病毒家族
CIH病毒:
1998年4月26日,一个令电脑用户头痛又恐慌日子,因为在那一天CIH病诞生了。这里提醒大家4月26日前请务必进行一次全
面的系统查毒,再将重要数据备份。
发作特征:1、破坏硬盘中的所有信息,系统无法启动;2、攻击计算机硬件,破坏主板BIOS信息,使电脑彻底瘫痪,只能送
回原厂修理;3、驻留内存,操作系统调用任何以EXE为扩展名的文件时都会被感染。
CIH病毒简史:
1998年7月26日,CIH病毒在美国大面积传播;8月26日,该病毒入侵中国;8月31日,公安部发出紧急通知新闻联播全文播发。
1999年4月26日,CIH病毒大爆发,全球超过6000万台电脑被破坏。
2000年4月26日,CIH病毒再度爆发,全球损失超过10亿美元。
2001年4月26日,仅北京就有超过6000台电脑遭CIH病毒破坏。
黑色复仇者(Dark Avenger)病毒:
驻留内存,感染command.com文件、com文件、Exe文件。破坏程序或覆盖文件,格式化或删除所有或部分磁盘数据。这也是一
般电脑病毒的特征。
黑色星期五病毒:
这是最早的与日期有关的病毒之一,1989年10月13日星期五,一种取名于古老的圣经故事、从以色列希伯莱大学产生的名叫
“黑色星期五”的神秘病毒,经过长期潜伏、广泛传播以后,终于有了一个大爆发的机会,袭击了全世界的数以百万计的运
行着DOS的微机,结果是:每运行一个文件,就被删除一个文件,用户们只好被迫停机,为此而造成的损失,难以估计。
世纪病毒:与时间有关的病毒,删除软盘和硬盘的所有数据。
邓祖科病毒:驻留内存,感染软盘启动扇区。影响系统运行,破坏或重写Boot区。
“爱虫”病毒
2000年5 月4 日一早,菲律宾首都马尼拉各公司的职员刚刚上班,一打开电脑,就发现一封主题为I love you的E-mail.
好奇心促使他们把这封神秘的信打开来看,灾难立刻发生:不但本机的电子邮件系统彻底瘫痪,而且自动以电子邮件的
形式通过网络迅速入侵有邮件来往的个人或单位的电脑系统,并继续产生连锁反应。在短短的几个小时之内,“爱虫”
(Love Worm )病毒已经传遍了菲律宾的各公司企业、机关单位、银行金融、大学和研究系统。还没等菲律宾政府发出
警告,数以万计写着I Love You的电子邮件已经在欧美大面积传开来了。5 月4 日当天,瑞士的80%公司电子邮件系统
陷于瘫痪,在英国,30% 的公司遭到病毒的袭击,新西兰一家电讯公司在两天中就删除了带毒邮件17万封!当时中国正
在“五一节”休假期中,与国外有联系的电脑大都没有打开,得到了一个“缓冲”的时间,大大减少了破坏性。只有少
数不看报的人才在5 月7 日“坠入了爱网”。但是截至5 月中旬,短短十几天中,在中国也已经发现了“爱虫”病毒的
主体和三个变种。现在已经查明,这个新病毒是马尼拉的一个青年学生编制的,参与编制的人据说有40多个。病毒以
E-mail的形式通过网络广泛传播,邮件以I LOVE YOU为主题,邮件的内容则写着:kindly check the attached LOVE
LETTER coming from me(请检查我附发的情书)。病毒就隐藏在这个附件内。病毒以VBScript语言编写,可以在
Windows 95/98/2000下运行,而且会把在本地及网络上硬盘中所存有的图片及音乐文件全部覆盖,凡是有vbs ,vbe ,
js,jse ,css ,wsh ,sct ,hta ,jpg ,jpeg,MP2 和MP3 扩展名的文件都会被覆盖和备份。这个附加文件具有双
重扩展名LOVE-LETTER-FOR -YOU.TXT.vbs ,病毒发出邮件的时候只显示LOVE-LETTER-FOR -YOU.TXT ,表面上看
起来并没有任何问题,但是收件人一打开这个附加文件,该病毒就会利用微软的OUTLOOK 把病毒体自身复制再发往信箱
地址上所有的人。如此循环往复,“爱虫”病毒就会在短期内形成大面积感染。因此,上网收电子邮件的用户如果发现
有上述特征的邮件,千万不要轻易打开!
“美丽杀”病毒
“美丽杀”病毒,原名Melissa ,是一种隐蔽性、传播性极大的Word 97/2000宏病毒,到目前为止,已经发现了5 个变种。
当打开感染了该病毒的Word 97/2000文档时,该病毒首先感染通用模板:Normal.DOT文件,并修改Windows 注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Office, 将其增加表项:Melissa ?,并给其赋值为:… by Kwyjibo ,在
OUTLOOK 电子邮件程序启动的情况下,自动给地址簿的前50名收件人发送信件,该信件的主题是:Important Message
From (用户名为地址簿里的已经存放的用户名),信件的内容是: Here is that document you asked for …don't
show anyone else;- )并将该信件附加一个带毒文件,名为:LIST.DOC,由于地址是从你的电脑中窃取的,收件人必然
是你所熟悉的人,因此容易被人们忽视。同时,该病毒还会自动重复以上的操作,通过连锁反应,会在短时间内造成邮件
服务器的大量阻塞,严重影响人们的正常网络通讯。世界上已经有许多知名的大公司遭受了它的感染,并且已经蔓延到国
内来。该病毒能感染Word 97/2000的DOC 文件,感染通用模板NORMAL.DOT. 还会自动修改Windows 注册表。只要运行了
Word系统再上网,一旦运行了OUTLOOK ,该病毒就会自动向外大规模传播。
“七月杀手”病毒
这是一种隐蔽性、破坏性极大的病毒,原名为July.killer ,是一种中国人编写的中文Word 97 宏病毒。电脑感染了这种
病毒以后,到了7 月1 日至31日期间,用户在使用Word的时候,屏幕上会弹出一个标题为“醒世恒言”的简体汉字对话框,
该病毒能感染Word 97 的DOT 及DOC 文件,感染通用模板文件NORMAL.DOT ,并通过它来感染其它未被感染的、或新建立
的DOC 文件;它更有与其他宏病毒不同之处:首次打开带毒的文件,病毒会在C 盘根目录下复制一个名称为AUTOEXEC.DOT
的病毒附本,该文件中隐藏着该病毒的所有代码。当Word运行的时候,会自动调用AUTOEXEC.DOT文件,病毒被激活,抢先
感染了通用模板文件NORMAL.DOT文件,该病毒会自动关闭Word系统“工具”菜单中的“宏(M )”、“模板和加载项(I )
”及“自定义(C )”栏目,看不到当前Word文档的病毒宏,因此,不能使用简单的“手工删除”方法来删除病毒宏。该
病毒还会“以毒攻毒”,如文件中还有其它宏病毒,它会将其杀掉,从而独霸电脑。
"探索者网络"蠕虫病毒
探索者网络蠕虫病毒,也是通过E-mail附件的方式传播的。它从网络上发过来一个32位ZIPPED.EXE文件,该文件被执行以后,
会自动复制出一个名为Explore.exe的文件,在Windows 9x下修改WIN . INI 文件,使之能被自动执行;而在WindowsNT下,
则能修改注册表。它通过激活MS OUTLOOK、MS OUTLOOK EXPRESS、MS EXCHANGE的发送函数来实现。该附件中传来以下的信息:
I received your email and I shall send you a reply ASAP. Till then , take a look at the attached zipped docs.
意思是:“我收到了你的E-mail邮件,我现在给你发送一份回执。请看一下本邮件所带的附件文档资料。”而“主题”栏目的
内容并不固定,因为都是通过受感染的用户转发的。附件的名称是zipped_files.exe,文件的大小为210 ,432 字节。该文件
有一个WINZIP图标,用以欺骗那些容易上当的用户,使他们误以为这是一个压缩的文档资料。如果你运行了该文件,就会得到
假的错误提示:Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format
backup set , insert the last disk of thebackup set and try again. Please press F1 for help.意思是:“不能打开
文件:它不是一个有效的文档资料,如果本文件是ZIP 压缩文件的一部分,请插入该备份集的最后一张磁盘重试验,请按F1键
寻求帮助。”病毒发作以后,其破坏性表现在如下几个方面:
1 )该程序一被执行,马上在本地磁盘中搜寻文本文件或程序文件,其扩展名可能是:。c (C 语言源程序)、。cpp (C 语
言源程序)、。h (C 语言源程序)、。asm (汇编语言源程序)、。doc , .xls 或 .ppt (WORD、EXCEL 及POWERPOINT文
档),并将其字节数改为0.
2 )病毒感染之后大约30分钟,开始搜寻影像盘中的上述文件,并将它们的字节数改为0.
3 )其变种有可能破坏所有类型的文件。
4 )由于这些特性,在Windows NT下恢复文件是不可能的;而在Windows 95/98下也很困难。