赛门铁克的杀毒原理
虽然诺顿作为赛门铁克旗下的一款杀毒产品,是专门致力于个人病毒的防范,而赛门铁克的杀毒软件主要致力于企业级服务器的病毒防范,但是两者的杀毒理念以及程序核心,包括病毒库与漏洞处理机制都是相同的,只是针对面不同而在防护偏向与易用性上略有差别,因此两款杀毒软件的杀毒理念是完全相同的,采用的杀毒引擎也是一样的。
诺顿的杀毒引擎运作机制是在数据流的交换过程中,发现病毒所特有的特征码,并对不符合所设置规则的非自身程序进行判断,并对其进行比对与识别,把病毒特征码与自身病毒库中的特征码进行判断,整体程序可分为拦截、判断、识别、发现四个步骤,一般的病毒引擎一般在拦截这一环节就清除病毒程序,虽然这样减轻了杀软很大的工作量,但是对于企业重要的数据来说这也许是致命的,真正重视数据安全的大企业选择诺顿或者赛门铁克,因为他对病毒采取的主要措施就是隔离,从某种程度上讲,在对未知病毒的查杀时隔离是最好的手段;另外,诺顿的安全技术是其他任何杀软也不可比拟的,由于诺顿购买了微软的一部分的源代码,使程序设计人员能够开发出坚实的更有效的程序代码,提升程序的集成性与嵌入性,甚至是响应机制,最终将杀毒软件嵌入整个系统而做为系统不可分割的一个整体,而其他杀软仅仅是作为应用程序嵌入到系统当中的。操作系统的运行机制规定了代码运行的层次分为R0(核心),R1(硬件虚拟化),R2(系统),R3(用户界面)四个层次,其中核心层仅执行微软的源代码,是无法更改的,其余的都是通过层次递减进行译码,每一层之间是封闭的,比管理员更高权限的SYSTEM用户组也无权修改核心层,由于诺顿拥有微软的源代码,因此直接编写的程序能快速译码并触发基于R0层的响应,而Mcafee的全系列是基于R2层的,其他所有的软件则都是R3层次,但是需要注意的是并不是越低的层次代表了越好的防病毒能力,只能认为诺顿拥有更快的响应速度以及处理速度。
诺顿的杀毒软件并不只是一件简单的防毒工具,简单的杀毒软件会不断的提示用户发现可疑现象或文件,给予客户诸多选择,而往往很多客户根本不懂这些选项的意思,这类杀毒软件只有使用者具备一定的经验才能正确的掌握使用方法,才能发挥它的功能,例如诸多HIPS软件,而诺顿是真正作为一款“产品”在销售,它能够判断处理病毒与威胁并给予简单的提示(例如重启后即可完全清除病毒),并且对于经验丰富的客户也能提供非常丰富的设置和规则制定,因此诺顿是成功的。 1.隔离——将带有病毒的文件移动到了隔离区,此时病毒不能造成破坏,完全处于隔离状态,只有诺顿杀毒程序可以访问这些被隔离的文件,用户可以在隔离区内对文件进行恢复和删除;
2.修复——病毒完全被识别,赛门铁克、以及其旗下产品诺顿能成功的从文件中分离并清除了病毒代码,并保留正常文件;
3.删除——带有病毒代码的文件已经被诺顿删除,将不再可以恢复;
4.不操作——诺顿无法对带有病毒的文件进行任何操作,主要的原因是病毒程序正在运行,且进程为系统关键进程,无法通过中止进程来完成杀毒。
前三种都没问题,虽然会引起一些不了解杀毒软件工作原理客户的误会,但发现的病毒已经被处理过,不会造成更大的危害。而最重要的则是“不操作”,一旦发现这样的提示,使用者应立即断开网络,关掉系统还原,系统还原中的病毒是杀毒软件不能访问的,重启后进入安全模式,再次用诺顿进行全面扫描,这样病毒就可以被正确清除。
电脑启动时进不去,卡在用户界面,输入密码就蓝屏,并自动重启,怀疑中了三波病毒?
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为 冲击波病毒的传播了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
编辑本段
详细解决方案
手工清除方案
一、 DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
冲击波病毒操作命令集:
C:
CD C:\windows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找 冲击波病毒msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
利用工具解决方案
一、 利用瑞星专杀工具清除病毒:
用户直接点击:网址,即可下载瑞星专杀工具,进行病毒的清除工作
二、 使用瑞星杀毒软件清除病毒:
瑞星的用户可以直接到瑞星的网站上下载升级补丁包或者使用智能升级功能,将瑞星杀毒软件升级到15.48.01版本以上,然后打开所有的监控,并进行该病毒的清除。 冲击波病毒三、 使用瑞星防火墙禁止病毒端口:
第一步:双击瑞星个人防火墙图标,调出瑞星个人防火墙界面:第二步:选择“设置/设置规则”,调出设置界面:
第三步:填写TCP过滤规则,目的是过滤病毒使用的135和4444端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。
第四步:填写UDP过滤规则,目的是过滤病毒使用的69端口。选择“规则/添加规则”调出规则添加表,按照下图所示填写规则,其它的选项选择默认,然后点击“添加”按钮就添加了一个规则,就可以对该病毒进行过滤了。
编辑本段
变种介绍——冲击波V(Worm.Blaster.E)
警惕程度:★★★★★
发作时间:随机 冲击波病毒病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统: WINDOWS NT/2000/XP
病毒介绍
该变种病毒于2002年8月29日被瑞星全球反病毒监测网国内率先截获。该病毒变种在原始病毒上没有做大的改动,破坏力和“冲击波”病毒相同,只是重新改变了病毒互斥量、病毒文件名、注册表键值、攻击网址和病毒体内字符串,从而有效地躲避了杀毒软件的追杀。
病毒运行时会扫描网络,寻找操作系统为WINDOWS NT、2000、XP的计算机,然后通过RPC漏洞进行感染,并且绑定端口,危害系统。用户感染了该病毒后,计算机会出现各种异常情况,如:弹出RPC服务终止的对话框、系统反复重启、不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝服务等,另外,病毒大面积地泛滥还能使整个网络系统瘫痪。
病毒体内的字符串被改为:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and don’t forget the promise for me B/DAY !!!!”。
病毒攻击的网站被改为
病毒的发现与清除
1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。
2. 病毒运行时会建立一个名为:“SILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“mslaugh.exe”的进程,用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为:%systemdir%\ mslaugh.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:“Windows Automation = mslaugh.exe”,进行自启动,用户可以手工清除该键值。
5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。
6. 病毒体内存在有以下内容的字符串:“I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!”
7. 病毒运行时会对网站发起拒绝式服务攻击。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波V(Worm.Blaster.E)病毒。为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.50.20版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
瑞星反病毒专家的安全建议
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
编辑本段
变种介绍——冲击波VI(Worm.Blaster.F)
警惕程度:★★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统: WINDOWS NT/2000/XP
病毒介绍
2003年9月2日,瑞星全球反病毒监测网国内率先截获了冲击波病毒的第六个变种--冲击波VI(Worm.Blaster.F)。该变种的病毒代码与“冲击波V”大体相同,只是个别代码有变化,因此瑞星杀毒软件无需升级就可以自动拦截并查杀。
据瑞星反病毒工程师分析,该病毒变种并不是“冲击波”病毒作者本人编写的,而是一些好事者为了让冲击波继续泛滥而进行改写的,因此没有给系统打上安全补丁的用户应立刻去微软网站安装相应的安全补丁。
该病毒和前三个变种病毒一样,没有在原始病毒上做大的改动,传染和破坏能力与"冲击波"病毒相同。作者将病毒体内的字符更换为:“What You Should Know About the Blaster Worm and Its Variants.(你应该了解冲击波蠕虫及其变种)”,将病毒体换为:“enbiei.exe”,将病毒键值换为 "="enbiei.exe"”,将攻击的网站换为:“手中没有杀毒软件的用户应注意根据这些特征进行手工清除病毒。
病毒的发现与清除
1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。
2. 病毒会在内存中建立一个名为:“enbiei.exe”的进程,用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为:%systemdir%\ enbiei.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:“进行自启动,用户可以手工清除该键值。
5. 病毒会用到tcp/135、udp/69等端口,用户可以使用防火墙软件将这些端口禁止。
6. 病毒体内存在有以下内容的字符串:“What You Should Know About the Blaster Worm and Its Variants.(你应该了解冲击波蠕虫及其变种)”。
7. 病毒运行时会对“网站发起SYN洪水攻击。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波VI(Worm.Blaster.F)病毒。由瑞星公司对“冲击波”系列病毒的查杀代码进行了优化,用户无需升级手中的软件即可查杀该病毒。瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.48.10版已可清除此病毒,目前瑞星用户只需升级到该版本即可彻底拦截此病毒。
瑞星反病毒专家的安全建议
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
冲击波病毒
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
编辑本段
关于作者
FBI称冲击波病毒作者是一18岁少年
据Sohu报道,一名美国官员周四证实,联邦调查局(FBI)已经认定了一名18岁的少年是危险的蠕虫“冲击波”变种病毒(Blaster.B)的作者,计划在周五早晨逮捕他。
这名要求匿名的官员说,现在还不知道这名18岁少年的身份和家庭住址,他被控编写了“冲击波”蠕虫病毒。预计联邦调查局和在西雅图的美国司法部长办公室将在周五透露细节,在美国东部时间下午4:30计划召开新闻发布会。美国司法部长办公室的发言人哈丁表示,目前还没有人因此事被捕。据说一名证人看到这名少年测试病毒感染情况,并打电话报了警。
所有“冲击波”变种都利用了微软Windows操作系统的一种漏洞,微软在7月16日承认这种漏洞后,美国政府和业界专家就估计会出现病毒爆发。赛门铁克表示,“冲击波”蠕虫及其变种感染了50多万台计算机。
"冲击波"变种病毒作者获刑18个月
曾编写并散布了“冲击波”变种蠕虫病毒的美国青年杰弗里·帕森,2004年28日被美国西雅图一家地方法院判处18 个月徒刑。法官说,这对他已经是从轻处罚了。
据当地媒体报道,帕森,是美国明尼苏达州人。2003年8月,他将“冲击波”蠕虫病毒改编成“冲击波B”变种蠕虫并在网上散布,这一变种蠕虫攻击了至少4.8万台计算机。两个星期后,帕森在家中被美国联邦调查局侦探抓获。
去年,西雅图地方法院判定帕森因“攻击政府电脑”而有罪,他的最高刑期可能达10年,外加25万美元罚款。但在28日的判决中,法官认为帕森犯罪很大程度上是因为“教养不当”和“监管疏忽”,因而被判处了较短的刑期。
根据法院的判决,帕森在轻罪监狱服刑后,还必须参加10个月社区劳动,赔偿损失,并有3年监护期,有关民事赔偿的听证会将在2月举行。据微软公司的律师估计,赔偿额很可能高于100万美元。
“冲击波”及其几个变种借助网络传播,并利用了微软“视窗”操作系统的安全漏洞,被认为是破坏力最大的新型蠕虫病毒之一。根据微软公司的统计数据,自2003年以来全球已有800万至1600万台电脑被“冲击波”及其各个变种袭击,但“冲击波”蠕虫原型的编写者至今还没有被发现。
symantec endpoint
Symantec Endpoint Protection Symantec Endpoint Protection 11.0 将 Symantec AntiVirus 与高级威胁防御功能相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它在一个代理和管理控制台中无缝集成了基本安全技术,从而不仅提高了防护能力,而且还有助于降低总拥有成本。
Symantec Endpoint Protection 保护计算机的方式
Symantec Endpoint Protection 提供的安全策略包括多种防护功能来保护您的计算机。
下列几种防护功能将共同工作,保护您的计算机不受风险的入侵:
�6�1 防病毒和防间谍软件防护
�6�1 网络威胁防护
�6�1 主动型威胁防护
关于防病毒和防间谍软件防护
防病毒和防间谍软件防护可确保您的计算机免遭已知病毒与安全风险的攻击。如果能够很快地从计算机中检测到病毒并删除它们,那么病毒就不会传播到其他文件中,也不会引起破坏。病毒和安全风险的影响可以修复。当 Symantec Endpoint Protection 客户端检测到病毒或安全风险时,默认情况下客户端会通知您检测的结果。如果不希望收到通知,您或管理员可以将客户端配置为自动处理风险。
防病毒和防间谍软件防护可提供以特征为基础的扫描,并包括下列功能:
自动防护扫描
自动防护会持续运行,并通过监控您计算机上的活动为您的计算机提供实时防护。自动防护会在文件执行或打开时查看其是否含病毒或安全风险,也会在您修改文件时查看其是否含病毒或安全风险。例如,您可能会重命名、保存文件,或在文件夹之间移动或复制文件。
调度、启动及按需扫描
您或管理员可以配置其他要在您计算机上运行的扫描。这些扫描会搜索受感染文件中残留的病毒特征,也会搜索受感染文件中安全风险的特征与系统信息。您或管理员都可以启动扫描,系统地检查计算机上的文件是否有病毒和安全风险。安全风险可能包括广告软件或间谍软件。
关于网络威胁防护
Symantec Endpoint Protection 客户端提供了可自定义的防火墙,可保护您的计算机免遭恶意或无意的入侵和不当使用。它可以检测并识别已知的端口扫描及其他常见的攻击。然后,防火墙会选择允许或禁止各种网络服务、应用程序、端口以及组件来进行响应。它包括若干种类型的防护防火墙规则及安全设置,可保护客户端计算机避开可能造成伤害的网络通信。
网络威胁防护提供防火墙及入侵防护特征,可阻挡入侵攻击和恶意内容。防火墙可根据各种条件允许或禁止通信。
防火墙规则可以决定您的计算机是允许还是禁止试图通过网络连接访问您计算机的入站或出站应用程序或服务。防火墙规则可以系统地允许或禁止来自或传至特定 IP 地址及端口的入站或出站应用程序及通信。安全设置可检测并标识常见的攻击、在受到攻击之后发送电子邮件、显示可自定义消息以及执行其他相关的安全任务。
关于主动型威胁防护
主动型威胁防护包含 TruScan 主动型威胁扫描,可确保您的计算机得到针对未知威胁的零时差攻击防护。这些扫描使用启发式技术来分析程序的结构、行为和其他属性,判断是否有疑似病毒的特性。在很多情况下,它可以防御各种威胁,例如群发邮件蠕虫和宏病毒。您可能会在更新病毒及安全风险定义之前遇到蠕虫和宏病毒。主动型威胁扫描会在 HTML、VBScript 和 JavaScript 文件中查找基于脚本的威胁。
主动型威胁扫描也可以检测可能用于恶意目的的商业应用程序。这些商业应用程序包括远程控制程序或击键记录程序。
您可以配置主动型威胁扫描来隔离检测到的项目,可以手动还原主动型威胁扫描所隔离的项目。客户端还可以自动还原已隔离的项目。
关于 LiveUpdate
通过 Internet 连接,LiveUpdate 会将程序更新和防护更新下载到您的计算机。
程序更新是对您已安装产品的微小改进。它们不同于产品升级,产品升级是整个产品的新版本。程序更新通常是为扩展操作系统或硬件兼容性、调整性能问题或解决程序错误而创建的。程序更新会根据需要进行发布。
注意:
有些程序更新可能要求安装完成后重新启动计算机。
LiveUpdate 会自动进行更新检索和安装。它从 Internet 站点找到并获取文件,安装它们,然后从计算机删除残留的文件。
防护更新是使用最新的威胁防护技术来更新您的 Symantec 产品的文件。您收到的防护更新视您安装在计算机上的产品而定。
默认情况下,LiveUpdate 会按调度间隔自动运行。根据您的安全设置,可以手动运行 LiveUpdate。可能也可以禁用 LiveUpdate 或更改 LiveUpdate 调度。
关于 Symantec 安全响应中心的角色
Symantec Endpoint Protection 的强大后盾是 Symantec 安全响应中心。Symantec 安全响应中心的研究人员会分解每一个病毒和安全风险样本以发现其典型特征和行为。他们会使用此信息开发 Symantec 产品用以检测、排除和修复病毒与安全风险所造成影响的定义文件。
由于新种病毒散播的速度相当快,Symantec 安全响应中心已开发出自动化的软件分析工具。若您能将受感染的文件从计算机提交到 Symantec 安全响应中心,将能大幅缩短发现病毒、进行分析和开发出解毒方法的时间。
Symantec 安全响应中心的研究人员还研究和开发出了一些技术以保护计算机免受安全风险(如间谍软件、广告软件和黑客工具)的侵害。
Symantec 安全响应中心还维护一个病毒大全,它提供了有关病毒和安全风险的详细信息。必要时,病毒大全会提供关于删除风险的信息。百科全书位于 Symantec 安全响应中心网站,网址如下:
Win-Trojan\StartPage.18432.J这种病毒如何杀
QQ消息病毒专杀工具 点击下载瑞星专杀工具3.6
点击专杀工具XP钻石版
目前可查杀:Trojan.QQPassRecoder 、Trojan.book “美女杀手”QQMsender病毒变种病毒、QQMsg病毒、QQ.WebAuto病毒和Trojan.PSW.whboy.w、TrojanDropper等。 说明:该病毒的变种现在已经发现十多个了,中毒后qq发送的消息中均自动带有网址,或广告! 注意:正常情况下本程序可以杀掉内存中的病毒,而不必在“安全模式”下杀毒,杀毒后请访问微软的网站()给你的系统安装安全补丁,防止再次感染。 2005-03-02
新CIH(Win32.Yami)病毒 下载 瑞星专杀工具1.2 与CIH一样,被“新CIH”感染的电脑,主板和硬盘数据将被破坏,致使电脑无法启动,硬盘上的数据丢失。不同的是,“新CIH”可以在Windows2000/XP系统下运行(CIH只能在Win 9X系统下运行),因此破坏范围比老CIH大得多。 2005-05-20
爱情后门-Lovgate 、 Worm.supnot、W32.HLLW.Lovgate 点击下载norton专杀工具1.1.9.6
下载2 瑞星专杀工具3.5 病毒的几个功能: 1.密码试探攻击:病毒利用ipc进行guest和Administrator账号的多个简单密码试探。(使用如12345678,abcdef,888888) 如果成功病毒将尝试将自己复制到远程系统并试图注册成服务。 2.放出后门程序: 病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口1092) 病毒本身将自己注入到lsass进程中,并建立20168端口的shell后门 3.盗用密码4.局域网传播: 病毒穷举网络资源,并将自己复制过去。文件名为随机的选取. winrpc.exe、WinGate.exe、WinRpcsrv.exe、rpcsrv.exe或syshelp.exe 2005-05-20
MSN骗子(Worm.MSN.funny)专杀工具
MSN蠕虫(Worm.MSN)专杀工具 点击下载MSN骗子瑞星专杀工具1.1
点击下载MSN蠕虫瑞星专杀工具1.5 在Windows 2000/XP系统下,病毒会修改系统文件HOSTS,屏蔽937个网站,使用户登陆这些网站时会转向www.**78p.com,造成用户无法正常上网浏览。在Windows 98系统下,病毒会替换系统文件Rundll32.exe,可能造成系统不能关机,进而崩溃。利用MSN、QQ疯狂发送广告信息,诱骗用户登陆www.**78p.com网站。向MSN、QQ好友发送“FUNNY.EXE”文件,传播自身。 2004-03-02
“墨菲”病毒专杀工具(Trojian.mofei) 点击下载瑞星专杀工具1.4
该病毒激活后会扫描网络,利用自身携带的密码表去穷举远端系统的超级用户密码。密码破解成功后,会将自己复制到远端机算机的系统目录里,并立刻执行。该病毒最大的破坏性是在受感染的计算机系统里留下一个危险度极高的后门,因而它会在受感染的系统里添加一个名为“tsinternetuser”的管理员用户,这样受感染的系统将会完全暴露给远端的控制者(黑客)。病毒为了隐藏自己会连接内置的网址,去下载一个名为“sckiller”的自毁程序,来自我删除,并且具有网上更新能力。
2005-01-06
振荡波(Worm.Sasser)、振荡波杀手(Worm.Cycle)病毒专杀工具 点击下载瑞星专杀工具2.7
新增一种振荡波杀手病毒。另外“震荡波”病毒现已出现七八种变种请大家注意,会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。变种为avserve2.exe 2004-5-14
W32.Welch.Worm冲击波杀手
W32.Blaster.Worm冲击波
W32.Gaobot.Worm高波
点击下载nortonWelch专杀工具1.0.6
点击下载瑞星2.9专杀工具
点击下载nortonGaobot专杀工具1.0.17
新增Worm.Welchia.b.enc “高波”病毒变种等
此病毒仅仅利用微软操作系统平台上RPC系统服务的漏洞。请在海风安全网上下载rpc漏洞的最新补丁 请尽快更新系统补丁!
2004-9-9
瑞星命名:劳拉Win32.Xorala
赛门铁克命名:valla.2048点击查看病毒挡案 瑞星1.3专杀工具 Win32.Xorala是一种Win32病毒,为非常驻型病毒,感染PE形式的 Windows可执行文件(*.EXE),并在Windows 9x / NT 系列中可正常活动. 在感染过程中,Win32.Xorala会在被感染文件中添加一个名为"XOR" 的区域,并往其中添加自己的病毒代码,大小为2048字节。该病毒在文 件内搜索XOR文字,使不再感染。该病毒除感染文件之外,没有其它症状!该病毒能添加一个管理员用户,请检查电脑管理员密码!不要使用简单密码! 2004-2-26
“恶鹰(Worm.BBeagle)”
瑞星1.6专杀工具new~
“恶鹰”病毒会大量消耗被感染计算机的资源,同时大量发送病毒邮件,造成网络阻塞。
可查杀恶鹰病毒变种:Worm.BBeagle.b--Worm.BBeagle.l, 等 2004-3-2
“网络天空(Worm.Netsky)” 瑞星2.1专杀工具 “网络天空”(Worm.NetSky~ Worm. Netsky.l.enc)病毒利用电子邮件和共享目录传播,传播的速度极快,在未来的几天里可能造成新一波病毒邮件泛滥。病毒将添加如下键址:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "service" = "%Windir%\services.exe -serv" 该病毒利用自带的SMTP邮件引擎发送,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀为:.scr、.com、.pif、.rtf、 .doc、.htm、.exe等,附件即是病毒体
2004-5-4
“SCO炸弹(Worm.Novarg、MyDoom)” 瑞星1.3专杀工具
这是一个蠕虫病毒。用upx压缩。
病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。后门:病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。可进行Dos攻击
P2p共享传播:病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录亦可通过邮件传播
2004-3-2
大无极(sobig)病毒 点击下载瑞星1.3专杀工具
W32.Sobig.有多种变种,它将其自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址: .wab.dbx.htm .html .eml .txt ,并且有多个变种。主要通过电子邮件和网络共享传播,也可以感染系统文件。发件人:bill@microsoft.com 2004-2-26
小邮差(Worm.Mimail@mm) 点击查看病毒挡案 点击下载瑞星专杀工具1.3
点击下载norton杀工具
电子邮件传播的蠕虫,受感染的电子邮件具有下列特征: 寄件者:admin@domain如admin@sina.com.cn
主旨:your account
内文:Hello there,I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details. Best regards, Administrator
附件:message.zip 注意:这个威胁利用了一个outlook安全漏洞,不必打开附件即可中毒! 2004-2-26
W32.Bugbear.B@mm “妖怪”病毒 点击下载norton专杀工具
下载金山毒霸专杀工具 W32.Bugbear@mm 的一个变形。 群发邮件蠕虫,通过文件共享网络进行传播 多形,还能感染特定清单上的可执行文件 包含键盘记录和预留后门能力 试图中断各种处于活动状态的防病毒或防火墙程序 当阅读或预览感染的邮件时,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行蠕虫。 由于蠕虫未能正确处理网络资源类型,它会在共享打印机上泛滥,导致输出乱码或影响正常的打印工作。 由于提交率的增加,Symantec 安全响应中心将此威胁级别从 3 类升级为 4 类。
2003-6-7
莫国防(Win32.Mgf) 点击下载专杀工具
点击下载瑞星专杀工具
感染PE文件的病毒。 传播途径:文件、网络。 发作症状: 运行桌面上的程序,首先弹出对话框,显示“本使者为传播技术而来,已在这里安营扎寨。我无破坏力,你不必担心!” “致我的偶像比尔.盖茨:你的几个傻瓜手下,轻视我的漏洞报告,你该打他们的PP! 2004-3-24
斯温Worm.Swen 点击下载毒霸专杀工具
点击下载瑞星专杀工具
该蠕虫在发送病毒邮件时会使用随机的主题、内容和附件名称,且主题的内容信息多以“微软补丁发放、退信”的形式,让人很难加以判断,造成误打开病毒邮件,从而中招。蠕虫还会搜索系统中是否安装像“KaZaA”等点对点工具,或是“IRC”聊天工具,如果安装,它会利用这些工具的文件共享功能进行传播。蠕虫为了获得更强的生命力,它会强制中止大量反病毒软件、病毒防火墙和网络防火墙,以及替换大量文件关联,提高自己激活的机会。蠕虫激活后会造成部份应用程序运行失败,或者被蠕虫禁止运行,比如注册表查看器(Regedit.exe)程序。 2003-9-19
姆玛(Bat.muma) 点击下载norton专杀工具 该病毒采用批处理命令编写,并携带端口扫描工具,通过暴力破解被攻击的计算机超级用户密码,进行疯狂传播。传染成功后,病毒会用Psexec.exe程序远程启动被感染计算机上的Start.bat,从而使病毒在被感染的计算机上激活; 调用系统程序netstat.exe,然后运行Near.bat从netstat的输出信息中获得更多的IP,并对这些IP进行攻击;
2003-6-5
NIMDA.E(尼姆达变种) 点击下载赛门铁克专杀工具 1.当该病毒通过电子邮件传播时, 其附件的名称为sample.exe,执行该文件时,在C:\Windows\Temp 内建立名为meXXXXX.tmp.exe的临时文件.这个文件是e-mail格式,并且包含蠕虫所夹带的病毒代码。 2.若是IIS,则会在C、D或是E磁盘的根目录下生成httpodbc.dll 文件,并且造成网络阻塞 3.在Windows X/ME 系统中, 会在C:\windows 目录下产生 LOAD.EXE 4.在Windows NT/2K 系统中, 会在Windows 目录中产生隐藏文件CSRSS.EXE 2003-7-25
求知信病毒(英文Worm.klez) Worm.klez
点击下载
norton专杀 该病毒破坏性强,传播速度快,并且有多个变种。主要通过电子邮件和网络共享传播,也可以感染系统文件。当日期为单月的6日时,该病毒会发作破坏,删除.doc、.xls等类型文件,造成重要文件丢失。
2003-5-5
sircam W32/Sircam-A
点击下载 W32/Sircam-A是一个网络病毒,它通过EMAIL和打开的网络共享来传播.它通过查找"我的文件夹"目录里的文件,随机发送一个具备相同名字的主题的EMAIL和这个标题一样的附件.注意这个附件的文件名是比较特殊的双后缀名,例如.doc.com或者mpg.pif等.如果附件被打开的话,那么这个蠕虫就复制自身到windows系统目录下并命名为scam32.exe 2003-6-5
垃圾桶病毒
win32.yaha@mm Worm_lentin.G
点击下载f-secure专杀
norton专杀 病毒特点:查找用户的地址簿和临时文件夹中的邮件地址,并向这些地址乱发病毒邮件;终止大多数国外杀毒软件的主程序和其实时监控程序;
感染机器的注册表,导致用户计算机的功能无法使用,运行速度越来越慢。
2003-5-5
红色结束符
(Redlof) 点击下载瑞星专用工具
下载norton专杀工具 此病毒感染脚本类型的文件。该病毒能够疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,而病毒每激活一次,在内存中就复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,使计算机运行速度越来越慢,而且其还会随着信件模板,进行网络传播。 2003-6-5
费氏病毒专杀工具
点击下载金山毒霸专用工具 “费氏”病毒在表面特征上具有很强的变化性。根据目前收集到的入侵特征,“费氏”主要借助互联网随机向电脑终端发送电子邮件,而电子邮件的标题通常是一些具有“诱惑力”的内容。一旦用户点击标题准备打开邮件,病毒就将被激活。 2003-5-15
狩猎者专杀工具
点击下载金山毒霸专用工具 1. 该木马会把自己注册为服务。2. 设置默认主页为。3. 生成文件: intrenet.exe windows.exe,4. 在注册表里添加键值,并定时对注册表进行修改,防止用户修改回去.5. 向QQ"发送消息"向QQ窗口发送"向你推荐一个网站http;//是我朋友做的,精彩哦!"并自动发送出去。7. 如果访问, 首页中文件尾部有如下代码,它会让计算机自动下载并打开love.mht文件, 这个文件利用了IFrame漏洞,会自动运行其中的附件, 这个附件就是上面介绍的这个病毒。 2003-5-20
已记录端口扫描攻击 什么意思
就是有人在对你的计算机进行端口扫描,如果是公司网管的话,他会使用工具扫描下看那些人在上QQ啊,什么的,因为程序要连接网络要有一个端口去访问,还有就是有人在网络上攻击你,比如你的同事中了ARP病毒,该病毒就会自动攻击网络上的其他用户,导致网络瘫痪,还有就是有人尝试攻击你,但是那只是尝试,比如PING你的端口啊之类的!
比如你开了QQ,他一扫到QQ开的端口就知道你在上QQ拉,或者网络不正常,他扫下,看有没有人上下载拉····
0条大神的评论