǎng)關(guān)地址】，在右邊的窗口中會(huì)自動(dòng)掃描出當(dāng)前網(wǎng)關(guān)的的IPIP地址與對應(yīng)的地址與對應(yīng)的MACMAC地址，選中標(biāo)記為當(dāng)前網(wǎng)關(guān)的信息，地址，選中標(biāo)記為當(dāng)前網(wǎng)關(guān)的信息，點(diǎn)擊中間的箭頭，待左側(cè)窗口中出現(xiàn)網(wǎng)關(guān)的點(diǎn)擊中間的箭頭，待左側(cè)窗口中出現(xiàn)網(wǎng)關(guān)的IP MACIP MAC對應(yīng)關(guān)對應(yīng)關(guān)系后，勾選系后，勾選“啟用綁定啟用綁定”即可。即可。 溫馨提示溫馨提示:現(xiàn)在很多殺毒軟件均現(xiàn)在很多殺毒軟

9、件均可具備主動(dòng)防御可具備主動(dòng)防御病毒和反病毒關(guān)系就象為警察抓小偷病毒和反病毒關(guān)系就象為警察抓小偷 “特征值特征值”就是以小偷的外部特征為識別標(biāo)就是以小偷的外部特征為識別標(biāo)志，志，“行為判斷行為判斷”就是以是否有偷盜行為為就是以是否有偷盜行為為識別標(biāo)志。識別標(biāo)志。 “微點(diǎn)主動(dòng)防御軟件微點(diǎn)主動(dòng)防御軟件”就是以某個(gè)計(jì)算機(jī)程序就是以某個(gè)計(jì)算機(jī)程序是否有破壞和影響其他正常計(jì)算機(jī)程序的行為是否有破壞和影響其他正常計(jì)算機(jī)程序的行為來判斷其是否是病毒，基于這種識別方式的反來判斷其是否是病毒，基于這種識別方式的反病毒軟件就可以實(shí)現(xiàn)對未知計(jì)算機(jī)病毒的查殺。病毒軟件就可以實(shí)現(xiàn)對未知計(jì)算機(jī)病毒的查殺。 基本原理基本原

10、理: :主動(dòng)防御的核心思想則是從病毒定義出發(fā)，主動(dòng)防御的核心思想則是從病毒定義出發(fā)，將程序的行為作為判斷病毒的依據(jù)。通過將程序的行為作為判斷病毒的依據(jù)。通過分析、歸納各種病毒行為，形成病毒行為分析、歸納各種病毒行為，形成病毒行為知識庫，建立仿真反病毒專家系統(tǒng)，模擬知識庫，建立仿真反病毒專家系統(tǒng)，模擬人工識別病毒的過程，融合仿真反病毒評人工識別病毒的過程，融合仿真反病毒評估模型的智能化技術(shù)，實(shí)現(xiàn)對未知病毒和估模型的智能化技術(shù)，實(shí)現(xiàn)對未知病毒和新病毒的自主識別、明確報(bào)出和自動(dòng)清除，新病毒的自主識別、明確報(bào)出和自動(dòng)清除，從而達(dá)到防范病毒的效果。微點(diǎn)公司透露，從而達(dá)到防范病毒的效果。微點(diǎn)公司透露，這相

11、當(dāng)把相當(dāng)于把人工智能程序放到軟件這相當(dāng)把相當(dāng)于把人工智能程序放到軟件里，由軟件自行識別病毒，報(bào)出并自動(dòng)清里，由軟件自行識別病毒，報(bào)出并自動(dòng)清除，這基本上與生物學(xué)的免疫機(jī)能吻合。除，這基本上與生物學(xué)的免疫機(jī)能吻合。 計(jì)算機(jī)病毒的防治計(jì)算機(jī)病毒的防治l計(jì)算機(jī)病毒的預(yù)防 病毒防治的關(guān)鍵是做好預(yù)防工作病毒防治的關(guān)鍵是做好預(yù)防工作 。其主要措施：。其主要措施：（）安裝并升級殺毒軟件或防病毒卡、安裝放（）安裝并升級殺毒軟件或防病毒卡、安裝放火墻火墻（）運(yùn)行（）運(yùn)行indowsindowspdatapdata，安裝操作系統(tǒng)的，安裝操作系統(tǒng)的補(bǔ)丁程序補(bǔ)丁程序（）不使用隨意打開來歷不明的郵件（包括附（）不使用隨

12、意打開來歷不明的郵件（包括附件）及頁面連接；不安裝來歷不明的插件程序、件）及頁面連接；不安裝來歷不明的插件程序、不使用盜版游戲軟件。不使用盜版游戲軟件。（4 4）備份重要數(shù)據(jù)）備份重要數(shù)據(jù)（5 5）一般不要將磁盤上的文件夾或文件設(shè)置共享）一般不要將磁盤上的文件夾或文件設(shè)置共享計(jì)算機(jī)病毒的清除方法 1.1.使用殺毒軟件使用殺毒軟件-常用的殺毒軟件有常用的殺毒軟件有 金山毒霸（金山毒霸（http:/http:/） 瑞星殺毒軟件（瑞星殺毒軟件（http:/http:/） 諾頓防毒軟件（諾頓防毒軟件（http:/http:/） 江民殺毒軟件（江民殺毒軟件（http:/http:/） -使用專殺工具各網(wǎng)

13、站上提供的病毒專殺工使用專殺工具各網(wǎng)站上提供的病毒專殺工具，對特定病毒進(jìn)行清殺具，對特定病毒進(jìn)行清殺. .通過搜索引擎查找特通過搜索引擎查找特定病毒所采用的殺毒軟件定病毒所采用的殺毒軟件提倡采用多種殺毒軟件進(jìn)行綜合殺毒提倡采用多種殺毒軟件進(jìn)行綜合殺毒- -有關(guān)病毒的認(rèn)識可查閱網(wǎng)上信息有關(guān)病毒的認(rèn)識可查閱網(wǎng)上信息在某些網(wǎng)站上查閱病毒警報(bào)在某些網(wǎng)站上查閱病毒警報(bào), ,根據(jù)病毒的根據(jù)病毒的作用機(jī)制作用機(jī)制, ,來做出相應(yīng)的防范措施來做出相應(yīng)的防范措施, ,提前提前預(yù)防病毒的襲擊預(yù)防病毒的襲擊, ,保證系統(tǒng)的安全保證系統(tǒng)的安全http:/ 實(shí)例實(shí)例現(xiàn)象現(xiàn)象: :計(jì)算機(jī)上有大量計(jì)算機(jī)上有大量 的_des

14、ktop.ini文件,刪除后馬上又出現(xiàn),導(dǎo)致計(jì)算機(jī)速度變慢,時(shí)而導(dǎo)致藍(lán)屏,用殺毒軟件也無濟(jì)于事處理辦法:在網(wǎng)上搜索,查找有關(guān)手工輸出病毒的方法網(wǎng)上查找網(wǎng)上查找, ,了解該病毒的知識了解該病毒的知識“威金（威金（Worm.Viking）”病毒特點(diǎn)病毒特點(diǎn)-專殺及專殺及_desktop.ini刪除刪除 很麻煩的威金很麻煩的威金Worm.Viking病毒，今天發(fā)現(xiàn)電腦中出病毒，今天發(fā)現(xiàn)電腦中出現(xiàn)了現(xiàn)了_desktop.ini的文件的文件,才知道中了名為威金才知道中了名為威金（Worm.Viking）的病毒）的病毒,而安裝的殺毒軟件竟然殺不而安裝的殺毒軟件竟然殺不了了,沒辦法了沒辦法了,只好上網(wǎng)查找解

15、決方法只好上網(wǎng)查找解決方法,還真讓我給找到還真讓我給找到了了,問題解決了問題解決了,方法不敢獨(dú)享方法不敢獨(dú)享,介紹給機(jī)器出了同樣問介紹給機(jī)器出了同樣問題的人題的人.新聞來自新聞來自: 新客網(wǎng)新客網(wǎng)() 詳文參考：詳文參考：http:/ 威脅級別：威脅級別： 病毒類型：蠕蟲病毒類型：蠕蟲 影響系統(tǒng)：影響系統(tǒng)：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行為病毒行為: 該病毒為該病毒為Windows平臺下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、平臺下集成可執(zhí)行文件感染、網(wǎng)絡(luò)感染、下載網(wǎng)絡(luò)木馬或其它病毒的復(fù)合型病毒，下載網(wǎng)絡(luò)木馬或其它病毒的復(fù)合型病毒，病毒運(yùn)行后病毒運(yùn)行后將

16、自身將自身偽裝成系統(tǒng)偽裝成系統(tǒng)正常文件，通過正常文件，通過修改注冊表項(xiàng)使病毒開機(jī)時(shí)可以修改注冊表項(xiàng)使病毒開機(jī)時(shí)可以自動(dòng)運(yùn)行自動(dòng)運(yùn)行，同時(shí)病毒通過，同時(shí)病毒通過線程注入技術(shù)繞過防火墻的監(jiān)視線程注入技術(shù)繞過防火墻的監(jiān)視，連接到病毒作者指定的網(wǎng)站下載特定的木馬連接到病毒作者指定的網(wǎng)站下載特定的木馬或其它病毒，同或其它病毒，同時(shí)病毒運(yùn)行后枚舉內(nèi)網(wǎng)的所有可用共享，并嘗試通過弱口令時(shí)病毒運(yùn)行后枚舉內(nèi)網(wǎng)的所有可用共享，并嘗試通過弱口令方式連接感染目標(biāo)計(jì)算機(jī)。方式連接感染目標(biāo)計(jì)算機(jī)。運(yùn)行過程過感染用戶機(jī)器上的可執(zhí)行文件，造成用戶機(jī)器運(yùn)運(yùn)行過程過感染用戶機(jī)器上的可執(zhí)行文件，造成用戶機(jī)器運(yùn)行速度變慢，破壞用戶機(jī)器

17、的可執(zhí)行文件，給用戶安全性構(gòu)行速度變慢，破壞用戶機(jī)器的可執(zhí)行文件，給用戶安全性構(gòu)成危害。成危害。傳播途徑傳播途徑: :病毒主要通過共享目錄、文件捆綁、病毒主要通過共享目錄、文件捆綁、運(yùn)行被感染病毒的程序、可帶病毒的郵件附運(yùn)行被感染病毒的程序、可帶病毒的郵件附件等方式進(jìn)行傳播。件等方式進(jìn)行傳播。1 1、病毒運(yùn)行后將自身復(fù)制到、病毒運(yùn)行后將自身復(fù)制到WindowsWindows文件夾下文件夾下, ,文件名為文件名為: :%SystemRoot%SystemRoot%rundl132.exerundl132.exe2 2、運(yùn)行被感染的文件后，病毒將病毒體復(fù)制到為以下文件、運(yùn)行被感染的文件后，病毒將病

18、毒體復(fù)制到為以下文件: :%SystemRoot%logo_1.exe%SystemRoot%logo_1.exe3 3、同時(shí)病毒會(huì)在病毒文件夾下生成、同時(shí)病毒會(huì)在病毒文件夾下生成: :病毒目錄病毒目錄vdll.dllvdll.dll4 4、病毒從、病毒從Z Z盤開始向前搜索所有可用分區(qū)中的盤開始向前搜索所有可用分區(qū)中的exeexe文件，然后文件，然后感染所有大小感染所有大小27kb-10mb27kb-10mb的可執(zhí)行文件，感染完畢在被感染的的可執(zhí)行文件，感染完畢在被感染的文件夾中生成文件夾中生成: :_desktop.ini_desktop.ini ( (文件屬性文件屬性: :系統(tǒng)、隱藏。系

19、統(tǒng)、隱藏。) )5 5、病毒會(huì)嘗試修改、病毒會(huì)嘗試修改%SysRoot%system32driversetchosts%SysRoot%system32driversetchosts文件。文件。6、病毒通過添加如下注冊表項(xiàng)實(shí)現(xiàn)病毒開機(jī)自動(dòng)運(yùn)行、病毒通過添加如下注冊表項(xiàng)實(shí)現(xiàn)病毒開機(jī)自動(dòng)運(yùn)行:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunload=C:WINNTrundl132.exeHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload=C:

20、WINNTrundl132.exe7、病毒運(yùn)行時(shí)嘗試查找窗體名為、病毒運(yùn)行時(shí)嘗試查找窗體名為:RavMonClass的程序，的程序，查找到窗體后發(fā)送消息關(guān)閉該程序。查找到窗體后發(fā)送消息關(guān)閉該程序。8、枚舉以下殺毒軟件進(jìn)程名，查找到后終止其進(jìn)程、枚舉以下殺毒軟件進(jìn)程名，查找到后終止其進(jìn)程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時(shí)病毒嘗試?yán)靡韵旅罱K止相關(guān)殺病毒軟件：、同時(shí)病毒嘗試?yán)靡韵旅罱K止相關(guān)殺病毒軟件：net stop Kingsoft AntiVirus Service10、發(fā)送、發(fā)送ICM

21、P(Internet Control Message Protocol )探測數(shù)據(jù)探測數(shù)據(jù)Hello,World，判斷網(wǎng)絡(luò)狀，判斷網(wǎng)絡(luò)狀態(tài)，網(wǎng)絡(luò)可用時(shí)，態(tài)，網(wǎng)絡(luò)可用時(shí)，枚舉內(nèi)網(wǎng)所有共享主機(jī)，并嘗試用弱口令連接枚舉內(nèi)網(wǎng)所有共享主機(jī)，并嘗試用弱口令連接IPC$、admin$等共享目錄，連接成功后進(jìn)行網(wǎng)絡(luò)等共享目錄，連接成功后進(jìn)行網(wǎng)絡(luò)感染。感染。 11、感染用戶機(jī)器上的、感染用戶機(jī)器上的exe文件文件 12、枚舉系統(tǒng)進(jìn)程，嘗試將病毒、枚舉系統(tǒng)進(jìn)程，嘗試將病毒dll(vdll.dll)選擇性注入以下進(jìn)選擇性注入以下進(jìn)程名對應(yīng)的進(jìn)程程名對應(yīng)的進(jìn)程:Explorer Iexplore找到符合條件的進(jìn)程后隨

22、機(jī)注入以上兩個(gè)進(jìn)程中的其中一個(gè)。找到符合條件的進(jìn)程后隨機(jī)注入以上兩個(gè)進(jìn)程中的其中一個(gè)。13、當(dāng)外網(wǎng)可用時(shí)，被注入的、當(dāng)外網(wǎng)可用時(shí)，被注入的dll文件嘗試連接以下網(wǎng)站下載并文件嘗試連接以下網(wǎng)站下載并運(yùn)行相關(guān)程序運(yùn)行相關(guān)程序:http:/www.17*.com/gua/zt.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/wow.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/mx.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/zt.exe 保存保存為為:%SystemRoot%Sy.exehttp:

23、/www.17*.com/gua/wow.exe 保存保存為為:%SystemRoot%1Sy.exehttp:/www.17*.com/gua/mx.exe 保存保存為為:%SystemRoot%2Sy.exe注：三個(gè)程序都為木馬程序注：三個(gè)程序都為木馬程序 14、病毒會(huì)將下載后的、病毒會(huì)將下載后的1.txt的內(nèi)容添加到以下相關(guān)注冊表項(xiàng)：的內(nèi)容添加到以下相關(guān)注冊表項(xiàng)：恢復(fù)病毒修改的注冊表項(xiàng)目，刪除病毒添加的注冊表項(xiàng)恢復(fù)病毒修改的注冊表項(xiàng)目，刪除病毒添加的注冊表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows鍵

24、值鍵值: 字串字串: load =C:WINDOWSrundl132.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManagerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0值值: dsfsfaaStartup.AppName=ATISoftwarer=sssHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows鍵鍵值值: 字串字串: ver_down1=COM+7:18:32: Setup started- DATE:05,22,2006 TIME: 07:1

25、8 pm11111HKEY_LOCAL_MACHINESOFTWARESoftHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto值值: 1二、二、desktop.ini病毒刪除方法病毒刪除方法該病毒會(huì)在每個(gè)文件夾中生成一個(gè)名為該病毒會(huì)在每個(gè)文件夾中生成一個(gè)名為_desktop.ini的文件，一個(gè)個(gè)去刪的文件，一個(gè)個(gè)去刪除，顯然太費(fèi)勁，（我的機(jī)器的操作系統(tǒng)因安裝在除，顯然太費(fèi)勁，（我的機(jī)器的操作系統(tǒng)因安裝在NTFS格式下，所以系格式下，所以系統(tǒng)盤下的文件夾中沒有這個(gè)文件，另外

26、盤下的文件夾無一幸免），因此在統(tǒng)盤下的文件夾中沒有這個(gè)文件，另外盤下的文件夾無一幸免），因此在這里介紹給大家一個(gè)批處理命令這里介紹給大家一個(gè)批處理命令 del d:_desktop.ini /f/s/q/a，該命令的，該命令的作用是：作用是：強(qiáng)制刪除強(qiáng)制刪除d盤下所有目錄內(nèi)（包括盤下所有目錄內(nèi)（包括d盤本身）的盤本身）的_desktop.ini文件并且不提文件并且不提示是否刪除示是否刪除 /f 強(qiáng)制刪除只讀文件強(qiáng)制刪除只讀文件 /q 指定靜音狀態(tài)。不提示您確認(rèn)刪除。指定靜音狀態(tài)。不提示您確認(rèn)刪除。 /s 從當(dāng)前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。從當(dāng)前目錄及其所有子目錄中

27、刪除指定文件。顯示正在被刪除的文件名。 /a的意思是按照屬性來刪除了的意思是按照屬性來刪除了 這個(gè)命令的作用是在殺掉這個(gè)命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的文件用的使用方法是開始使用方法是開始-所有程序所有程序-附件附件-命令提示符，鍵入上述命令（也可復(fù)制命令提示符，鍵入上述命令（也可復(fù)制粘貼），首先刪除粘貼），首先刪除D盤中的盤中的_desktop.ini，然后依此刪除另外盤中的，然后依此刪除另外盤中的_desktop.ini。至此，該病毒對機(jī)器造成的影響全部消除。至此，該病毒對機(jī)器造成的影響全部消除。 可確定進(jìn)程、文

28、件、注冊表和垃圾文件可確定進(jìn)程、文件、注冊表和垃圾文件進(jìn)程為：進(jìn)程為：rundl132.exe文件：文件：rundl132.exe，wow.exe ， 1Sy.exe， 2Sy.exe垃圾文件：垃圾文件： _desktop.ini注冊表信息注冊表信息清除方法流程：清除方法流程：停止病毒進(jìn)程，刪除相關(guān)文件，更改注冊表停止病毒進(jìn)程，刪除相關(guān)文件，更改注冊表Step1-Step1-用用Ctrl+Alt+delCtrl+Alt+del打開任務(wù)管理器結(jié)打開任務(wù)管理器結(jié)束病毒進(jìn)程束病毒進(jìn)程rundl132.exerundl132.exe如果還是不能夠結(jié)束進(jìn)程，可用命令來強(qiáng)制如果還是不能夠結(jié)束進(jìn)程，可用命令

29、來強(qiáng)制結(jié)束結(jié)束(P實(shí)踐教程實(shí)踐教程108) ntsd c q p PID(進(jìn)程進(jìn)程ID)Step2-Step2-刪除與病毒有關(guān)的文件刪除與病毒有關(guān)的文件刪除根目錄下的刪除根目錄下的rundl132.exe，wow.exe ，1Sy.exe， 2Sy.exe若刪除的文件隱藏時(shí)，需要首先設(shè)置顯示所若刪除的文件隱藏時(shí)，需要首先設(shè)置顯示所有的隱藏文件、系統(tǒng)文件并顯示文件擴(kuò)展名有的隱藏文件、系統(tǒng)文件并顯示文件擴(kuò)展名; ;我的電腦我的電腦-工具工具(T)-(T)-文件夾選項(xiàng)文件夾選項(xiàng)(O).-(O).-查看查看-選擇選擇 顯示所有文件和文件夾顯示所有文件和文件夾,并并把隱藏受保護(hù)的操作系統(tǒng)文件把隱藏受保護(hù)

30、的操作系統(tǒng)文件( (推薦推薦) )前的勾前的勾去掉去掉, ,這時(shí)會(huì)彈出一個(gè)警告這時(shí)會(huì)彈出一個(gè)警告, ,選擇是選擇是. .至此就顯至此就顯示了所有的隱藏文件了示了所有的隱藏文件了 溫馨提示溫馨提示HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows中的鍵值中的鍵值:load =C:WINDOWSrundl132.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManagerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0中

31、的中的: dsfsfaaStartup.AppName=ATISoftwarer=sssHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows中中的的: ver_down1=COM+7:18:32: Setup started- DATE:05,22,2006 TIME: 07:18 pm11111“HKEY_LOCAL_MACHINESOFTWARESoftHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW中中的：的：auto值值: 1Step3-恢

32、復(fù)病毒修改的注冊表項(xiàng)目，恢復(fù)病毒修改的注冊表項(xiàng)目，刪除刪除病毒添加的注冊表項(xiàng)病毒添加的注冊表項(xiàng)溫馨提示溫馨提示為安全起見，在更改注為安全起見，在更改注 冊表之冊表之前，一定要把注冊表導(dǎo)出，以前，一定要把注冊表導(dǎo)出，以免更改后出現(xiàn)問題時(shí)，不能還免更改后出現(xiàn)問題時(shí)，不能還原。若出現(xiàn)錯(cuò)誤，可把備份的原。若出現(xiàn)錯(cuò)誤，可把備份的注冊表導(dǎo)入。注冊表導(dǎo)入。Step4-刪除垃圾文件刪除垃圾文件del d:_desktop.ini /f/s/q/a強(qiáng)制刪除強(qiáng)制刪除d盤下所有目錄內(nèi)（包括盤下所有目錄內(nèi)（包括d盤本身）的盤本身）的_desktop.ini文件并且不提示是否刪除文件并且不提示是否刪除 /f 強(qiáng)制刪除只

33、讀文件強(qiáng)制刪除只讀文件 /q 指定靜音狀態(tài)。不提示您確認(rèn)刪除。指定靜音狀態(tài)。不提示您確認(rèn)刪除。 /s 從當(dāng)前目錄及其所有子目錄中刪除指定文件。顯示從當(dāng)前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。正在被刪除的文件名。 /a的意思是按照屬性來刪除了的意思是按照屬性來刪除了 這個(gè)命令的作用是在殺掉這個(gè)命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)病毒之后清理系統(tǒng)內(nèi)殘留的殘留的_desktop.ini文件用的文件用的如：如：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows中的鍵值中的鍵值:load =C

34、:WINDOWSrundl132.exe溫馨提示溫馨提示手工殺毒后，應(yīng)該做下列檢查：手工殺毒后，應(yīng)該做下列檢查：(1)(1)硬盤引導(dǎo)時(shí)，是否出現(xiàn)死機(jī)、引導(dǎo)時(shí)間是否硬盤引導(dǎo)時(shí)，是否出現(xiàn)死機(jī)、引導(dǎo)時(shí)間是否太長、運(yùn)行速度太慢等太長、運(yùn)行速度太慢等(2)(2)任務(wù)管理器中查看是否有無可疑進(jìn)程任務(wù)管理器中查看是否有無可疑進(jìn)程(3)(3)在注冊表中有無可疑鍵值：在注冊表中有無可疑鍵值：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionrunrunone|runservices|手工清除方法適用范圍手工清除方法適用范圍 u該方法是復(fù)雜而又花費(fèi)時(shí)間，清除過程比較該方法是復(fù)雜而又花費(fèi)時(shí)間，清除過程比較麻煩，因此，主要針對一些對專業(yè)人士使用。麻煩，因此，主要針對一些對專業(yè)人士使用。u不同的病毒，手工清除方法不同具體方法不同的病毒，手工清除方法不同具體方法讀者可通過搜索引擎去查找相應(yīng)方法讀者可通過搜索引擎去查找相應(yīng)方法u一般方法都是通過主要利用一些工具軟件找一般方法都是通過主要利用一些工具軟件找到感染病毒的文件，通過修改安全設(shè)置參數(shù)到感染病毒的文件，通過修改安全設(shè)置參數(shù), ,在注冊表編輯器中通過手工清除病毒代碼。在注冊表編輯器中通過手工清除病毒代碼。 關(guān)于計(jì)算機(jī)病毒