神马文学网计算机病毒的防治(2)
来源:百度文库 编辑:神马文学网 时间:2024/04/20 07:17:25
计算机病毒的防治
第一节 计算机病毒基础知识
一.计算机病毒起源
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏程序,游戏中通过复制自身来摆脱对方的控制,同时“吃掉”对方程序,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<>一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导区。这就是最早在世界上流行的一个真正的病毒。
二.计算机病毒发展与危害
1988年至1989年,我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也称为“大麻”病毒等。
该病毒感染软硬盘0面0道1扇区,并修改部分中断向量表。该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangelo,这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒,实际上它们大多数是Stoned病毒的翻版。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。这些病毒中, 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使人看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个字节, 增到64185个字节时,文件就被破坏。
以后又出现了引导区、文件型“双料”病毒,这类病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。
Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身代码进行了随机加密,变化无穷,使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身全部代码潜藏于硬盘最后6个扇区中,并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区,所以再次起动系统后, 硬盘的实用空间就减少了6个扇区。这样,原主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了其它程序的覆盖,而且用DEBUG的L命令也不能调出查看,就是用FORMAT进行格式化也不能消除病毒,可见,病毒编制者用意深切!与此相似的还有Denzuko病毒。
XqR(New century新世纪)病毒也有它更狡猾的一面,它监视着INT13、INT21中断有关参数,当你要查看或搜索被其感染了的主引导记录时,病毒就调换出正常的主引导记录给你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。病毒的这种对抗方法,我们在此称为:病毒在内存时,具有“反串”(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,现在的新病毒越来越多的使用这种功能来对抗安装在硬盘上的抗病毒软件,但用无病毒系统软盘引导机器后,病毒就失去了“反串”(反转)功能。
1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位,从外表上看,文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘,它不修改主引导记录, 只将硬盘分区表修改了两个字节,使那些只检查主引导记录的程序认为完全正常,病毒主体却隐藏在这两个字节指向的区域。硬盘引导时,ROM-BIOS程序糊理糊涂的按这两个字节的引向,将病毒激活。病毒太狡猾了,只需两个字节,就可以牵着机器的鼻子走!
Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来, 如果轻易将硬盘主引导记录更换,或用FDISK/MBR格式轻易将硬盘主引导记录更换, 那么,就再进不了硬盘了,数据也取不出来了,所以,不要轻易使用FDISK/MBR格式。
1992年以来,DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表,而直接修改系统关键中断的内核,修改可执行文件的首簇数, 将文件名字与文件代码主体分离。 在系统有此病毒的情况下,一切就象没发生一样。而在系统无病毒时,你用无病毒的文件去覆盖有病毒的文件,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,绝大多数病毒是基于DOS系统的,有80%的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、(传染引导区、文件)“双重性”(DOS、WINDOWS)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME“快乐时光”病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剖析中,发现部分病毒好象出于一个家族,其“遗传基因”相同,简单的说,是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说,与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
“病毒生产机”软件,其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付“病毒生产机”生产出的大量新病毒。
有人也模仿Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”, 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在,随时就有可能存在着“病毒暴增”的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传遍了全世界。这种病毒生产机也传到了我国。
Windows9x、Win2000操作系统的发展,也使病毒种类和数量随其变化而变化。以下例举几个典型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。
该病毒的产生是来源一种32位的Windows“CAW病毒生产机”, 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。
“CAW病毒生产机”能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
病毒有以下几项破坏:
1、当病毒驻留内存时,病毒会在每日的整点时间,如1:00, 6:00, 10:00,……,病毒就会删除一些特定的文件,如:.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。
2、当7月7日的时候CAW病毒就会发作,删除硬盘上的所有文件。
3、某些CAW.1XXX病毒有缺陷,被传染上该病毒的文件被破坏了,杀毒后文件也无法修复,只能用正常文件覆盖坏文件。
病毒还有一个缺陷,即重复多层次感染文件,容易将文件写坏了。
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。
病毒本身就是只具有‘.code‘部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中只写入病毒的纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe,被修补的文件不可以恢复只能通过备份来恢复。
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日像CIH病毒一样破坏硬盘数据与主板BIOS,该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。
该病毒被激活后,会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。该病毒分裂时,会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS,这些都是子病毒,分别传染各自不同的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、WINDOWS的可执行程序,而且还感染EXCEL97/2000文件。
该病毒感染的文件的具体类型有:DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL等文件。
该病毒感染EXCEL97/2000文件的长度为16354字节,感染WIN_PE文件的长度为17408字节, 感染DOS的.COM、.EXE文件的长度为27552字节左右。
该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下,同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时,EXCEL会自动调用\XLSTART子目录下的受病毒感染的文件,进而感染别的EXCEL文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽杀”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。心理扭曲的陈盈豪不甘心,又炮制了CIH-1.3版,并将破坏时间设在6月26日。
可是,还是两个月的时间,1.3版被人下载的不多,6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒,没看到很大的破坏,心理很不痛快。7月,又制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日,他要月月看到人们遭殃。
就在那一年,很不巧的是,当时在国内外上映的台湾电视剧的女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序中,大量的用户从网上下载使用,同时,该程序也被广泛的装进各种各样的盗版光盘中,三种版本的CIH病毒被广泛的扩散,当时的反病毒公司也没有及时的发现。因此,这种全新的Windows病毒到处传播,危机的阴影迅速的笼罩着四方。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了必免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒软件的意识不被一些用户重视,又不经常保持升级杀毒软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大劫难即将爆发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。
一大早,反病毒软件公司所有的电话铃声急急不断的振耳,急促促的报警电话蜂拥而来。门外,需求修复数据而手持硬盘和抬着机器的人们象一条长龙一样,从楼上到楼下,一直排到大街上。“谁能给我修好数据,我出高价!”的叫喊声到处可听见。
据报导,此次病毒的浩劫,在东方的亚州国家最严重。造成的经济损失达到几十个亿美元!欧美国家嘲笑东方国家,一说盗版严重而带来,二说反病毒软件落后。可是,在此前的一个月,欧美的“美丽杀”病毒在西方造成了更为严重的灾难,其经济损失远远超过CIH病毒对亚洲造成的损失,而CIH病毒造成的破坏,绝大部分则可以修好。
“美丽杀”病毒对欧美的破坏,比CIH病毒对亚洲的破坏要大的多。“美丽杀”病毒对亚洲没什么破坏,而“CIH”病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击,所谓全球病毒监测网如同虚构。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防范。
三、另类病毒—网络蠕虫病毒的发展
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。
世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标处,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不再干什么了。
1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽杀”病毒破坏还大的经济损失。目前,该病毒以有十多种变种产生,不断的到处破坏。
2001后,有更多的网络蠕虫出现。
I-WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件,内容与您发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播,它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。
由于病毒修改该注册表项目的文件名称的错误,WINDOWS系统在启动,读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS 系统。
I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。
当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本身看不见什么邮件的内容。
该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节,有多个变种。
在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该"花"图标,会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为
标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息.
还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。
该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。
该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒,再进行传播和破坏。
I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。
该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I-WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)
该网络蠕虫程序的长度是2853字节左右。
如果机器的日期是1月26日的话,该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。
该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。
I-Worm.Magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。
目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!
如果在WIN9X环境下,该病毒会象CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性非常大的一种病毒。
该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又超着变形病毒发展。
四、变形病毒
早先,国内外连续发现多种更高级的能变换自身代码的“变形”病毒,其名字有:Stealth(诡秘)病毒、Mutation Engine(变形金刚或称变形病毒生产机)、Fear(恐怖)`Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine,它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性,甚至没有一个连续的字节是相同的,从而使以往的搜索病毒方法不知去搜索什么。
1992年,发现了国内第一例变形病毒,病毒名字为“Doctor”(医生)。
目前, 我国已发现了许许多多变形病毒, 其名字称为“Doctor” (医生)、New Flip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI(合肥1号,2号)、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR(马吉思)等病毒。
这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中,其中Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种,NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中,CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂,几乎达到了不可解除的状态。
通过以上例子来看,计算机病毒在不断发展,手段越来越高明,结构越来越特别。目前,对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策,但变形病毒将会是今后病毒发展主要方向之一,这应当引起我们的警惕。那么变形病毒是什么样呢?
变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。
在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。
第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。
在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。
第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。
第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。
四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。
还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济秩序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。
五、特洛伊木马与有害代码
互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。
国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。
国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。
这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。
类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。
主要的特洛伊木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。
其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特洛伊木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。
还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者痛不欲生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。
还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。
攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。
网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。
目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)进行“实时监测”。
六、病毒的种类与数量
目前,病毒到底有多少?各反病毒公司说法不一。2000年12月在日本东京举行的“亚洲计算机反病毒大会”上,几乎世界各国的反病毒专家和著名的反病毒厂家也参加了会议,大会对2000年11月以前的病毒种类和数量作出了初步的报告如下:
DOS病毒: 40000 种
WIN32病毒: 15 种
WIN9x病毒: 600 种
WINNT/WIN2000病毒: 200种
WORD宏病毒: 7500种
EXCEL宏病毒: 1500种
PowerPoint病毒: 100 种
Script脚本病毒: 500 种
Macintos苹果机病毒: 50 种
Linux病毒: 5种
手机病毒: 2种
合计: 55000种
国际上有名的病毒编写组织有:
29A
Linezero
MetaPhase
随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。
比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息?这不是太容易了吗?一旦接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!那后果可想而知...
我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”?还是“后门”? 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”还是隐藏的“炸弹”?为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思...。
第二节 计算机病毒的防治
一、抗病毒的有效方法
一句话:预防为主,杀毒为辅,尽快备份,及时升级。
对用户需要来说,让你的计算机不染上病毒,只有安装防病毒软件或设备,发现病毒马上杀毒!
对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份!
对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快!
对用户需要来说,抗病毒最没办法的办法是:死马当着活马医-灾难恢复!
二、几种防病毒软件介绍
1. 趋势科技防毒墙(网络版OfficeScan)
OfficeScan 企业版是一套专为网路环境的桌上型电脑和行动用户端所提供的即时、全面的防毒解决方案。OfficeScan的设计,是架构在伺服器端的集中式管理和部署功能,让系统人员可以很方便地管理和部署全公司的防毒策略。透过OfficeScan 的 Web 介面管理主控台,遇有紧急状况时,管理者能够从网路上的任一地点透过 Web 浏览器立即处理。
全面病毒防护
OfficeScan能删除从各种管道入侵的病毒、特洛伊木马和蠕虫;举凡POP3电子邮件、磁碟、光碟、共享档案和网路下载,都能有效防堵。除了扫瞄桌上电脑的档案之外,OfficeScan还提供了随系统开机而启动的木马程式清除工具,并且针对每一封POP3邮件进行病毒扫瞄。
自动更新软体
自动而且集中式的更新和部署,确保用户端的OfficeScan防毒软体维持在最新版;软体的更新与维护,完全不 使用者介入,减轻管理者的负担。
用户端软体可以将整个电脑群组一次更新,以达到最佳部署效率,对频宽的冲击可降至最低。
提供远端代理更新(Remote Agent)功能,可以设定分公司或分支机构的一部电脑成为远端代理主机去更新病毒码及修补程式,增加更新的效能。
采用趋势科技的智慧型病毒码更新技术,只针对新增加的病毒码部分进行更新,有助加快更新程序,尤其对使用窄频线路的远端办公室收效更大。
行动装置使用者可以直接透过Internet下载更新程式,既简单又便利。
系统需求
OfficeScan伺服器端:
Intel Pentium II 233MHz、64 MB以上记忆体及 200 MB 以上硬碟空间 Windows NT 4.0 SP5以上、Windows 2000、Windows 2000 Advanced Server 或 Novell NetWare 3.12, 4.2, 5 或 6 等版本 Microsoft Internet Explorer 4.0以上浏览器 Microsoft Internet Information Server (IIS) 3.0以上(供HTTP通讯之用)
OfficeScan用户端:
Intel Pentium 233MHz、15 MB以上记忆体及 20 MB 以上硬碟空间 Windows 95 / 95 OSR2 / 98 / 98 SE / ME;Windows NT 4.0 SP5以上、Windows 2000 Professional以上,或Windows XP Professional / Home Edition Microsoft Internet Explorer 4.0 以上浏览器
Web或Windows介面管理主控台:
Intel Pentium 133 MHz、64 MB 以上记忆体及 30 MB 以上硬碟空间 Microsoft Internet Explorer 4.0 以上(Web介面管理主控台) Windows NT 4.0 SP3以上、Windows 2000 Professional / Server、Windows XP;或Windows 95 / 98 / ME+Microsoft Internet Explorer 4.0以上+secur32.dll
2.介绍
:
KV3000多功能国际版本是北京江民新科技术有限公司生产的计算机杀病毒工具。该系列软件除基本的查杀病毒功能外,还具有防计算机病毒知识演示、防黑客、硬盘救护等功能。
该软件分为标准版本和升级版本,标准版本和升级版本的软件组成、功能完全一样,只不过包装形式不一样:主要区别在于针对不同的KV3000用户,用户新购买的是KV3000的标准版本,而原来的KV系列用户升级换的是升级版本。
防计算机病毒知识演示功能采用流行的多媒体、动画、语音等方式教您学习防杀计算机病毒的基本知识、正确使用KV3000多功能国际版本等,使你不管是新的软件使用者,还是KV系列的多年用户您都能找到自己问题相应的答案。
防黑客功能使用户在上网浏览保护用户的上网络安全、防黑客攻击,保护用户计算机的使用安全。
硬盘救护功能是多年KV系列软件硬盘修复技术的基础上沉淀出的智能新型的硬盘修复工具,采用的是自动修复和手动修复相结合的方式:初学者可以使用的是自动修复方式,而对于熟悉的用户则可以使用的是手动修复方式。
KV3000多功能国际版本的所有用户(包括升级版本和标准版本)都能使用智能升级功能保持用户使用的是最新版本,随时跟踪查杀最新流行的计算机病毒、黑客程序等。
KV3000多功能国际版本自动适应多种语言:简体中文、繁体中文、纯英文版本。
:
*KV3000多功能国际版本软件包括的是两张软盘(KV3000的A盘和B盘)以及一张KV3000的光盘
*KV3000的A盘文件组成:
KV3K.TXT(1,634字节) :KV3000系列文件说明
KV3000.TXT(53,934字节) :KV3000系列文件说明
VIRLIST.TXT (55,637字节) :KV3000查杀病毒的部分列表
COMMAND.COM(94,292字节) :DOS的系统启动文件主体
CONFIG.SYS(57字节) :系统配置文件
AUTOEXEC.BAT(25字节) :系统配置文件
HIMEM.SYS(33,191字节) :系统配置文件
VIRUS.DAT(801字节) :必须的配套文件,必须和KV3000.EXE在同一个目录下。
SMARTDRV.EXE(45,379字节) :系统配置文件
KV3000.EXE(237,339字节) :KV3000在DOS系统的下主文件,必须有virus.dat文件在同一目录下支持。隐含文件的列表不包含在以上的显示目录下。
在以上的文件列表中主要的必须的文件、经常升级的文件是KV3000.EXE文件和VIRUS.DAT文件。针对KV3000的A盘的升级也是对这两个文件的升级与修改。其他的文件是不变的,是系统启动文件和配置文件。
A盘的主要使用KV3000.EXE文件,它的主要功能是查杀国内流行的近千种计算机病毒,其开放式的结构可以查杀多种变形变种的计算机病毒,另外独特的是它内置的硬盘修复工具,修复了成千上万的硬盘。
*KV3000的B盘文件的组成:
SMARTDRV.EXE(45,379字节):系统配置文件
COMMAND.COM(94,292字节)
AUTOEXEC.BAT(51字节):系统配置文件
CONFIG.SYS(168字节):系统配置文件
HIMEM.SYS(33,191字节):系统配置文件
OAKCDROM.SYS(41,302字节):CDROM光驱驱动文件
MSCDEX. EXE(25,473字节):CDROM光驱驱动程序
EMM386. EXE(125,495字节):系统配置文件
VERSIONX.DAT(5,930字节):KVW3000智能升级配置文件
KV3000U.LIB(56,021字节):KVW3000/KVD3000使用的最新版本查杀病毒数据库,和KV3000A\B\C配合使用,必须和KVW3000的安装目录或者KVD3000.EXE文件在同一个目录下。
KVD3000.EXE(87,254字节):KVD3000查杀病毒主体文件,必须和KV3000A\B\C\U.lib四个查杀病毒数据库配合使用。
在B盘上必须的文件、经常升级的文件是KV3000U.LIB、VERSIONX.DAT以及KVD3000.EXE文件,相对来说KVD3000.EXE不是经常变化,但是KV3000U.LIB和VERSIONX.DAT是经常变化的。
B盘文件还有主要的功能是CDROM驱动程序,使用B盘启动后,可以读CDROM光盘的内容。
*KV3000的光盘的文件组成:
所有的文件包括KV3000的A盘、B盘的所有内容,还包括多功能国际演示版本的所有文件,KV3000多功能国际版本的所有安装文件。在光盘的目录下的主要变化文件在于KV3000目录下的文件:还包括各种工具软件、补丁程序、启动盘制作程序、单机黑客入侵监测程序、计算机防杀病毒知识等。
:
*KV3000的A盘上的文件KV3000.EXE使用的操作系统是DOS各个版本、WINDOWS 95/98/ME 等DOS方式下。使用的方法是使用KV3000的A盘或者B盘启动后,直接执行KV3000.EXE。当然制作系统盘还可以使用KV3000的光盘的制作系统启动盘(BOOT1、BOOT2、BOOT3)来制作。用户如果熟悉系统盘的制作的话,也可以自己单独制作启动盘。一般来说不要使用KV3000的原盘启动机器。
KV3000.EXE支持的系统文件格式是FAT/FAT32等。
*KVD3000.EXE适应的系统是DOS的所有版本、WINDOWS 95/98/ME/XP/NT/2000系统的DOS方式下。在DOS的各个版本、WINDOWS 95/98/ME系统下,可以使用系统软盘(A盘、B盘)启动来执行KVD3000.EXE。在WINDOWS NT/2000/XP系统下的NTFS格式的文件的查杀可以直接在WINDOWS系统盘的DOS方式下直接执行KVD3000.EXE.
KVD3000.EXE支持的系统的文件格式是FAT/FAT32/NTFS文件格式等。
*KVW3000适合的操作系统是WINDOWS 95/98/ME/NT/2000/XP,不能在DOS模式下运行,它和KVD3000.EXE使用的查杀病毒数据库一致,也就是查杀病毒的种类和数量是一样的,同时KVW3000还可以在以上的系统下实时监视进出你的机器上的各种病毒、黑客程序、网络蠕虫等。
*NPSETUP.EXE单机黑客入侵监测病毒防火墙适合的操作系统是WINDOWS 95/98/ME,防止使用在互联网上浏览时被黑客攻击、黑客入侵。
1、新的多功能国际版本的KV3000光盘可以自动启动,在支持光盘启动的计算机上可以启动到MSDOS方式下,在此MSDOS方式下,可以直接执行KVW3000安装目录下的KVD3000.EXE 来查杀病毒,当然这必须要求您先必须将KVW3000安装到硬盘上。
启动的MSDOS的版本是WINDOWS 98 SE,支持FAT和FAT32文件格式。
2、在WINDOWS系统下,KV3000多功能国际版本可以自动运行,出现的是KV3000的计算机病毒知识演示画面。当然KV3000的计算机病毒知识演示光盘会自动识别WINDOWS系统是否安装了相应的视频播放程序,如果没有的话,会自动提示安装相应的驱动程序。演示光盘是带声音、动画的,在多媒体电脑上演示效果最好。
3、在演示过程中可以选择“R”重复播放该演示画面。
4、在KV3000的演示片头过后出现的画面如下:图十三
(图十三)
在图十三中,你可以选择以上的四个功能中的任意一个。“江民公司介绍”是有关生产计算机杀病毒软件KV系列的江民公司的情况介绍;“KV3000的使用”是采用多媒体等技术手段手把手教您使用KV3000计算机杀病毒软件;“计算机病毒知识及病毒演示”是有关计算机防、杀病毒的一些基本知识,增强用户的反病毒知识、查看部分病毒发作的现象等。最下面还有“退出”按钮,您可以选择退出到KV3000多功能版本的安装。我们在这里主要说明的是第四项目:“安装KV3000”,这个选择项目是安装KV3000多功能国际版本。
5、当选择安装KV3000后,出现的是安装多功能国际版本的使用界面,如下图十四。
(图十四)
稍等片刻,后会出现如下所表示的KV3000多功能国际版本的安装组件选择图十五:
(图十五)
6、在KV3000多功能国际版本的安装界面上,您可以选择的安装项目总的有2个:一个是选择安装“KVW3000反病毒工具(含KVD3000) 多语言 ,自适应简体中文/繁体中文/英语”;另外的一个是选择安装“JGAH反黑客防火墙”。当然您也可以选择“退出安装程序”。
7、选择第一个“安装KVW3000反病毒工具”,这个功能选择项目是安装KV3000多功能国际版本在WINDOWS系列环境下的杀病毒工具的主体部分。要安装该项目您必须有KV3000的磁盘A盘;您正在运行的是操作系统:WINDOWS 95/98/ME/NT4/2000/XP等流行的WINDOWS操作系统;安装成功后,可以在这些系统下查杀病毒、同时也能在这些系统下实时监视系统的病毒。
8、选择“安装KVW3000反病毒工具”出现的画面如下图十六:
(图十六)
这是KVW3000安装程序的第一个界面,出现这个界面表示你选择开始安装KVW3000杀病毒程序了,直接选择“下一步”,出现的图示十七:要求插入KV3000的磁盘A盘,此时需要您将KV3000的A盘放在软盘驱动器中。这里需要注意的是:1)必须确保您的KV3000是正版的;2)必须有软盘驱动器;3)如果你的机器上光软互换的话,您可以先将KV3000
(图十七)
多功能国际版本的光盘的所有内容拷贝到硬盘上,然后从硬盘开始安装,当需要插入KV3000的A盘时,再插入。选择“确定”,开始读KV3000的A盘上的加密扇区,如果成功的话,会出现如下图十八,表示您现在可以正常安装的KVW3000了:
(图十八)
我们建议用户在以下的选择项目中都选择默认值进行安装。选择默认的安装路径C:\KVW3000,当然如果确实需要你也可以更换成别的安装路径:以下是默认路径的图示:
(图十九)
选择“下一步”会出现如下的安装过程界面:图二十:
(图二十)
当安装成功后,会出现提示您重新启动机器的提示框:如图二十一:
(图二十一)
虽然可以不重新启动计算机就可以直接运行KVW3000,但是我们还是建议您将KV3000的A盘从软驱中拿出来,选择重新启动计算机后,运行安装好的、在桌面上生成的KVW3000快捷方式:
;当然如果您不选择退出的话,程序会自动返回到如上图十三的安装KVW3000初始界面。
9、当重新启动计算机后,如果能看到KVW3000的快捷方式表示KVW3000安装成功,同时MSDOS下的杀病毒程序KVD3000.EXE 也安装成功。在默认状态下KVD3000.EXE程序都在KVW3000的安装路径下C:\KVW3000.运行WINDOWS下的KVW3000安装程序的方法是直接双桌面上的KVW3000。出现的扫描内存病毒的界面如下图二十二。
(图二十二)
当扫描内存无病毒,出现的KVW300的运行界面如下图二十三。
(图二十三)
这是KV3000多功能国际版的扫描病毒、清除病毒的主窗口,我们的绝大多数查杀病毒的操作都是通过这个窗口来进行的。基本的使用方法是先选择要扫描或者清除病毒的对象或者目标,然后根据需要来查或者杀病毒。当然可以对扫描的参数做一些调整,如是否扫描压缩文件、邮件文件、是否扫描子目录等、是否使用声音提示、是否自动提示升级查杀病毒数据库、保留经常的扫描历史记录等,这些参数的合理配合使用会提高使用效率。
10、从KV3000扫描程序启动实时监视程序的方法:选择“辅助功能”选择项目,
(图二十四)
选择“启动实时监视”的功能选择项目(在红色的方框中),出现的提示画面:
(图二十五)
屏幕下的表示的是KVW3000的实时监视窗口,红色的K字母见图二十六表示的是已经启动实时监视了,但是可以暂时关闭实时监视:选择“停止”即可。
(图二十六)
出现的图示如下(图二十七)表示的目前的实时监视功能已经暂时停止,出现的图标是红色的KV字母。
(图二十七)
鼠标右键选择状态栏目的实时监视:
(图二十八)
可以选择以上的4个菜单选项,其中包括扫描程序和实时监视设置,实际上就是以上讲的扫描病毒和实时监视病毒两个程序。
11、智能升级设置、使用:在扫描程序或者实时监视菜单下,可以设置智能升级功能选择项目,在以上的图二十四上的“提醒我升级病毒库”,应该选择上,表示的是在一定时间内(30天)如果你您没有升级的话,启动扫描程序的话,会自动提示您需要升级查杀病毒数据库了。这里说的是自动提醒升级功能,除此而外程序中还设计了手动升级功能,如下图二十九:
(图二十九)
在实时监视菜单下和图二十九一样,出现的图三十的图示,在如下的显示图示:
(图三十)
在实时监视的窗口上也同样有自动提醒升级查杀病毒数据库的功能:具体的图示如下图三十一:功能与扫描程序的设置基本相同,只不过出现在:“快速帮助”下的“提醒我升级病毒库”,时间是30天:如果当前运行的病毒的日期与机器日期相差在30天以上的话,KV3000的实时监视程序启动的话,会自动提醒升级最新的查杀病毒数据库。
(图三十一)
从以上的描述我们可以得知:KVW3000和KVD3000的查杀病毒数据库(包括搜索引擎)的升级可以采用自动升级和手动升级两种方式相结合的方式来升级,来确保您不会错过查杀病毒库或者搜索引擎的升级,熟练使用会起到防止流行病毒对你的机器的感染。实际上计算机杀病毒软件的生命力就在于不断的升级换代来对付各种呈出不穷的病毒、黑客程序、网络蠕虫等,如果你的机器出现不正常的现象,别忘了使用KVW3000的智能升级功能来升级到最新版本来检查您的机器。
1、升级网址:http://www.jiangmin.com和http://www.jiangmin.com.cn
2、升级网络的主页如下图示意(当然您见到的也许会有些变化),图三十二,
(图三十二),
在这个图示中的红色的椭圆线表示的是KV3000的A盘升级入口,当然KV3000.EXE的文件的版本号和升级文件日期是变化的,如果您看到网络上表示的版本号或者文件日期比您正在使用的新的话,那就表示你该升级您的KV3000的A盘了。
3、当选择KV3000.EXE的升级后,出现的页面是图三十三:
(图三十三)
这个页面是KV3000的A盘升级中心,在这里列出了KV3000的磁盘A盘升级所有的升级方法,用户可以根据实际情况自己选择适合或者习惯的升级方式。江民公司建议用户使用的升级方式是使用KV3000的A盘的自升级文件的方式,文件名称是KV3000UP.EXE,请将该文件下载到硬盘的某一个目录下,然后在硬盘的该目录下,直接运行该文件,按照屏幕的提示操作即可升级您的A盘。注意自升级文件可以自动删除KV3000的A盘上的原来的文件KV3000.EXE,自动将压缩在文件包中的新版本的KV3000.EXE 文件拷贝到A盘上。相对于以前的升级方式而言,省去了用户使用压缩工具、映像文件使用工具等的麻烦,是一个比较简单的升级方法。当然您也可以使用下面介绍的别的升级方法
4、需要注意的是升级成功后,在使用KV3000的A盘来查杀病毒时,用户应该使KV3000的磁盘A处于写保护状态,防止A盘本身感染病毒;
KV3000的B盘的主要功能是可以用来引导系统,识别光驱,这部分是基本不变的,在您购买了KV3000多功能国际版后基本不变。另外的B盘的功能是KVW3000和KVD3000多功能国际版本的最新的查杀病毒数据库KV3000U.LIB文件和VERSIONX.DAT文件。B盘文件的更新主要针对的就是这两个文件的升级。由于B盘是不加密的,因此它的升级就是一个简单的拷贝文件的过程。
另外由于病毒数据库不能脱离搜索引擎而存在,因此B盘上的数据库文件不能直接使用,必须拷贝到硬盘上的KVW3000的安装目录下,配合搜索引擎以及其他的查杀病毒数据库一起使用。举一个简单的例子是KVD3000.EXE文件的运行必须有KV3000A.LIB\KV3000B.LIB\KV3000C.LIB\KV3000U.LIB 四个查杀病毒数据库的支持才能运行,同时这四个查杀病毒数据库文件还被KVW3000(WINDOWS下的搜索程序)使用。
因此在网络上目前没有单独的文件下载。
1、如果用户能上Internet互连网,而且能够智能升级的话,实际上您不用使用下面的步骤,直接使用KVW3000智能升级就可以完成了下面要说的上网升级过程。
2、下面讲的互连网升级方法适用以下的KV3000用户:(a)能上互连网,但是现在机器上安装的KVW3000不是多功能国际版本,而且该用户已经安装的KVW3000不带智能升级选择项,他能选择的下载文件是网络地址:http://www.jiangmin.com/construct.htm 页面下的“自动升级程序压缩包(包括smartup.exe/versionx.dat),见下面的图三十四的椭圆的红色线。使用的方法在该页面上也有介绍,简单来说是将该压缩包中的2个文件smartup.exe 和 versionx.dat 拷贝到现在的计算机已经安装的KVW3000的目录下,然后直接选择smartup.exe 文件执行即可自动升级到目前的目前的多功能国际版本。注意:这样的用户大多是KV3000以前的用户,是KV300+用户,请注意目前的KV300+已经不支持直接拷贝升级到KV3000.exe文件了,建议用户直接更换到KV3000的多功能国际。(b)在局域网中,只有一台机器能上网,其他机器不能上网的话,可以直接下载大的安装程序包到硬盘的某一个目录kv011218.exe 文件安装(注意安装需要KV3000的磁盘A)。(c)能上网用户给不能上网、有不在同一个局域网络内部的用户升级也是使用(b)中的方法拷贝大的升级文件包,但是这时的拷贝就需要刻光盘或者分卷压缩了。
(图三十四)
3、在图三十二中的江民公司的主页标注的粉红色椭圆线中标明了KVW3000目前的最新版本信息,用户可以直观查看版本信息,确定是否需要升级。
3.金山毒霸2003
_xyz
第一节 计算机病毒基础知识
一.计算机病毒起源
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏程序,游戏中通过复制自身来摆脱对方的控制,同时“吃掉”对方程序,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<>一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导区。这就是最早在世界上流行的一个真正的病毒。
二.计算机病毒发展与危害
1988年至1989年,我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也称为“大麻”病毒等。
该病毒感染软硬盘0面0道1扇区,并修改部分中断向量表。该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangelo,这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒,实际上它们大多数是Stoned病毒的翻版。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。这些病毒中, 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使人看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个字节, 增到64185个字节时,文件就被破坏。
以后又出现了引导区、文件型“双料”病毒,这类病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。
Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身代码进行了随机加密,变化无穷,使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身全部代码潜藏于硬盘最后6个扇区中,并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区,所以再次起动系统后, 硬盘的实用空间就减少了6个扇区。这样,原主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了其它程序的覆盖,而且用DEBUG的L命令也不能调出查看,就是用FORMAT进行格式化也不能消除病毒,可见,病毒编制者用意深切!与此相似的还有Denzuko病毒。
XqR(New century新世纪)病毒也有它更狡猾的一面,它监视着INT13、INT21中断有关参数,当你要查看或搜索被其感染了的主引导记录时,病毒就调换出正常的主引导记录给你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。病毒的这种对抗方法,我们在此称为:病毒在内存时,具有“反串”(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,现在的新病毒越来越多的使用这种功能来对抗安装在硬盘上的抗病毒软件,但用无病毒系统软盘引导机器后,病毒就失去了“反串”(反转)功能。
1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位,从外表上看,文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘,它不修改主引导记录, 只将硬盘分区表修改了两个字节,使那些只检查主引导记录的程序认为完全正常,病毒主体却隐藏在这两个字节指向的区域。硬盘引导时,ROM-BIOS程序糊理糊涂的按这两个字节的引向,将病毒激活。病毒太狡猾了,只需两个字节,就可以牵着机器的鼻子走!
Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来, 如果轻易将硬盘主引导记录更换,或用FDISK/MBR格式轻易将硬盘主引导记录更换, 那么,就再进不了硬盘了,数据也取不出来了,所以,不要轻易使用FDISK/MBR格式。
1992年以来,DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表,而直接修改系统关键中断的内核,修改可执行文件的首簇数, 将文件名字与文件代码主体分离。 在系统有此病毒的情况下,一切就象没发生一样。而在系统无病毒时,你用无病毒的文件去覆盖有病毒的文件,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,绝大多数病毒是基于DOS系统的,有80%的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、(传染引导区、文件)“双重性”(DOS、WINDOWS)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME“快乐时光”病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剖析中,发现部分病毒好象出于一个家族,其“遗传基因”相同,简单的说,是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说,与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
“病毒生产机”软件,其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付“病毒生产机”生产出的大量新病毒。
有人也模仿Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”, 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在,随时就有可能存在着“病毒暴增”的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传遍了全世界。这种病毒生产机也传到了我国。
Windows9x、Win2000操作系统的发展,也使病毒种类和数量随其变化而变化。以下例举几个典型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。
该病毒的产生是来源一种32位的Windows“CAW病毒生产机”, 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。
“CAW病毒生产机”能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
病毒有以下几项破坏:
1、当病毒驻留内存时,病毒会在每日的整点时间,如1:00, 6:00, 10:00,……,病毒就会删除一些特定的文件,如:.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。
2、当7月7日的时候CAW病毒就会发作,删除硬盘上的所有文件。
3、某些CAW.1XXX病毒有缺陷,被传染上该病毒的文件被破坏了,杀毒后文件也无法修复,只能用正常文件覆盖坏文件。
病毒还有一个缺陷,即重复多层次感染文件,容易将文件写坏了。
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。
病毒本身就是只具有‘.code‘部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中只写入病毒的纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe,被修补的文件不可以恢复只能通过备份来恢复。
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日像CIH病毒一样破坏硬盘数据与主板BIOS,该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。
该病毒被激活后,会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。该病毒分裂时,会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS,这些都是子病毒,分别传染各自不同的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、WINDOWS的可执行程序,而且还感染EXCEL97/2000文件。
该病毒感染的文件的具体类型有:DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL等文件。
该病毒感染EXCEL97/2000文件的长度为16354字节,感染WIN_PE文件的长度为17408字节, 感染DOS的.COM、.EXE文件的长度为27552字节左右。
该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下,同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时,EXCEL会自动调用\XLSTART子目录下的受病毒感染的文件,进而感染别的EXCEL文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽杀”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。心理扭曲的陈盈豪不甘心,又炮制了CIH-1.3版,并将破坏时间设在6月26日。
可是,还是两个月的时间,1.3版被人下载的不多,6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒,没看到很大的破坏,心理很不痛快。7月,又制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日,他要月月看到人们遭殃。
就在那一年,很不巧的是,当时在国内外上映的台湾电视剧的女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序中,大量的用户从网上下载使用,同时,该程序也被广泛的装进各种各样的盗版光盘中,三种版本的CIH病毒被广泛的扩散,当时的反病毒公司也没有及时的发现。因此,这种全新的Windows病毒到处传播,危机的阴影迅速的笼罩着四方。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了必免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒软件的意识不被一些用户重视,又不经常保持升级杀毒软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大劫难即将爆发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。
一大早,反病毒软件公司所有的电话铃声急急不断的振耳,急促促的报警电话蜂拥而来。门外,需求修复数据而手持硬盘和抬着机器的人们象一条长龙一样,从楼上到楼下,一直排到大街上。“谁能给我修好数据,我出高价!”的叫喊声到处可听见。
据报导,此次病毒的浩劫,在东方的亚州国家最严重。造成的经济损失达到几十个亿美元!欧美国家嘲笑东方国家,一说盗版严重而带来,二说反病毒软件落后。可是,在此前的一个月,欧美的“美丽杀”病毒在西方造成了更为严重的灾难,其经济损失远远超过CIH病毒对亚洲造成的损失,而CIH病毒造成的破坏,绝大部分则可以修好。
“美丽杀”病毒对欧美的破坏,比CIH病毒对亚洲的破坏要大的多。“美丽杀”病毒对亚洲没什么破坏,而“CIH”病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击,所谓全球病毒监测网如同虚构。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防范。
三、另类病毒—网络蠕虫病毒的发展
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。
世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标处,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不再干什么了。
1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽杀”病毒破坏还大的经济损失。目前,该病毒以有十多种变种产生,不断的到处破坏。
2001后,有更多的网络蠕虫出现。
I-WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件,内容与您发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播,它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。
由于病毒修改该注册表项目的文件名称的错误,WINDOWS系统在启动,读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS 系统。
I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。
当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本身看不见什么邮件的内容。
该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节,有多个变种。
在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该"花"图标,会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为
标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息.
还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。
该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。
该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒,再进行传播和破坏。
I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。
该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I-WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)
该网络蠕虫程序的长度是2853字节左右。
如果机器的日期是1月26日的话,该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。
该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。
I-Worm.Magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。
目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!
如果在WIN9X环境下,该病毒会象CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性非常大的一种病毒。
该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又超着变形病毒发展。
四、变形病毒
早先,国内外连续发现多种更高级的能变换自身代码的“变形”病毒,其名字有:Stealth(诡秘)病毒、Mutation Engine(变形金刚或称变形病毒生产机)、Fear(恐怖)`Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine,它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性,甚至没有一个连续的字节是相同的,从而使以往的搜索病毒方法不知去搜索什么。
1992年,发现了国内第一例变形病毒,病毒名字为“Doctor”(医生)。
目前, 我国已发现了许许多多变形病毒, 其名字称为“Doctor” (医生)、New Flip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI(合肥1号,2号)、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR(马吉思)等病毒。
这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中,其中Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种,NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中,CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂,几乎达到了不可解除的状态。
通过以上例子来看,计算机病毒在不断发展,手段越来越高明,结构越来越特别。目前,对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策,但变形病毒将会是今后病毒发展主要方向之一,这应当引起我们的警惕。那么变形病毒是什么样呢?
变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。
在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。
第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。
在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。
第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。
第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。
四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。
还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济秩序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。
五、特洛伊木马与有害代码
互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。
国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。
国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。
这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。
类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。
主要的特洛伊木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。
其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特洛伊木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。
还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者痛不欲生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。
还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。
攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。
网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。
目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)进行“实时监测”。
六、病毒的种类与数量
目前,病毒到底有多少?各反病毒公司说法不一。2000年12月在日本东京举行的“亚洲计算机反病毒大会”上,几乎世界各国的反病毒专家和著名的反病毒厂家也参加了会议,大会对2000年11月以前的病毒种类和数量作出了初步的报告如下:
DOS病毒: 40000 种
WIN32病毒: 15 种
WIN9x病毒: 600 种
WINNT/WIN2000病毒: 200种
WORD宏病毒: 7500种
EXCEL宏病毒: 1500种
PowerPoint病毒: 100 种
Script脚本病毒: 500 种
Macintos苹果机病毒: 50 种
Linux病毒: 5种
手机病毒: 2种
合计: 55000种
国际上有名的病毒编写组织有:
29A
Linezero
MetaPhase
随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。
比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息?这不是太容易了吗?一旦接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!那后果可想而知...
我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”?还是“后门”? 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”还是隐藏的“炸弹”?为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思...。
第二节 计算机病毒的防治
一、抗病毒的有效方法
一句话:预防为主,杀毒为辅,尽快备份,及时升级。
对用户需要来说,让你的计算机不染上病毒,只有安装防病毒软件或设备,发现病毒马上杀毒!
对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份!
对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快!
对用户需要来说,抗病毒最没办法的办法是:死马当着活马医-灾难恢复!
二、几种防病毒软件介绍
1. 趋势科技防毒墙(网络版OfficeScan)
OfficeScan 企业版是一套专为网路环境的桌上型电脑和行动用户端所提供的即时、全面的防毒解决方案。OfficeScan的设计,是架构在伺服器端的集中式管理和部署功能,让系统人员可以很方便地管理和部署全公司的防毒策略。透过OfficeScan 的 Web 介面管理主控台,遇有紧急状况时,管理者能够从网路上的任一地点透过 Web 浏览器立即处理。
全面病毒防护
OfficeScan能删除从各种管道入侵的病毒、特洛伊木马和蠕虫;举凡POP3电子邮件、磁碟、光碟、共享档案和网路下载,都能有效防堵。除了扫瞄桌上电脑的档案之外,OfficeScan还提供了随系统开机而启动的木马程式清除工具,并且针对每一封POP3邮件进行病毒扫瞄。
自动更新软体
自动而且集中式的更新和部署,确保用户端的OfficeScan防毒软体维持在最新版;软体的更新与维护,完全不 使用者介入,减轻管理者的负担。
用户端软体可以将整个电脑群组一次更新,以达到最佳部署效率,对频宽的冲击可降至最低。
提供远端代理更新(Remote Agent)功能,可以设定分公司或分支机构的一部电脑成为远端代理主机去更新病毒码及修补程式,增加更新的效能。
采用趋势科技的智慧型病毒码更新技术,只针对新增加的病毒码部分进行更新,有助加快更新程序,尤其对使用窄频线路的远端办公室收效更大。
行动装置使用者可以直接透过Internet下载更新程式,既简单又便利。
系统需求
OfficeScan伺服器端:
Intel Pentium II 233MHz、64 MB以上记忆体及 200 MB 以上硬碟空间 Windows NT 4.0 SP5以上、Windows 2000、Windows 2000 Advanced Server 或 Novell NetWare 3.12, 4.2, 5 或 6 等版本 Microsoft Internet Explorer 4.0以上浏览器 Microsoft Internet Information Server (IIS) 3.0以上(供HTTP通讯之用)
OfficeScan用户端:
Intel Pentium 233MHz、15 MB以上记忆体及 20 MB 以上硬碟空间 Windows 95 / 95 OSR2 / 98 / 98 SE / ME;Windows NT 4.0 SP5以上、Windows 2000 Professional以上,或Windows XP Professional / Home Edition Microsoft Internet Explorer 4.0 以上浏览器
Web或Windows介面管理主控台:
Intel Pentium 133 MHz、64 MB 以上记忆体及 30 MB 以上硬碟空间 Microsoft Internet Explorer 4.0 以上(Web介面管理主控台) Windows NT 4.0 SP3以上、Windows 2000 Professional / Server、Windows XP;或Windows 95 / 98 / ME+Microsoft Internet Explorer 4.0以上+secur32.dll
2.介绍
:
KV3000多功能国际版本是北京江民新科技术有限公司生产的计算机杀病毒工具。该系列软件除基本的查杀病毒功能外,还具有防计算机病毒知识演示、防黑客、硬盘救护等功能。
该软件分为标准版本和升级版本,标准版本和升级版本的软件组成、功能完全一样,只不过包装形式不一样:主要区别在于针对不同的KV3000用户,用户新购买的是KV3000的标准版本,而原来的KV系列用户升级换的是升级版本。
防计算机病毒知识演示功能采用流行的多媒体、动画、语音等方式教您学习防杀计算机病毒的基本知识、正确使用KV3000多功能国际版本等,使你不管是新的软件使用者,还是KV系列的多年用户您都能找到自己问题相应的答案。
防黑客功能使用户在上网浏览保护用户的上网络安全、防黑客攻击,保护用户计算机的使用安全。
硬盘救护功能是多年KV系列软件硬盘修复技术的基础上沉淀出的智能新型的硬盘修复工具,采用的是自动修复和手动修复相结合的方式:初学者可以使用的是自动修复方式,而对于熟悉的用户则可以使用的是手动修复方式。
KV3000多功能国际版本的所有用户(包括升级版本和标准版本)都能使用智能升级功能保持用户使用的是最新版本,随时跟踪查杀最新流行的计算机病毒、黑客程序等。
KV3000多功能国际版本自动适应多种语言:简体中文、繁体中文、纯英文版本。
:
*KV3000多功能国际版本软件包括的是两张软盘(KV3000的A盘和B盘)以及一张KV3000的光盘
*KV3000的A盘文件组成:
KV3K.TXT(1,634字节) :KV3000系列文件说明
KV3000.TXT(53,934字节) :KV3000系列文件说明
VIRLIST.TXT (55,637字节) :KV3000查杀病毒的部分列表
COMMAND.COM(94,292字节) :DOS的系统启动文件主体
CONFIG.SYS(57字节) :系统配置文件
AUTOEXEC.BAT(25字节) :系统配置文件
HIMEM.SYS(33,191字节) :系统配置文件
VIRUS.DAT(801字节) :必须的配套文件,必须和KV3000.EXE在同一个目录下。
SMARTDRV.EXE(45,379字节) :系统配置文件
KV3000.EXE(237,339字节) :KV3000在DOS系统的下主文件,必须有virus.dat文件在同一目录下支持。隐含文件的列表不包含在以上的显示目录下。
在以上的文件列表中主要的必须的文件、经常升级的文件是KV3000.EXE文件和VIRUS.DAT文件。针对KV3000的A盘的升级也是对这两个文件的升级与修改。其他的文件是不变的,是系统启动文件和配置文件。
A盘的主要使用KV3000.EXE文件,它的主要功能是查杀国内流行的近千种计算机病毒,其开放式的结构可以查杀多种变形变种的计算机病毒,另外独特的是它内置的硬盘修复工具,修复了成千上万的硬盘。
*KV3000的B盘文件的组成:
SMARTDRV.EXE(45,379字节):系统配置文件
COMMAND.COM(94,292字节)
AUTOEXEC.BAT(51字节):系统配置文件
CONFIG.SYS(168字节):系统配置文件
HIMEM.SYS(33,191字节):系统配置文件
OAKCDROM.SYS(41,302字节):CDROM光驱驱动文件
MSCDEX. EXE(25,473字节):CDROM光驱驱动程序
EMM386. EXE(125,495字节):系统配置文件
VERSIONX.DAT(5,930字节):KVW3000智能升级配置文件
KV3000U.LIB(56,021字节):KVW3000/KVD3000使用的最新版本查杀病毒数据库,和KV3000A\B\C配合使用,必须和KVW3000的安装目录或者KVD3000.EXE文件在同一个目录下。
KVD3000.EXE(87,254字节):KVD3000查杀病毒主体文件,必须和KV3000A\B\C\U.lib四个查杀病毒数据库配合使用。
在B盘上必须的文件、经常升级的文件是KV3000U.LIB、VERSIONX.DAT以及KVD3000.EXE文件,相对来说KVD3000.EXE不是经常变化,但是KV3000U.LIB和VERSIONX.DAT是经常变化的。
B盘文件还有主要的功能是CDROM驱动程序,使用B盘启动后,可以读CDROM光盘的内容。
*KV3000的光盘的文件组成:
所有的文件包括KV3000的A盘、B盘的所有内容,还包括多功能国际演示版本的所有文件,KV3000多功能国际版本的所有安装文件。在光盘的目录下的主要变化文件在于KV3000目录下的文件:还包括各种工具软件、补丁程序、启动盘制作程序、单机黑客入侵监测程序、计算机防杀病毒知识等。
:
*KV3000的A盘上的文件KV3000.EXE使用的操作系统是DOS各个版本、WINDOWS 95/98/ME 等DOS方式下。使用的方法是使用KV3000的A盘或者B盘启动后,直接执行KV3000.EXE。当然制作系统盘还可以使用KV3000的光盘的制作系统启动盘(BOOT1、BOOT2、BOOT3)来制作。用户如果熟悉系统盘的制作的话,也可以自己单独制作启动盘。一般来说不要使用KV3000的原盘启动机器。
KV3000.EXE支持的系统文件格式是FAT/FAT32等。
*KVD3000.EXE适应的系统是DOS的所有版本、WINDOWS 95/98/ME/XP/NT/2000系统的DOS方式下。在DOS的各个版本、WINDOWS 95/98/ME系统下,可以使用系统软盘(A盘、B盘)启动来执行KVD3000.EXE。在WINDOWS NT/2000/XP系统下的NTFS格式的文件的查杀可以直接在WINDOWS系统盘的DOS方式下直接执行KVD3000.EXE.
KVD3000.EXE支持的系统的文件格式是FAT/FAT32/NTFS文件格式等。
*KVW3000适合的操作系统是WINDOWS 95/98/ME/NT/2000/XP,不能在DOS模式下运行,它和KVD3000.EXE使用的查杀病毒数据库一致,也就是查杀病毒的种类和数量是一样的,同时KVW3000还可以在以上的系统下实时监视进出你的机器上的各种病毒、黑客程序、网络蠕虫等。
*NPSETUP.EXE单机黑客入侵监测病毒防火墙适合的操作系统是WINDOWS 95/98/ME,防止使用在互联网上浏览时被黑客攻击、黑客入侵。
1、新的多功能国际版本的KV3000光盘可以自动启动,在支持光盘启动的计算机上可以启动到MSDOS方式下,在此MSDOS方式下,可以直接执行KVW3000安装目录下的KVD3000.EXE 来查杀病毒,当然这必须要求您先必须将KVW3000安装到硬盘上。
启动的MSDOS的版本是WINDOWS 98 SE,支持FAT和FAT32文件格式。
2、在WINDOWS系统下,KV3000多功能国际版本可以自动运行,出现的是KV3000的计算机病毒知识演示画面。当然KV3000的计算机病毒知识演示光盘会自动识别WINDOWS系统是否安装了相应的视频播放程序,如果没有的话,会自动提示安装相应的驱动程序。演示光盘是带声音、动画的,在多媒体电脑上演示效果最好。
3、在演示过程中可以选择“R”重复播放该演示画面。
4、在KV3000的演示片头过后出现的画面如下:图十三
(图十三)在图十三中,你可以选择以上的四个功能中的任意一个。“江民公司介绍”是有关生产计算机杀病毒软件KV系列的江民公司的情况介绍;“KV3000的使用”是采用多媒体等技术手段手把手教您使用KV3000计算机杀病毒软件;“计算机病毒知识及病毒演示”是有关计算机防、杀病毒的一些基本知识,增强用户的反病毒知识、查看部分病毒发作的现象等。最下面还有“退出”按钮,您可以选择退出到KV3000多功能版本的安装。我们在这里主要说明的是第四项目:“安装KV3000”,这个选择项目是安装KV3000多功能国际版本。
5、当选择安装KV3000后,出现的是安装多功能国际版本的使用界面,如下图十四。
(图十四)稍等片刻,后会出现如下所表示的KV3000多功能国际版本的安装组件选择图十五:
(图十五)6、在KV3000多功能国际版本的安装界面上,您可以选择的安装项目总的有2个:一个是选择安装“KVW3000反病毒工具(含KVD3000) 多语言 ,自适应简体中文/繁体中文/英语”;另外的一个是选择安装“JGAH反黑客防火墙”。当然您也可以选择“退出安装程序”。
7、选择第一个“安装KVW3000反病毒工具”,这个功能选择项目是安装KV3000多功能国际版本在WINDOWS系列环境下的杀病毒工具的主体部分。要安装该项目您必须有KV3000的磁盘A盘;您正在运行的是操作系统:WINDOWS 95/98/ME/NT4/2000/XP等流行的WINDOWS操作系统;安装成功后,可以在这些系统下查杀病毒、同时也能在这些系统下实时监视系统的病毒。
8、选择“安装KVW3000反病毒工具”出现的画面如下图十六:
(图十六)这是KVW3000安装程序的第一个界面,出现这个界面表示你选择开始安装KVW3000杀病毒程序了,直接选择“下一步”,出现的图示十七:要求插入KV3000的磁盘A盘,此时需要您将KV3000的A盘放在软盘驱动器中。这里需要注意的是:1)必须确保您的KV3000是正版的;2)必须有软盘驱动器;3)如果你的机器上光软互换的话,您可以先将KV3000
(图十七)多功能国际版本的光盘的所有内容拷贝到硬盘上,然后从硬盘开始安装,当需要插入KV3000的A盘时,再插入。选择“确定”,开始读KV3000的A盘上的加密扇区,如果成功的话,会出现如下图十八,表示您现在可以正常安装的KVW3000了:
(图十八)我们建议用户在以下的选择项目中都选择默认值进行安装。选择默认的安装路径C:\KVW3000,当然如果确实需要你也可以更换成别的安装路径:以下是默认路径的图示:
(图十九)选择“下一步”会出现如下的安装过程界面:图二十:
(图二十)当安装成功后,会出现提示您重新启动机器的提示框:如图二十一:
(图二十一)虽然可以不重新启动计算机就可以直接运行KVW3000,但是我们还是建议您将KV3000的A盘从软驱中拿出来,选择重新启动计算机后,运行安装好的、在桌面上生成的KVW3000快捷方式:
;当然如果您不选择退出的话,程序会自动返回到如上图十三的安装KVW3000初始界面。9、当重新启动计算机后,如果能看到KVW3000的快捷方式表示KVW3000安装成功,同时MSDOS下的杀病毒程序KVD3000.EXE 也安装成功。在默认状态下KVD3000.EXE程序都在KVW3000的安装路径下C:\KVW3000.运行WINDOWS下的KVW3000安装程序的方法是直接双桌面上的KVW3000。出现的扫描内存病毒的界面如下图二十二。
(图二十二)当扫描内存无病毒,出现的KVW300的运行界面如下图二十三。
(图二十三)这是KV3000多功能国际版的扫描病毒、清除病毒的主窗口,我们的绝大多数查杀病毒的操作都是通过这个窗口来进行的。基本的使用方法是先选择要扫描或者清除病毒的对象或者目标,然后根据需要来查或者杀病毒。当然可以对扫描的参数做一些调整,如是否扫描压缩文件、邮件文件、是否扫描子目录等、是否使用声音提示、是否自动提示升级查杀病毒数据库、保留经常的扫描历史记录等,这些参数的合理配合使用会提高使用效率。
10、从KV3000扫描程序启动实时监视程序的方法:选择“辅助功能”选择项目,
(图二十四)选择“启动实时监视”的功能选择项目(在红色的方框中),出现的提示画面:
(图二十五)屏幕下的表示的是KVW3000的实时监视窗口,红色的K字母见图二十六表示的是已经启动实时监视了,但是可以暂时关闭实时监视:选择“停止”即可。
(图二十六)出现的图示如下(图二十七)表示的目前的实时监视功能已经暂时停止,出现的图标是红色的KV字母。
(图二十七)鼠标右键选择状态栏目的实时监视:
(图二十八)可以选择以上的4个菜单选项,其中包括扫描程序和实时监视设置,实际上就是以上讲的扫描病毒和实时监视病毒两个程序。
11、智能升级设置、使用:在扫描程序或者实时监视菜单下,可以设置智能升级功能选择项目,在以上的图二十四上的“提醒我升级病毒库”,应该选择上,表示的是在一定时间内(30天)如果你您没有升级的话,启动扫描程序的话,会自动提示您需要升级查杀病毒数据库了。这里说的是自动提醒升级功能,除此而外程序中还设计了手动升级功能,如下图二十九:
(图二十九)在实时监视菜单下和图二十九一样,出现的图三十的图示,在如下的显示图示:
(图三十)在实时监视的窗口上也同样有自动提醒升级查杀病毒数据库的功能:具体的图示如下图三十一:功能与扫描程序的设置基本相同,只不过出现在:“快速帮助”下的“提醒我升级病毒库”,时间是30天:如果当前运行的病毒的日期与机器日期相差在30天以上的话,KV3000的实时监视程序启动的话,会自动提醒升级最新的查杀病毒数据库。
(图三十一)从以上的描述我们可以得知:KVW3000和KVD3000的查杀病毒数据库(包括搜索引擎)的升级可以采用自动升级和手动升级两种方式相结合的方式来升级,来确保您不会错过查杀病毒库或者搜索引擎的升级,熟练使用会起到防止流行病毒对你的机器的感染。实际上计算机杀病毒软件的生命力就在于不断的升级换代来对付各种呈出不穷的病毒、黑客程序、网络蠕虫等,如果你的机器出现不正常的现象,别忘了使用KVW3000的智能升级功能来升级到最新版本来检查您的机器。
1、升级网址:http://www.jiangmin.com和http://www.jiangmin.com.cn
2、升级网络的主页如下图示意(当然您见到的也许会有些变化),图三十二,
(图三十二),在这个图示中的红色的椭圆线表示的是KV3000的A盘升级入口,当然KV3000.EXE的文件的版本号和升级文件日期是变化的,如果您看到网络上表示的版本号或者文件日期比您正在使用的新的话,那就表示你该升级您的KV3000的A盘了。
3、当选择KV3000.EXE的升级后,出现的页面是图三十三:
(图三十三)这个页面是KV3000的A盘升级中心,在这里列出了KV3000的磁盘A盘升级所有的升级方法,用户可以根据实际情况自己选择适合或者习惯的升级方式。江民公司建议用户使用的升级方式是使用KV3000的A盘的自升级文件的方式,文件名称是KV3000UP.EXE,请将该文件下载到硬盘的某一个目录下,然后在硬盘的该目录下,直接运行该文件,按照屏幕的提示操作即可升级您的A盘。注意自升级文件可以自动删除KV3000的A盘上的原来的文件KV3000.EXE,自动将压缩在文件包中的新版本的KV3000.EXE 文件拷贝到A盘上。相对于以前的升级方式而言,省去了用户使用压缩工具、映像文件使用工具等的麻烦,是一个比较简单的升级方法。当然您也可以使用下面介绍的别的升级方法
4、需要注意的是升级成功后,在使用KV3000的A盘来查杀病毒时,用户应该使KV3000的磁盘A处于写保护状态,防止A盘本身感染病毒;
KV3000的B盘的主要功能是可以用来引导系统,识别光驱,这部分是基本不变的,在您购买了KV3000多功能国际版后基本不变。另外的B盘的功能是KVW3000和KVD3000多功能国际版本的最新的查杀病毒数据库KV3000U.LIB文件和VERSIONX.DAT文件。B盘文件的更新主要针对的就是这两个文件的升级。由于B盘是不加密的,因此它的升级就是一个简单的拷贝文件的过程。
另外由于病毒数据库不能脱离搜索引擎而存在,因此B盘上的数据库文件不能直接使用,必须拷贝到硬盘上的KVW3000的安装目录下,配合搜索引擎以及其他的查杀病毒数据库一起使用。举一个简单的例子是KVD3000.EXE文件的运行必须有KV3000A.LIB\KV3000B.LIB\KV3000C.LIB\KV3000U.LIB 四个查杀病毒数据库的支持才能运行,同时这四个查杀病毒数据库文件还被KVW3000(WINDOWS下的搜索程序)使用。
因此在网络上目前没有单独的文件下载。
1、如果用户能上Internet互连网,而且能够智能升级的话,实际上您不用使用下面的步骤,直接使用KVW3000智能升级就可以完成了下面要说的上网升级过程。
2、下面讲的互连网升级方法适用以下的KV3000用户:(a)能上互连网,但是现在机器上安装的KVW3000不是多功能国际版本,而且该用户已经安装的KVW3000不带智能升级选择项,他能选择的下载文件是网络地址:http://www.jiangmin.com/construct.htm 页面下的“自动升级程序压缩包(包括smartup.exe/versionx.dat),见下面的图三十四的椭圆的红色线。使用的方法在该页面上也有介绍,简单来说是将该压缩包中的2个文件smartup.exe 和 versionx.dat 拷贝到现在的计算机已经安装的KVW3000的目录下,然后直接选择smartup.exe 文件执行即可自动升级到目前的目前的多功能国际版本。注意:这样的用户大多是KV3000以前的用户,是KV300+用户,请注意目前的KV300+已经不支持直接拷贝升级到KV3000.exe文件了,建议用户直接更换到KV3000的多功能国际。(b)在局域网中,只有一台机器能上网,其他机器不能上网的话,可以直接下载大的安装程序包到硬盘的某一个目录kv011218.exe 文件安装(注意安装需要KV3000的磁盘A)。(c)能上网用户给不能上网、有不在同一个局域网络内部的用户升级也是使用(b)中的方法拷贝大的升级文件包,但是这时的拷贝就需要刻光盘或者分卷压缩了。
(图三十四)3、在图三十二中的江民公司的主页标注的粉红色椭圆线中标明了KVW3000目前的最新版本信息,用户可以直观查看版本信息,确定是否需要升级。
3.金山毒霸2003
_xyz