認(rèn)識(shí)電腦病毒

認(rèn)識(shí)電腦病毒99.11.152023/1/121電腦病毒

大綱基本介紹惡性程式的擴(kuò)散基本的防毒常識(shí)防毒軟體的關(guān)鍵－病毒碼與掃瞄引擎

電腦病毒和駭客有什麼不同？

OfficeScan的操作Vbs_redlof.a-2病毒種類:

VBScript別名:

紅色結(jié)束符,

VBS/Redlof_A,

VBS:Redlof,

VBS/Redlof.A,

VBS.Redlof.A,

VBS/Exploit.C,

VBS/Redlof,

VBS.Redlof,

HTML.Redlof.A,

VBS/Redlof@MPropagatesviaemailInfectsfiles這種多形態(tài)的Visual

Basic

Script

(VBScript)病毒感染目標(biāo)系統(tǒng)上以下類型的檔：VBS、HTML、HTM、ASP、PHP、JSP、HTT2023/1/12電腦病毒4病毒-worm_lovgate.fMalwaretype:

WormAliases:

Email-Worm.Win32.LovGate.fThismemory-residentwormpropagatesthroughnetworksharesbydroppingcopiesofitselftosharedfolderswithread/writeaccess.ThefilesthatitdropscanhaveanyofthefollowingfilenamesAreyoulookingforLove.doc.exeautoexec.batTheworldoflovers.txt.exe2023/1/12電腦病毒5ThiswormalsogatherstargetemailaddressesfromHTMLfilesthatitfindsinthecurrent,Windows,andMyDocumentsfoldersandsendsanemailmessagewithitselfasattachmenttoallthesaidemailaddresses.Theemailmessageitsendsoutmaybeanyofthefollowing:Subject:Replytothis!

MessageBody:Forfurtherassistance,pleasecontact!

Attachment:About_Me.txt.pifSubject:Let'sLaugh

MessageBody:Copyofyourmessage,includingalltheheadersisattached.

Attachment:driver.exeSubject:LastUpdate

MessageBody:Thisisthelastcumulativeupdate.

Attachment:Doom3Preview!!!.exeSubject:foryou

MessageBody:TigerWoodshadtwoeaglesFridayduringhisvictoryoverStephenLeaney.(APPhoto/DenisPoroy)

Attachment:enjoy.exe2023/1/12電腦病毒6電腦病毒將本身複製到其他乾淨(jìng)的檔案或開機(jī)區(qū)的惡意程式，當(dāng)電腦使用者在不自覺的情形執(zhí)行到已受病毒感染的檔案或磁片開機(jī)時(shí)，這個(gè)惡意程式就以相同的方式繼續(xù)散播出去，例如PE_CIH就是一個(gè)典型的例子電腦病毒是不是都會(huì)在某特定日期發(fā)作且破壞電腦資料?這就和病毒的寫作者如何設(shè)計(jì)程式有關(guān)，並不屬於電腦病毒的特性。

惡意程式泛指所有不懷好意的程式碼，包括電腦病毒、特洛伊木馬程式、電腦蠕蟲。早期電腦病毒、特洛伊木馬程式、電腦蠕蟲都是各自獨(dú)立的程式而且彼此不相干，但近幾年來(lái)單一型態(tài)的惡性程式愈來(lái)愈少了，大部份都以『電腦病毒』加『電腦蠕蟲』或『特洛伊木馬程式』加『電腦蠕蟲』的型態(tài)存在以便造成更大的影響力，而且比率以前者居多。9『惡意程式』（MaliciousCode）定義--它是藉由駭客技術(shù)與病毒技術(shù)融合形成的。包括木馬、病毒、後門、間諜（偷資料）程式的綜合型工具。電腦被植入後門程式的特徵【Backdoor，以前又稱特洛依木馬（Trojan）】。這是一個(gè)遠(yuǎn)端遙控程式。潛伏在電腦中，從事資訊蒐集（比如記錄你的鍵盤操作獲得密碼，或擷取你的螢?zāi)划嬅妫┓奖泷斂瓦h(yuǎn)端連結(jié)登入（幫你開關(guān)機(jī)，增刪你的檔案，或讓你在自己的電腦控制遠(yuǎn)端機(jī)器下達(dá)操作指令）。惡意程式(Cont.)例如：『梅莉莎』(MELISSA)便是結(jié)合『電腦病毒』及『電腦蠕蟲』的兩項(xiàng)特性。該惡性程式不但會(huì)感染W(wǎng)ord的Normal.dot（此為電腦病毒特性），而且會(huì)透過(guò)OutlookE-mail大量散播（此為電腦蠕蟲特性）。另外一個(gè)案例是結(jié)合了『特洛伊木馬程式』及『電腦蠕蟲』兩項(xiàng)特性的『探險(xiǎn)蟲』（ExploreZip）。探險(xiǎn)蟲並不會(huì)感染任何檔案，但是是會(huì)覆蓋掉(Overwrite)在區(qū)域網(wǎng)路上遠(yuǎn)端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會(huì)透過(guò)區(qū)域網(wǎng)路將自己安裝到遠(yuǎn)端電腦上（此為電腦蠕蟲特性）。特洛伊木馬程式以一些特殊管道進(jìn)入使用者的電腦系統(tǒng)中，然後伺機(jī)執(zhí)行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。

檔案本身就是一個(gè)具破壞力的程式，執(zhí)行這個(gè)程式後會(huì)進(jìn)行一些破壞性的行為。因?yàn)樘芈逡滥抉R型病毒並不是正常的檔案受到感染後而產(chǎn)生的問(wèn)題檔案，而是本身就是一個(gè)有問(wèn)題的程式，所以防毒軟體並不能“清除”感染這個(gè)檔案的病毒。應(yīng)該做的是刪除這個(gè)有問(wèn)題的檔案及因?yàn)閳?zhí)行了該檔案後所衍生的其他檔案。電腦蠕蟲『本尊』會(huì)複製出很多『分身』，然後像蠕蟲般在電腦網(wǎng)路中爬行，從一臺(tái)電腦爬到另外一臺(tái)電腦，最常用的方法是透過(guò)區(qū)域網(wǎng)路（LAN）、網(wǎng)際網(wǎng)路（Internet）或是E-mail來(lái)散佈自己。目前較為流行的病毒大都屬於特洛依木馬型病毒和蠕蟲程式。最近最著名的電腦蠕蟲案例就是『VBS_LOVELETTER』14惡意程式發(fā)展趨勢(shì)

1987-1993

1993-1995

1995-1998

1998-目前電腦病毒*DOS檔案型

*DOS常駐型

*開機(jī)型*Win16檔案型*針對(duì)MSOffice系列的巨集型病毒*Win32檔案型

*Win32常駐型

*跨應(yīng)用程式感染型(Win32及巨集)特洛伊木馬程式*毀滅型

(格式化磁碟)無(wú)典型代表*竊取資料的Backdoor型程式*阻斷服務(wù)型(DDOS)*遠(yuǎn)程遙控的Backdoor型程式

Wireless型電腦蠕蟲無(wú)典型代表無(wú)典型代表無(wú)典型代表*Email散播型*網(wǎng)路散播型Networkworm*藉由安全漏洞散播型笑話一則有一次騎車在馬路上…正要左轉(zhuǎn)的時(shí)候…該死的紅燈竟然這個(gè)時(shí)候亮了來(lái)不及煞車…車子就不小心越過(guò)了停止線當(dāng)時(shí)是下班的時(shí)間…車子多到不行當(dāng)然也少不了中華民國(guó)的警察…這時(shí)看到他…他也看了我一下…不可思議的事情發(fā)生了…警察杯杯居然跟我比了個(gè)勝利的手勢(shì)

('_'v)我跟我同學(xué)互看了一下…都覺得不可思議…為了確定…往右邊再看一次…那個(gè)警察杯杯又比了一次勝利的手勢(shì)…當(dāng)時(shí)不知道該怎麼辦…只好也回敬了一個(gè)^.^>

(大頭貼裝可愛專用手勢(shì))結(jié)果…警察杯杯終於開口說(shuō)話了…"兩段式左轉(zhuǎn)啦…小姐！"

惡性程式的擴(kuò)散以合法管道進(jìn)行非法存取

閱讀E-MAIL時(shí)自動(dòng)散播藉由E-MAIL主動(dòng)散播

電腦病毒感染管道以合法管道進(jìn)行非法存取『TROJ_EXPLOREZIP探險(xiǎn)蟲』為例，它開創(chuàng)了另一種新的病毒行為模式，『探險(xiǎn)蟲』病毒會(huì)以受感染的電腦為源頭，透過(guò)網(wǎng)路自動(dòng)向外擴(kuò)散，並嚐試進(jìn)入將資料夾分享(Share)出來(lái)的電腦、刪除該電腦中的資料。2023/1/12電腦病毒17電腦病毒感染管道閱讀E-MAIL時(shí)自動(dòng)散播以往我們認(rèn)為在使用電子郵件時(shí)，只要不執(zhí)行或開啟附件（Attachment）就不會(huì)遭受病毒感染，但『VBS_BUBBLEBOY泡泡男孩』這隻由VBScript語(yǔ)言所寫成的病毒，即使是僅開啟電子郵件也可能遭受到病毒的威脅?！号菖菽泻ⅰ皇且噪娮余]件的型態(tài)在網(wǎng)路上傳播。郵件的主旨為"BubbleBoyisback!"，同時(shí)郵件的內(nèi)容為"TheBubbleBoyIncident，picturesandsounds."及一個(gè)由"bblboy.htm"結(jié)尾的沒有意義的網(wǎng)址。泡泡男孩被執(zhí)行後，會(huì)自動(dòng)尋找使用者的通訊錄，再把同樣的郵件自動(dòng)寄給通訊錄內(nèi)的地址2023/1/12電腦病毒18電腦病毒感染管道藉由E-MAIL主動(dòng)散播『梅莉莎』病毒能藉由E-MAIL主動(dòng)散播的病毒。美國(guó)聯(lián)邦調(diào)查局（ＦＢＩ）的文件巨集病毒是首隻會(huì)透過(guò)Outlook大量並以等比級(jí)數(shù)的速度散播的巨集病毒，短短一週內(nèi)毒性襲捲全球，許多知名大企業(yè)的郵件伺服器(E-MAILServer)也都因梅莉莎病毒所引起的郵件風(fēng)暴，導(dǎo)致伺服器不堪負(fù)荷而紛紛當(dāng)機(jī)。2023/1/12電腦病毒19病毒型態(tài)電腦病毒指的是會(huì)將本身複製到其他乾淨(jìng)的檔案或開機(jī)區(qū)的惡性程式，當(dāng)電腦使用者在不自覺的情形下再次執(zhí)行到已受病毒感染的檔案或重新開機(jī)時(shí)，這個(gè)惡性程式就以相同的方式繼續(xù)散播出去，例如PE_CIH就是一個(gè)典型的例子2023/1/12電腦病毒20病毒型態(tài)電腦病毒所影響的方式，可以區(qū)分為五大類：檔案型病毒：

指電腦病毒會(huì)依附在可執(zhí)行檔上面，根據(jù)統(tǒng)計(jì)，檔案型病毒佔(zhàn)了絕大部份比例的電腦病毒。常見到的檔案型病毒有Connie系列病毒與耶路撒冷(Jerusalem)系列病毒等等。2023/1/12電腦病毒21病毒型態(tài)開機(jī)型病毒：

開機(jī)型病毒通常會(huì)去感染硬碟或磁片的系統(tǒng)啟動(dòng)部位，因此開機(jī)型病毒我們又稱之為系統(tǒng)型病毒。開機(jī)型病毒是以猴子(Monkey)病毒最為典型，另外像是曾經(jīng)流行一陣子的米開朗基羅病毒（又名石頭三號(hào)病毒）也是屬於此類型的病毒。2023/1/12電腦病毒22病毒型態(tài)混合型病毒：由檔案型病毒及開機(jī)型病毒的特性混合而成，所以稱之為混合型病毒是最恰當(dāng)不過(guò)的?；旌闲筒《镜睦酉喈?dāng)多，如目前已經(jīng)流傳開來(lái)的威力強(qiáng)大的3783病毒、有名的NATAS(4744)病毒及龍舌蘭(Tequila)病毒皆是。2023/1/12電腦病毒23病毒型態(tài)視窗型病毒：視窗型病毒與傳統(tǒng)DOS的檔案型病毒在感染方面並沒有什麼不同，只不過(guò)這一類型的病毒必須在Windows的環(huán)境之下才能夠啟動(dòng)執(zhí)行。WinTiny、WinLamer、WinLamer2、BOZA及WINVIR都是屬於視窗型病毒。另外，像3783病毒除了會(huì)感染在DOS系統(tǒng)下的系統(tǒng)啟動(dòng)部位及檔案之外，它也能夠在Windows的環(huán)境下運(yùn)作。2023/1/12電腦病毒24病毒型態(tài)文件巨集型病毒：

傳統(tǒng)病毒需寄附於可執(zhí)行程式或區(qū)段，但文件巨集病毒的寄主卻是使用者的文件檔，換言之病毒感染對(duì)象不再是程式而是具有特定格式之文件檔，這是一種新型態(tài)的電腦病毒，也是目前最容易感染的病毒。每隻文件巨集病毒其破壞方式都不太相同，到目前為止以臺(tái)灣No.1巨集病毒流傳率最高，其次也常有臺(tái)灣劇場(chǎng)、釣魚臺(tái)、教師節(jié)、聖誕節(jié)以及亞特蘭大等文件巨集病毒發(fā)生的災(zāi)情傳出。2023/1/12電腦病毒25TaiwanNO.1Word文件巨集病毒臺(tái)灣有個(gè)『臺(tái)灣威力病毒組織(TPVO)』，後來(lái)改名為『臺(tái)灣威力病毒研究組織(OVEL)』。出現(xiàn)了所謂的『巨集病毒』，像是TaiwanNO.1Word文件巨集病毒就是針對(duì)Word而來(lái)。像這種鎖定特殊受歡迎的軟體的病毒，只要有該軟體就會(huì)有中毒的可能，達(dá)到一部份的跨平臺(tái)性（例如MacOS上也有Word就會(huì)感染）。大家漸漸有了一定的共識(shí)，不再隨意拷貝執(zhí)行檔，但是往往因?yàn)閼?yīng)映各種不同的需要而交換文件，也因此造成Word,Excel,Access等巨集病毒流行一時(shí)。2023/1/12電腦病毒2627間諜程式(spyware)間諜程式掃瞄並非病毒或惡意的程式碼，而是危及您隱私的應(yīng)用程式，允許駭客在您毫無(wú)知覺的情況下取得您電腦的控制權(quán)經(jīng)常隨著您下載想要的應(yīng)用程式的同時(shí)，不知不覺地下載到您的電腦上。這些安全威脅包括間諜程式、廣告軟體、惡意撥號(hào)程式、惡作劇程式、駭客工具、遠(yuǎn)端存取工具、密碼破解應(yīng)用程式，以及其他未分類的軟體。28微軟的後門程式例子WindowsXP上預(yù)掛的WindowsUpdate程式（後門程式），它的升級(jí)程序如下：程序目的1.開機(jī)時(shí)自動(dòng)連上微軟的Update網(wǎng)站潛伏並常駐在記憶體中2.將電腦的現(xiàn)況回報(bào)給Windows網(wǎng)站蒐集電腦系統(tǒng)運(yùn)作的相關(guān)資訊3.以WindowsUpdate程式通知使用者，更新檔案以特定的port進(jìn)行系統(tǒng)版本更新29後門程式攻擊手法攻擊手法－－潛伏、蒐集、遠(yuǎn)端管控。後門程式不一定會(huì)進(jìn)行自我複製的動(dòng)作，也就是後門程式不一定會(huì)「感染」到其他的電腦。它並不會(huì)進(jìn)行破壞性的動(dòng)作，而且所蒐集的資訊也不固定，因此防毒軟體無(wú)法針對(duì)單一行為進(jìn)行攔截。30後門程式防治法後門程式是以單一程序（Process）的型式存在的，除非防毒軟體的病毒碼中記錄了所有已知的後門程式，否則後門程式是等同於一般程式。一般防毒軟體僅能攔截並刪除已知的後門程式，電腦使用者是以防毒軟體來(lái)防範(fàn)後門程式。但這不是正確的做法，因?yàn)樾碌幕蚝翢o(wú)名氣的後門程式是無(wú)法防範(fàn)的，正確的做法應(yīng)該是先修補(bǔ)系統(tǒng)或程式中的漏洞。31系統(tǒng)安全弱點(diǎn)安全弱點(diǎn)會(huì)讓攻擊者、病毒或其他網(wǎng)路安全威脅更容易傷害您的電腦。Microsoft已公開確認(rèn)這些存在於其軟體中的安全弱點(diǎn)，並且發(fā)行其相對(duì)應(yīng)的修正檔。修正安全弱點(diǎn)可協(xié)助您有效降低您電腦受到攻擊或病毒感染的機(jī)會(huì)。電腦蠕蟲最常利用此弱點(diǎn)。典型的系統(tǒng)漏洞的例子大家都知道Windows9x

的螢?zāi)槐Ｗo(hù)程式可以設(shè)保護(hù)密碼，但可以經(jīng)由重新開機(jī)把密碼保護(hù)拿掉。想用高級(jí)一點(diǎn)的方法，使用AutoRun，那麼我們可以自行製作一張光碟片，在根目錄的地方寫一個(gè)autorun.inf純文字檔案，內(nèi)容如下：[autorun]OPEN=TEST.EXE如果碰到一臺(tái)正被螢?zāi)槐Ｗo(hù)程式鎖住的電腦，就可以把這片光碟插入光碟機(jī)裡面，於是TEST.EXE就會(huì)被執(zhí)行，然後螢?zāi)槐Ｗo(hù)程式就會(huì)被解除....2023/1/12電腦病毒3233巨集病毒它專門感染經(jīng)由WORD所編輯過(guò)的文件，而這一類型的病毒又是一隻跨平臺(tái)的病毒此類型的病毒其感染方式為，一旦我們開啟有巨集病毒的文件之後，以後我們所開啟的舊檔或是開啟新檔案等等都難逃WORD巨集病毒的惡夢(mèng)。早期以『臺(tái)灣No.1』巨集病毒流傳率最高目前以梅莉莎病毒較有名34防止巨集病毒35防止巨集病毒自行決定是否開啟此巨集功能36如果中了巨集病毒怎麼辦檔案巨集病毒通常會(huì)放在C:\windows\ApplicationData\Microsoft\Templates\normal.dot然後感染ProgramFile\MicrosoftOffice\Templates\normal.dot因此必須移除上述兩個(gè)檔案複製一份新的normal.dot(使用者範(fàn)本)關(guān)閉巨集功能開啟帶病毒檔與另開新檔複製內(nèi)容再貼到新檔新檔存檔刪除原帶病毒檔完成37蠕蟲型病毒定義--利用作業(yè)系統(tǒng)漏洞進(jìn)行攻擊模式的病毒模式（防毒系統(tǒng)無(wú)法百分之百防護(hù)）疾風(fēng)病毒簡(jiǎn)介(著名病毒-代表作)：疾風(fēng)系列病毒鎖定的目標(biāo)，都是WindowsXP、Windows2000和WindowsNT4.0等微軟視窗作業(yè)系統(tǒng)的安全漏洞，然後在區(qū)域網(wǎng)路中大量寄送封包，最後癱瘓網(wǎng)路。38疾風(fēng)病毒W(wǎng)32.Blaster.Worm1.出現(xiàn)RPC服務(wù)意外終止倒數(shù)60秒重新啟動(dòng)的訊息，造成系統(tǒng)不斷重開機(jī).2.無(wú)法執(zhí)行複製或貼上的動(dòng)作.3.無(wú)法拖曳圖示4.新增移除程式呈現(xiàn)空白狀態(tài)5.某些應(yīng)用程式無(wú)法執(zhí)行，如InternetExplorer、MicrosoftOutlook、OutlookExpress、MSOffice.6.網(wǎng)路與系統(tǒng)速度變慢.39疾風(fēng)病毒檢測(cè)方法11.【開始->執(zhí)行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗2.鍵入指令:netstat–a3.查看列出的清單中是否有下列字串:ProtocalLocalAddressForeignAddressStatusTCP<電腦名稱>:4444或<電腦名稱>:707<電腦名稱>:0LISTENINGUDP<電腦名稱>:69<電腦名稱>:0LISTENING40疾風(fēng)病毒檢測(cè)方法2執(zhí)行[工作管理員]點(diǎn)選[處理程序]查看是否有下列程式正在執(zhí)行

msblast.exe或dllhost.exe若有發(fā)現(xiàn)此檔名則是中了"疾風(fēng)病毒“Windows2000作業(yè)系統(tǒng)

C:\>cd\winnt\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現(xiàn)此兩個(gè)檔案即已中了"疾風(fēng)變種病毒")WindowsXP作業(yè)系統(tǒng)

C:\>cd\windows\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現(xiàn)此兩個(gè)檔案即已中了"疾風(fēng)變種病毒")

請(qǐng)將dllhost.exe及svchost.exe2個(gè)檔案刪除41疾風(fēng)病毒清除1.如果你的電腦會(huì)要求重開機(jī)，請(qǐng)立刻執(zhí)行以下動(dòng)作：1.【開始->執(zhí)行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗。2.在DOS視窗下(C:\>)輸入【shutdown-a】，可停止關(guān)機(jī)程序。3.按“CTRL+SHIFT+ESC”叫出工作管理員，點(diǎn)選“處理程序”標(biāo)籤，找到下述執(zhí)行檔：MSBLAST.EXE或SVCHOST，然後按下"結(jié)束處理程序"的按鈕。42疾風(fēng)病毒清除2.下載防毒軟體廠商所提供的清除病毒工具。

.tw/avcenter/venc/data/w32.blaster.worm.removal.tool.html

/ftp/products/tsc/

3.下載微軟修正程式：

/taiwan/security/bulletins/MS03-026.asp

/taiwan/security/bulletins/MS03-007.asp43疾風(fēng)病毒清除4.拔除網(wǎng)路線5.執(zhí)行清除病毒(使用步驟2所下載的清毒工具)6.安裝Microsoft之修正程式7.重新啟動(dòng)電腦8.接上網(wǎng)路線44疾風(fēng)變種病毒疾風(fēng)變種病毒(MSBLAST.D)賽門鐵克命名為威而加Welchia趨勢(shì)科技命名為假好心病毒這支病毒會(huì)在網(wǎng)路上搜尋已遭疾風(fēng)病毒感染的電腦，並將疾風(fēng)病毒蟲移除，然後利用微軟提供的8種修正程式修復(fù)遭疾風(fēng)感染的電腦，再以這些電腦為跳板，在網(wǎng)上搜尋其他有安全漏洞的電腦。45殺手病毒W(wǎng)32.Sasser.Worm1.會(huì)對(duì)外建立大量連線2.試圖感染其他網(wǎng)友的電腦。這不但會(huì)造成感染的電腦無(wú)法上網(wǎng)，同時(shí)也會(huì)造成網(wǎng)路的擁塞，3.也會(huì)倒數(shù)重開機(jī)。46殺手病毒檢測(cè)如果您的電腦路徑C:\Winnt或是C:\Windows有出現(xiàn)avserve.exe檔案，那麼您的電腦可能已經(jīng)感染Sasser蠕蟲47殺手病毒清除已中毒者，請(qǐng)先下載掃毒程式

/avcenter/FxSasser.exe48殺手病毒防止安裝了MicrosoftMS04-011的修正程式，將可以免於Sasser的威脅。建議您用防火牆阻擋有相關(guān)的port

Port139(tcp/udp)

Port445(tcp/udp)49「新型病毒」，特點(diǎn)為：結(jié)合了傳統(tǒng)的病毒、自動(dòng)掃描、蠕蟲、後門程式。行蹤不定、變化多端，可以掌握被入侵電腦的系統(tǒng)資訊。病毒程式經(jīng)過(guò)加密、具有偽裝（ex：變更附檔名稱）的功能。採(cǎi)用大量、迅速、分段入侵的方式，對(duì)網(wǎng)路造成巨大的威脅。50『梅莉莎』(MELISSA)結(jié)合『電腦病毒』及『電腦蠕蟲』的兩項(xiàng)特性。該惡性程式不但會(huì)感染W(wǎng)ord的Normal.dot（此為電腦病毒特性），而且會(huì)透過(guò)OutlookE-mail大量散播（此為電腦蠕蟲特性）。讓mailServer負(fù)荷過(guò)重讓網(wǎng)路癱瘓51Melissa病毒感染流程1.當(dāng)使用者開啟一個(gè)含有梅莉莎病毒的Word文件時(shí)，病毒就會(huì)立刻感染W(wǎng)ord的範(fàn)本文件Normal.dot。2.接著病毒就會(huì)去讀取使用者Outlook中的「通訊錄」，自動(dòng)從通訊錄中挑選收件者名單，並自動(dòng)將自己透過(guò)e-mail傳送給這些人。3.當(dāng)上述的收件人開啟了e-mail中含有梅莉莎病毒的Word文件檔時(shí)，病毒便如法泡製的將自己再度透過(guò)Outlook傳播給其他人。4.梅莉莎病毒的傳播不但企業(yè)內(nèi)部網(wǎng)路會(huì)受到染感，甚至遠(yuǎn)在國(guó)外或其他企業(yè)組織的人，只要是在Outlook通訊錄中出現(xiàn)的名單，都很難逃過(guò)一劫。52Melissa病毒清除同巨集病毒清除法53『探險(xiǎn)蟲』（ExploreZip）結(jié)合了『特洛伊木馬程式』及『電腦蠕蟲』兩項(xiàng)特性。探險(xiǎn)蟲並不會(huì)感染任何檔案，但是是會(huì)覆蓋掉(Overwrite)在區(qū)域網(wǎng)路上遠(yuǎn)端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會(huì)透過(guò)區(qū)域網(wǎng)路將自己安裝到遠(yuǎn)端電腦上（此為電腦蠕蟲特性）。54ExploreZip病毒外表Email使用者收到"「回覆」Re:"信件時(shí)，必須特別留意信件內(nèi)容是否如下：

HiPenny(收件人名字)!

IreceivedyouremailandIshallsendyouareplyASAP.

Tillthen,takealookattheattachedzippeddocs.

SincerelyJohnson

PS.問(wèn)候語(yǔ)也有可能是Bye,Sincerely,All或是Salutation等。這時(shí)若你發(fā)現(xiàn)信中夾帶檔名為"zipped_files.exe"的附件，請(qǐng)千萬(wàn)不要開啟，直接刪除該信件。否則將會(huì)展開一連串的破壞行動(dòng)。55ExploreZip擴(kuò)散方式Email:利用Microsoft的MAPI功能在使用者不知情的狀況下，反寄一封帶毒的電子郵件給原寄件者。企業(yè)網(wǎng)路："Explorezip探險(xiǎn)蟲"一旦在任何一臺(tái)電腦中啟動(dòng)，即會(huì)找尋網(wǎng)路上原設(shè)定讓中毒電腦分享資源的其他電腦，一旦找到目標(biāo)，"探險(xiǎn)蟲"即會(huì)開始修改其開機(jī)設(shè)定(若是針對(duì)Windows95/98電腦，則加入WIN.INI中；針對(duì)NT電腦則是加入"Registry")並安裝一個(gè)具破壞性的執(zhí)行檔案(Explore.exeor_setup.exe)。該電腦將會(huì)成為帶原者，一旦重新開機(jī)，即會(huì)再度於網(wǎng)路上尋找下一個(gè)網(wǎng)路上的芳鄰，開始進(jìn)行連鎖感染。56ExploreZip破壞力將以下副檔名的檔案內(nèi)容全數(shù)化為烏有，僅剩目錄而無(wú)內(nèi)文:

.c(csourcecodefiles)

.cpp(c++sourcecodefiles)

.h(programheaderfiles)

.asm(assemblysourcecode)

.doc(MicrosoftWord)

.xls(MicrosoftExcel)

.ppt(MicrosoftPowerPoint)使網(wǎng)路效率變慢57ExploreZip影響力企業(yè)組織內(nèi)若有一臺(tái)電腦沒有裝防毒軟體，或是有安裝防毒軟體但沒有更新至最新的防毒元件，極有可能導(dǎo)致重複性的全面感染。比如1000臺(tái)電腦中999臺(tái)都安全無(wú)毒，但漏掉一臺(tái)外務(wù)人員的Notebook，一旦這臺(tái)電腦連上網(wǎng)路，整個(gè)網(wǎng)路的感染又將再度展開。58如果已經(jīng)感染了EXPLORZIP探險(xiǎn)蟲，您應(yīng)該怎麼辦？保護(hù)伺服器：如果這個(gè)病毒已經(jīng)在您的網(wǎng)路環(huán)境上造成某些程度的破壞了，首先將伺服器的存取權(quán)限改成“讀取”（Read-Only），必要時(shí)，請(qǐng)先關(guān)掉伺服器，以避免檔案進(jìn)一步的被破壞。請(qǐng)利用“登錄編輯器”（regedit）刪掉以下目錄的數(shù)值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數(shù)值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經(jīng)在執(zhí)行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機(jī)後就自動(dòng)執(zhí)行。59您應(yīng)該怎麼辦？保護(hù)您的工作站立刻讓工作站離開網(wǎng)路系統(tǒng)（例如，拔掉網(wǎng)路線）移除電腦上的共享目錄或是磁碟（至少先改成只有“讀取”權(quán)限）使用PC-cillin或是OfficeScan掃瞄所有磁碟機(jī)（請(qǐng)確定使用2.062以上的掃瞄引擎及543以上的病毒碼）。如果發(fā)現(xiàn)病毒時(shí)，立刻刪除。完全刪除後，再重新連接網(wǎng)路。如果您發(fā)現(xiàn)無(wú)法刪除該病毒，那麼代表這個(gè)病毒已經(jīng)在執(zhí)行中，所以無(wú)法刪除。此時(shí)請(qǐng)用乾淨(jìng)的開機(jī)片將電腦啟動(dòng)到DOS模式。利用DOS下的掃瞄程式PCSCAN或是VBSCAN來(lái)找到病毒，並刪除病毒。

60瀏覽圖片也有可能會(huì)中毒？瀏覽圖片也有可能會(huì)中毒？沒錯(cuò)，就是瀏覽圖片，不管你是從Email所收的圖片，或是上網(wǎng)路相簿瀏覽的圖片，或是根本只是用ACDSee秀圖軟體觀看在你電腦中的圖片，都有可能會(huì)中毒！這是在今年9月由微軟所公佈的一個(gè)名叫「JPEG處理程序(GDI+)處理緩衝區(qū)溢出」的安全性漏洞，只要是JPEG格式的圖片，經(jīng)過(guò)特殊的處理後，都有可能引發(fā)這個(gè)漏洞，導(dǎo)致駭客趁虛而入，引發(fā)你的系統(tǒng)中毒。61瀏覽圖片也有可能會(huì)中毒？主要的原因並不在於圖片檔，而在於微軟作業(yè)系統(tǒng)中一個(gè)「GDIPlus.dll」的動(dòng)態(tài)連結(jié)檔案；當(dāng)我們要瀏覽JPEG圖片或是對(duì)JPEG檔案作影像處理時(shí)，多半都要用到這個(gè)檔案裡頭的程式指令，而漏洞就存在這個(gè)檔案裡頭。62「Microsoft安全性公告MS04-028」非常詳細(xì)公佈了關(guān)於「JPEG處理程序(GDI+)緩衝區(qū)溢位」這個(gè)問(wèn)題的相關(guān)資訊，其中列出了微軟產(chǎn)品中受到影響的軟體清單。建議你趕快到這個(gè)網(wǎng)頁(yè)上去查一查，看看你有哪些軟體需要更新，該公告的網(wǎng)址為：/taiwan/security/bulletin/ms04-028.mspx。63病毒圖片製造機(jī)病毒介紹2004年的10月份，在網(wǎng)路上就出現(xiàn)一只叫做「JPGDownloader」的軟體，又被暱稱為「病毒圖片製造機(jī)」，這個(gè)程式可以讓任何人隨便用一個(gè)JPEG圖檔，製作出JPEG圖片病毒；不過(guò)這個(gè)程式攻擊的目標(biāo)，僅針對(duì)英文版的作業(yè)系統(tǒng)，所以國(guó)內(nèi)目前尚未聽到有人成為受害者。64可能病毒程式延伸副檔名為.PIF對(duì)於附件檔案是pif的電子郵件，千萬(wàn)不要打開pif附件檔以免中毒，既使收到病毒信件，只要不打開.pif檔就不會(huì)中毒。這一隻病毒危害的系統(tǒng)相當(dāng)廣泛。包括Windows95,98,ME,NT,2000和XP系統(tǒng)都是目標(biāo)。延伸副檔名為.SCR螢?zāi)槐Ｗo(hù)程式65可能病毒程式兩種病毒(Beagleworm&NetSkyworm)的變種肆虐。

這些病毒都是透過(guò)email傳播，凡是附件為.pif以及.zip都請(qǐng)不要隨意開啟。由於這些病毒會(huì)假造寄件者，所以即使看到認(rèn)識(shí)的寄件者寄來(lái)有問(wèn)題的附加檔也不要輕易開啟。W32.Beagle.C@mm偽裝成ZIP壓縮檔，此變種病毒還會(huì)停止防毒軟體更新病毒碼的機(jī)制，造成防毒軟體無(wú)法偵測(cè)新病毒。66工作管理員被停用怎麼辦可能被特洛依木馬病毒入侵可下載移除木馬工具程式或手動(dòng)移除(請(qǐng)小心使用)請(qǐng)利用“登錄編輯器”（regedit）刪掉以下目錄的數(shù)值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數(shù)值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經(jīng)在執(zhí)行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機(jī)後就自動(dòng)執(zhí)行。67工作管理員被停用按「開始」>>「執(zhí)行」，輸入regedit按確定。到以下位置：（與檔案總管打開資料夾的操作類似，在每個(gè)機(jī)碼前的"+"上按一下，就可以展開到下一層）HKCU\Software\Microsoft\Windows\CurrentVersion\

Policies\System到System之後，注意看右邊窗格裡，在

DisableTaskMgr

上按兩下（double-click），把數(shù)值資料設(shè)為0（1是啟動(dòng)封鎖工作管理員，0是解除封鎖），或者，直接在DisableTaskMgr

上按滑鼠右鍵選刪除。關(guān)閉Regedit程式，測(cè)試按Ctrl+Alt+

Del是否可以叫出工作管理員。（不需要重開機(jī)）如果你不熟悉，請(qǐng)勿使用regedit以免系統(tǒng)毀損。68善用工作管理員按Ctrl-Shift-Esc通常CPU使用率很低將正常開機(jī)出現(xiàn)的畫面紀(jì)錄下來(lái)觀察是否有不正常程式執(zhí)行如有兩個(gè)explorer.exe，因?yàn)檎Ｖ荒苡幸粋€(gè)關(guān)閉可疑程式69網(wǎng)路芳鄰漏洞2005年在網(wǎng)路大流行的病毒，如myDoom、Netsky，除了以往的電子郵件之外，也出現(xiàn)變種透過(guò)網(wǎng)路芳鄰、P2P傳播等共享資料匣的服務(wù)來(lái)傳遞。此類傳染途徑結(jié)合「社交工程」（socialengineering）使病毒散佈情況更為嚴(yán)重。共享服務(wù)不是新傳染技術(shù)，不過(guò)卻因結(jié)合「社交工程」而使得病毒防堵難上加難。社交工程是一種利用人的互動(dòng)行為來(lái)傳播的傳染方式。社交工程過(guò)去是真正產(chǎn)生人的互動(dòng)，如向IT人員誘騙出總經(jīng)理電腦的密碼，轉(zhuǎn)變電子郵件偽裝出特定主旨、附檔名稱，利用人性的弱點(diǎn)，使電腦使用者被騙而打開郵件或附檔。70不要用網(wǎng)路芳鄰共享資料夾。病毒會(huì)利用網(wǎng)路芳鄰作散播的途徑，感染其他電腦共享資料夾中的檔案。WindowsNT/2000/XP安裝完成後，預(yù)設(shè)會(huì)把電腦中全部資料夾分享於網(wǎng)路上，造成資料被竊取及破壞。若要檢查電腦目前已分享了哪些資料夾，請(qǐng)?jiān)赪indows的「開始」，「執(zhí)行」輸入“cmd”，再輸入“netshare”即可。關(guān)閉預(yù)設(shè)分享資料夾之方法71關(guān)閉預(yù)設(shè)分享資料夾之方法注意：下列操作會(huì)更動(dòng)Windows作業(yè)系統(tǒng)之重要檔案，若操作有誤，有可能會(huì)導(dǎo)致無(wú)法開機(jī)或作業(yè)系統(tǒng)損毀，請(qǐng)使用者自行評(píng)估風(fēng)險(xiǎn)。於「開始」→「執(zhí)行」→輸入「regedit」，打開下列路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

增加一個(gè)「REG_DWORD」的類型，名稱為AutoShareServer(大小寫需相符)，值設(shè)定為「0」，然後重開機(jī)即可生效。72如何關(guān)閉「網(wǎng)路芳鄰」?「控制臺(tái)」→「網(wǎng)路和網(wǎng)際網(wǎng)路連線」→「網(wǎng)路連線」→「區(qū)域連線」→「一般」→取消以下元件：ClientforMicrosoftNetworksFileandPrinterSharingforMicrosoftNetworks「控制臺(tái)」→「網(wǎng)路和網(wǎng)際網(wǎng)路連線」→「網(wǎng)路連線」→「區(qū)域連線」→「一般」→「InternetProtocol(TCP/IP)」→「內(nèi)容」→「進(jìn)階」→「WINS」→停用[NetBIOSoverTCP/IP]73如何關(guān)閉「網(wǎng)路芳鄰」?「控制臺(tái)」→「效能及維護(hù)」→「系統(tǒng)管理工具」→「服務(wù)」→找到以下服務(wù)項(xiàng)目,將其更換為手動(dòng)或停用Messenger

TCP/IPNetBIOSHelperServices

74首頁(yè)綁架例如：首頁(yè)無(wú)法更改、首頁(yè)被更改設(shè)定、瀏覽器名稱被修改、瀏覽器被自動(dòng)執(zhí)行、開機(jī)被鎖定、瀏覽器上的奇怪選項(xiàng)、按滑鼠右鍵有奇怪的選項(xiàng)、按滑鼠右鍵的另存目標(biāo)變成灰色、廣告視窗自動(dòng)跳出……等等，還有最惡劣的登錄編輯器被停用、“開始”→“執(zhí)行”被移除，這些種種的問(wèn)題。/home2/nomo/teach/un-web-kidnap.htm75預(yù)防首頁(yè)綁架養(yǎng)成好習(xí)慣：網(wǎng)際網(wǎng)路選項(xiàng)中的安全層級(jí)至少為「中」、不要看到出現(xiàn)安裝軟體的對(duì)話框就急著選「是」、經(jīng)常使用WindowsUpdate做安全性更新、安裝防火牆軟體、安裝防毒軟體、安裝間諜軟體掃描程式。76IE中起碼要維持的安全性設(shè)定：預(yù)設(shè)層級(jí)「中」就已經(jīng)非常夠用，絕對(duì)不要調(diào)降為「低」，如果某個(gè)網(wǎng)站，一定要你調(diào)降為「低」才能正常顯示它的網(wǎng)頁(yè)，請(qǐng)三思，危險(xiǎn)後果自己負(fù)責(zé)。關(guān)閉所有的程式視窗，到控制臺(tái)>>網(wǎng)際網(wǎng)路選項(xiàng)。77控制臺(tái)>>網(wǎng)際網(wǎng)路選項(xiàng)「安全性」標(biāo)籤的部分：按「自訂層級(jí)」，檢查以下項(xiàng)目。下載未簽署的ActiveX控制項(xiàng)：停用下載簽名的ActiveX控制項(xiàng)：提示起始不標(biāo)示為安全的ActiveX控制項(xiàng)：停用在IFRAME中啟動(dòng)程式或檔案：提示安裝桌面項(xiàng)目：提示如果你的安全層級(jí)是「中」，就會(huì)符合以上的標(biāo)準(zhǔn)，只需一次確認(rèn)檢查，不必修改。78「內(nèi)容」標(biāo)籤的部分按「發(fā)行者」，到「授信任的發(fā)行者」是否有很奇怪、懷疑是廣告商的憑證，若有，刪除。為什麼要?jiǎng)h除不明的發(fā)行者？「授信任的發(fā)行者」清單中的發(fā)行者，表示都以取得你的信任，元件安裝進(jìn)來(lái)前就不會(huì)再問(wèn)你，所以這邊有莫名其妙的物件，就要?jiǎng)h除。79「進(jìn)階」標(biāo)籤的部分檢查：在「瀏覽」段落：不勾：「啟用隨選安裝（其他）」這一項(xiàng)。注意：是「啟用隨選安裝（其他）」，不是「啟用隨選安裝（InternetExplorer）」，請(qǐng)看清楚?！竼⒂秒S選安裝（InternetExplorer）」維持預(yù)設(shè)值（有勾）即可。80設(shè)定結(jié)果經(jīng)過(guò)了以上的設(shè)定，每當(dāng)網(wǎng)站要下載元件到你的電腦上時(shí)，就會(huì)出現(xiàn)是否要下載的對(duì)話框，請(qǐng)看清楚內(nèi)容再按確定，如果你實(shí)在不能判別這個(gè)元件的用途，就按取消。81善用防火牆SymantecClientFirewall偵測(cè)與防止利用通訊埠對(duì)主機(jī)的攻擊使用說(shuō)明WindowsXP防火牆設(shè)定(SP1)：82WindowsXP防火牆設(shè)定(SP1)：83848586878889WindowsXP防火牆請(qǐng)注意,WindowsXP防火牆的功能只能阻擋"連入"要求,而不會(huì)阻擋任何連外之連線要求!90中毒了,怎麼辦?將中毒電腦的網(wǎng)路線拔掉.(避免繼續(xù)中毒或散播病毒給別人)使用其它安全、乾淨(jìng)電腦上網(wǎng),連線到防毒公司網(wǎng)站,下載該病毒的「移除工具」:趨勢(shì)科技

賽門鐡克

使用「移除工具」將中毒電腦的病毒清除掉安裝個(gè)人防火牆,並啟動(dòng)防駭功能91中毒了,怎麼辦?關(guān)閉「網(wǎng)路芳鄰」接上網(wǎng)路線修正Windows的漏洞:在Windows執(zhí)行「開始」→「控制臺(tái)」→「WindowsUpdate」在IE瀏覽器執(zhí)行「工具」→「WindowsUpdate」安裝防毒軟體,並且立即更新「病毒碼」及「掃瞄引擎」92建議保持電腦中的作業(yè)系統(tǒng)及應(yīng)用軟體沒有任何漏洞。安裝防毒軟體。安裝防火牆軟體。請(qǐng)更改Windows作業(yè)系統(tǒng)之管理者帳號(hào)名稱及密碼。不要開啟或預(yù)覽任何來(lái)歷不明及主旨語(yǔ)意不清的電子郵件，亦不要開啟任何不明確的附件檔案。不使用網(wǎng)路芳鄰共享資料夾。關(guān)閉作業(yè)系統(tǒng)內(nèi)不需要之服務(wù)項(xiàng)目。勿隨意安裝軟體。勿隨意點(diǎn)選網(wǎng)址。93趨勢(shì)科技--全球病毒即時(shí)監(jiān)控中心.tw/wtc/賽門鐵克—安全應(yīng)變機(jī)制/region/tw/avcenter/index.html網(wǎng)路安全診斷室94MailSpammailspam:將一份相同內(nèi)容的電子信件送給很多人Mailserver被某些機(jī)器用來(lái)轉(zhuǎn)信(mailrelay)蠕蟲程式網(wǎng)路釣魚通常發(fā)生於unix或server級(jí)機(jī)器個(gè)人系統(tǒng)則是可能是蠕蟲做怪如果發(fā)生此問(wèn)題怎麼辦unix更新版本sendmail到8.9

版清除蠕蟲95您的電腦是否已被裝了木馬？檢查註冊(cè)表。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的檔案名。如果有，就需要?jiǎng)h除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程式。96您的電腦是否已被裝了木馬？檢查啟動(dòng)組。

木馬們?nèi)绻[藏在啟動(dòng)組雖然不是十分隱蔽，但這裏的確是自動(dòng)載入運(yùn)行的好場(chǎng)所，因此還是有木馬喜歡在這裏駐留的。啟動(dòng)組對(duì)應(yīng)的檔夾為：C:\windows\startmenu\programs\startup，在註冊(cè)表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="C:\windows\startmenu\programs\startup"。要注意經(jīng)常檢查這兩個(gè)地方哦！

97您的電腦是否已被裝了木馬？Win.ini以及System.ini也是木馬們喜歡的隱蔽場(chǎng)所，要注意這些地方。比方說(shuō)，Win.ini的[Windows]小節(jié)下的load和run後面在正常情況下是沒有跟什麼程式的，如果有了那就要小心了，看看是什麼；在System.ini的[boot]小節(jié)的Shell=Explorer.exe後面也是載入木馬的好場(chǎng)所，因此也要注意這裏了。當(dāng)你看到變成這樣：Shell=Explorer.exewind0ws.exe，請(qǐng)注意那個(gè)wind0ws.exe很有可能就是木馬服務(wù)端程式！趕快檢查吧。

98您的電腦是否已被裝了木馬？檢查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。木馬們也很可能隱藏在那裏。如果是EXE檔啟動(dòng)，那麼運(yùn)行這個(gè)程式，看木馬是否被裝入記憶體，埠是否打開。如果是的話，則說(shuō)明要麼是該檔啟動(dòng)木馬程式，要麼是該檔捆綁了木馬程式，只好再找一個(gè)這樣的程式，重新安裝一下了。網(wǎng)路釣魚(Phishing)根據(jù)反網(wǎng)路釣魚工作小組（APWG）定義，「Phishing」（網(wǎng)路釣魚）是利用偽造電子郵件與網(wǎng)站作為誘餌，愚弄使用者洩漏如銀行帳戶密碼、信用卡號(hào)碼等個(gè)人機(jī)密資料。利用知名品牌所建立的信賴感，幾可亂真的偽造網(wǎng)站與郵件也讓此類詐騙行為成功機(jī)率達(dá)5%。網(wǎng)路釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於駭客始祖起初是以電話作案，所以用“Ph”來(lái)取代“F”，創(chuàng)造了”Phishing”,Phishing發(fā)音與Fishing相同。2023/1/12電腦病毒99如何辨識(shí)網(wǎng)路釣魚郵件大多數(shù)人都能夠在現(xiàn)在意識(shí)到不能在網(wǎng)際網(wǎng)路上隨意透露個(gè)人資訊。但是對(duì)於新型態(tài)的phishing電子郵件騙局來(lái)說(shuō)，大多數(shù)網(wǎng)友卻很難加以判別真?zhèn)?，因?yàn)樵p騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。Phishing有一個(gè)很好的中文直譯典故：「姜太公釣魚，願(yuàn)者上鉤」正如字面所告訴我們的，phishing是透過(guò)垃圾郵件來(lái)詐騙網(wǎng)友的個(gè)人資料，一般多半是藉口他們的資料需要更新，或者基於安全理由需要重新進(jìn)行身份驗(yàn)證，如此便可騙取網(wǎng)友的帳號(hào)ID與密碼。網(wǎng)友則在毫無(wú)懷疑的情況下提供了他們的資訊，然而就在數(shù)小時(shí)甚至幾分鐘的短時(shí)間內(nèi)，那些未經(jīng)授權(quán)的交易就可能造成受騙者巨大的損失。2023/1/12電腦病毒100phishing通常也會(huì)使用HTML格式的網(wǎng)頁(yè)電子郵件除了捏造資料外，這類郵件通常也會(huì)使用HTML格式的網(wǎng)頁(yè)電子郵件。乍看之下，不管是商標(biāo)、標(biāo)識(shí)、圖形，以及公司的鏈結(jié)全都應(yīng)有盡有，像是值得信任的。事實(shí)上，在很多情況下，他們都直接使用了正牌網(wǎng)站的圖檔也就是仿冒的一模一樣。曾有網(wǎng)友收到過(guò)仿冒線上刷卡公司網(wǎng)頁(yè)的phishing電子郵件，所顯示的網(wǎng)址似乎是真實(shí)的，似乎只需要輕輕點(diǎn)下這些鏈結(jié)就能夠登錄線上刷卡公司的網(wǎng)站。然而這些鏈結(jié)卻正是網(wǎng)頁(yè)所設(shè)置的陷阱，它們實(shí)際上鏈結(jié)的是一個(gè)無(wú)法解讀的IP網(wǎng)址，而非真實(shí)的線上刷卡頁(yè)面。參考資料/news/new21/new_21_14_1.htm

上述文章來(lái)至"不一樣新聞電子雙周報(bào)"2023/1/12電腦病毒101102免費(fèi)線上病毒掃瞄防毒軟體名稱：Kaspersky/service?chapter=161739400

防毒軟體名稱：Norton/sscv6/home.asp?langid=ch&venid=sym&plfid=23&pkj=LNUVWYDMGJCDBXWVPGC

防毒軟體名稱：PC-cillin/housecall/start_corp.asp

基本的防毒常識(shí)四不兩要不使用來(lái)源不明之磁片不開啟來(lái)源不明之電子郵件不安裝不確定來(lái)源之軟體(遊戲、算命、螢?zāi)槐Ｗo(hù)程式…等)不任意分享資料夾要先掃毒才將外界的檔案?jìng)髦岭娔X要隨時(shí)保持最新的防毒引擎與病毒碼笑話兩則小白這天去換駕照，路經(jīng)一個(gè)十字路口時(shí)，瞧見有位媽媽背著一個(gè)小孩，前面還載一個(gè)大一點(diǎn)的小孩被條子攔下來(lái)...條子說(shuō)：「這位太太，你的小孩沒帶安全帽也就算了，你怎麼自已也不戴？這樣說(shuō)不過(guò)去哦?！箣寢專骸感∨笥训倪@麼小買不到ㄇㄟ?！箺l子：「但你自已應(yīng)該要戴??！」媽媽：「我戴幹嘛？萬(wàn)一我的孩子出了什麼事，我也不想活了！」有一天，志維超速被警察攔下警察：「嘿嘿！我從一大早就在這裡等你了！」志維：「我知道，我怕你等太久，所以才一路狂飆的趕來(lái)了?！狗蓝拒涹w的關(guān)鍵－

病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當(dāng)防毒軟體公司收集到一隻新的病毒時(shí)，他們就會(huì)從這個(gè)病毒程式中截取一小段獨(dú)一無(wú)二而且足以表示這隻病毒的程式碼，來(lái)當(dāng)做掃毒程式辨認(rèn)此病毒的依據(jù)，這段獨(dú)一無(wú)二的程式碼就是所謂的病毒碼。掃瞄引擎可以說(shuō)是防毒軟體中最精華的部份。事實(shí)上，當(dāng)您操作防毒軟體去掃描某一個(gè)磁碟機(jī)或目錄時(shí)，它其實(shí)是把這個(gè)磁碟機(jī)或目錄下的檔案一一送進(jìn)掃瞄引擎來(lái)進(jìn)行掃描，真正影響掃描速度及偵測(cè)率的因素就是掃瞄引擎，它被放在防毒軟體所安裝的目錄之下，就好像汽車引擎平常是無(wú)法直接看見的，可是它卻是影響汽車性能最主要的關(guān)鍵。病毒的種類及型態(tài)一直在改變，新病毒也每天不斷的被產(chǎn)生，如果不經(jīng)常更換最新的病毒碼以及掃瞄引擎，再?gòu)?qiáng)悍的防毒軟體也會(huì)有失靈的一天。因?yàn)椴《敬a和掃毒引擎是防毒工作中相當(dāng)重要的一環(huán)，只單單更換病毒碼或掃毒引擎是不夠的，必須兩者都進(jìn)行更新。

電腦病毒和駭客所謂電腦駭客(Hacker)指的是”以非法手段侵入別人電腦，來(lái)竊取或修改電腦中重要資料的人，或利用系統(tǒng)本身漏洞，來(lái)攻擊散播駭客工具”。電腦病毒與駭客，原本不可混為一談，但紅色警戒病毒（CodeRed）將兩者的特性結(jié)合，進(jìn)而繁衍出強(qiáng)大的破壞力。

防止電腦駭客的入侵方式，最常見的就是裝置「防火牆」(Firewall)，這是一套專門放在Internet大門口(Gateway)的身份認(rèn)證系統(tǒng)，其目的是用來(lái)隔離Internet外面的電腦與企業(yè)內(nèi)部的區(qū)域網(wǎng)路，任何不受歡迎的使用者都無(wú)法通過(guò)防火牆而進(jìn)入內(nèi)部網(wǎng)路，而利用系統(tǒng)漏洞來(lái)政擊或散播駭客工具的程式，最好的防止方式就是更新”修正程式”。一般而言，電腦駭客想要輕易的破解防火牆並入侵企業(yè)內(nèi)部主機(jī)並不是件容易的事，所以駭客們通常就會(huì)用採(cǎi)用另一種迂迴戰(zhàn)術(shù)，直接竊取使用者的帳號(hào)及密碼或者利用系統(tǒng)的漏洞，如此一來(lái)便可以名正言順的進(jìn)入企業(yè)內(nèi)部。而CodeRed即是利用微軟公司的IIS(InternetInformationServices)網(wǎng)頁(yè)伺服器作業(yè)系統(tǒng)漏洞，大肆為所欲為。

InternetInformationServices(IIS)formerlycalledInternetInformationServer–isawebserverapplicationandsetoffeatureextensionmodulescreatedbyMicrosoftforusewithMicrosoftWindows.ItisthesecondmostusedwebserverbehindApacheHTTPServer.AsofMarch2010[update],itserved24.47%ofallwebsitesontheInternetaccordingtoNetcraft.[1]TheprotocolssupportedinIIS7.5include:FTP,FTPS,SMTP,NNTP,andHTTP/HTTPS.2023/1/12電腦病毒110CodeRed的入侵CodeRed是首宗駭客結(jié)合電腦蠕蟲、特洛依病毒的新型態(tài)強(qiáng)勁攻勢(shì)，它專門針對(duì)安裝微軟IIS網(wǎng)頁(yè)伺服器的作業(yè)系統(tǒng)進(jìn)行感染如WindowsNTServer及Windows2000Server，用戶遭到CodeRed入侵可能會(huì)造成網(wǎng)頁(yè)被置換，網(wǎng)路壅塞或是伺服器當(dāng)機(jī)。當(dāng)駭客破解了IIS伺服器門禁（此為駭客行徑）則以100、300或600的等比級(jí)數(shù)尋覓下毒目標(biāo)電腦（此為電腦蠕蟲特性）並透過(guò)80PORT來(lái)散播和複製自己（此為特洛伊木馬程式特性），從此這些傀儡電腦便得任意被駭客操縱了，無(wú)論是發(fā)動(dòng)攻勢(shì)攻擊指定網(wǎng)站、或染指亂數(shù)產(chǎn)生的IIS用戶，皆使得網(wǎng)路頻寬資源大受影響，甚至無(wú)法運(yùn)作。2023/1/12電腦病毒112如何阻絕CodeRed型態(tài)的病毒電腦病毒結(jié)合網(wǎng)路駭客技術(shù)，已成為一種強(qiáng)大威脅性的可怕工具，CodeRed與Nimda都屬於此類針對(duì)此類的攻擊，企業(yè)用戶可說(shuō)是防不勝防。雖然CodeRed的傳播方式是利用電腦蠕蟲與特洛伊木馬程式的特性，然而它最主要的攻擊點(diǎn)，本質(zhì)上是針對(duì)某些特定應(yīng)用程式(如IIS)的弱點(diǎn)或後門來(lái)做攻擊。若想阻絕此類病毒，唯有從這些應(yīng)用程式的安全上著手。換句話說(shuō)，隨時(shí)更新各類應(yīng)用程式的修補(bǔ)程式(patch)，便是資訊安全上相當(dāng)重要的一項(xiàng)課題。2023/1/12電腦病毒113如何阻絕CodeRed型態(tài)的病毒（cont.）臺(tái)灣微軟便在微軟網(wǎng)站提供【CodeRed病毒嚴(yán)重威脅網(wǎng)站伺服器，請(qǐng)即刻安裝修復(fù)程式】的網(wǎng)頁(yè)，針對(duì)IIS的安全提出相關(guān)說(shuō)明，因此資訊相關(guān)人員除了安裝防毒軟體外，更要加強(qiáng)以下動(dòng)作：定期更新軟體程式，如微軟IIS等的相關(guān)修正程式。除了安裝防火牆(Firewall)外，還應(yīng)搭配入侵偵測(cè)軟體(Scanner)及弱點(diǎn)評(píng)估軟體(Intrusiondetection)，並在伺服器端安裝防毒軟體，並確定掃瞄引擎及病毒碼也必須同時(shí)更新。

2023/1/12電腦病毒114真正的防毒之道防毒軟體的關(guān)鍵－病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當(dāng)防毒軟體公司收集到一隻新的病毒時(shí)，他們會(huì)從這個(gè)病毒程式中截取一小段獨(dú)一無(wú)二而且足以表示這隻病毒的二進(jìn)位程式碼(BinaryCode)，來(lái)當(dāng)做掃毒程式辨認(rèn)此病毒的依據(jù)，這段獨(dú)一無(wú)二的二進(jìn)位程式碼就是所謂的病毒碼。那麼，什麼叫二進(jìn)位程式碼呢?在電腦中所有可以執(zhí)行的程式(如*.EXE,*.COM)幾乎都是由二進(jìn)位程式碼所組成，也就是電腦的最基本語(yǔ)言--機(jī)械碼。就連當(dāng)紅的文件巨集病毒，雖然它只是包含在Word文件檔案中的巨集，可是它的巨集程式也是以二進(jìn)位碼的方式存在於Word文件檔中。2023/1/12電腦病毒115真正的防毒之道(cont.)掃瞄引擎可以說(shuō)是防毒軟體中最精華的部份。當(dāng)您使用一套防毒軟體時(shí)，不論它的畫面是否精美，操作是否簡(jiǎn)便，功能是否完善，這些其實(shí)都還不足以證明一套防毒軟體的好壞。事實(shí)上，當(dāng)您操作防毒軟體去掃描某一個(gè)磁碟機(jī)或目錄時(shí)，它其實(shí)是把這個(gè)磁碟機(jī)或目錄下的檔案一一送進(jìn)掃瞄引擎來(lái)進(jìn)行掃描，也就是說(shuō)您所看到的漂亮畫面其實(shí)只是一個(gè)使用者介面(UI,UserInterface)，真正影響掃描速度及偵測(cè)率的因素就是掃瞄引擎，掃瞄引擎是一個(gè)沒有畫面，沒有包裝的核心程式，它被放在防毒軟體所安