首页 | 本学科首页   官方微博 | 高级检索  
相似文献
 共查询到20条相似文献,搜索用时 31 毫秒
1.
《个人电脑》2003,9(4):198-198
病毒档案病毒名称:红色代码III(Worm.CodeRed.F)合作伙伴:北京瑞星科技股份有限公司(www.rising.com.cn)警惕程度:★★★★发作时间:随机病毒类型:内存病毒传播方式:内存感染对象:内存病毒介绍:它是给全球的企业和个人造成了26.2亿美元经济损失的“红色代码”病毒的改进版本!它攻击安装了IIS服务程序的Windows 2000系统的计算机,本身无文件形式,只存在于内存中,同时分成数百份线程,在局域网内疯狂传播,瞬间导致被感染的网络瘫痪。网络用户只能选用有内存监控的反病毒产品,将全网的内存监控同时打开并进行全网统一杀毒才…  相似文献   

2.
用存贮容量探测系统型病毒国防科技大学陈德明计算机系统型病毒之所以能感染各种硬盘和软盘,都是因为病毒程序侵入硬盘引导程序,一开机就先于DOS启动,并常驻内存,伺机破坏。计算机染上了系统型病毒,往往不易察觉,到发现反常时,可能已经蒙受了不小的损失,如能及...  相似文献   

3.
“1099”病毒是近年来流行的一种文件型病毒。激发时,将会随机性地改写硬盘,故有的资料称之为“随机格式化病毒”,被改写的硬盘中,文件数据全部丢失,所以是一种“恶性病毒”。1099病毒的感染能力很强,在运行了一个染毒文件后,它就驻留内存,然后在DIR命令下,每列一次目录时,就感染当前目录下的一个可执行文件,先感染.EXE文件,再感染.COM文件。一旦COMMAND.COM文件被感染,则每次开机后它就驻留内存,伺机继续感染其它的可执行文件。研究此病毒可以用如下方法:先把一个无毒的.EXE文件或者.COM文件以.CMP文件复…  相似文献   

4.
计算机病毒会严重干扰计算机的正常工作,破坏用户的数据和程序,甚至造成严重的损失,令大多数计算机用户“谈素色变”。这对计算机的推广和应用带来了一定影响。其实,计算机病毒并不十分可怕,只要我们了解它的原理,掌握它的防治方法,就一定能预防它的传染,即使传染也一定能把它清除,保证工作的正常进行。下面本文将介绍DABI(1465)病毒的原理及诊治。一、DABI(1465)病毒的原理DABI(1465)病毒是文件型病毒。病毒传染计算机时,首先在内存高瑞申请一块长为6COH字节的内存块(段地址为9F94H),并将病毒程序移到该内存块继…  相似文献   

5.
杨振毅 《电脑》1994,(5):43-44
笔者最近在一张游戏盘中发现了一种病毒,用CPAV消毒软件无法检测出来。由于该病毒自身长度为1759字节,故在本文中称为1759病毒。 一、病毒的特征和传播 1、该病毒为常驻内存的文件型病毒。一旦执行带毒程序后,病毒即驻留内存。以后只要执行某一个可执行文件病毒即对其进行传染。  相似文献   

6.
“掉眼泪”病毒是一种常驻内存的外壳型病毒,目前已在我国计算机系统中蔓延.本文介绍这种病毒的传染机制、表现形式和危害,以及诊断,清除这种病毒的方法,并提出了一般外壳型病毒的免疫方法。  相似文献   

7.
施来法 《电脑》1995,(6):32-34
《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.  相似文献   

8.
近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。  相似文献   

9.
1425病毒     
胡向东 《电脑》1994,(10):51-51
笔者最近发现了一种新病毒,用目前的KILL软件及SCAN软件均不能测出,因受感染的EXE文件或COM文件,增长约1425字节,故笔者称之为1425病毒.1425病毒是一种文件型病毒,它更改了功能调用中断INT 21H.其病毒INT 21H的入口在XXXX:0287.在带有1425病毒的内存中断向量表0000:0084处可看到这个病毒的入口地址.  相似文献   

10.
宋燕  张贵元 《电脑》1994,(1):48-48
近来,在我校出现了一种新病毒。这种病毒用SCANl04和CPAV1.04均查不出,当病毒驻留内存时,DOS管理的内存并不减少,但用MEM查内存时,COMMAND所用的内存比无毒时占用印内存多了1200字节。且光标消失。根据这一特征可以判断内存是否有毒。这种病毒虽属良性病毒,无其它破坏作用,但在编辑文本时因见不到光标而给我们带来极大的不方便。因其感染后的文件长度增加934字,故笔者给它取名为934病毒。 这种病毒驻留内存时所用的方法与其它病毒截然不同。它使用的是修改MCB(内存控制块)的方法。当运行带毒程序时,病毒的“启动模块”首先获得控制权,它先把4D送入MCB偏  相似文献   

11.
新病毒捕获与取样1.采集新病毒样本所谓采集样本,就是取得所要解剖、分析的病毒代码。下面介绍几种取样的方法。(1)磁盘文件抄录法:从含有病毒的磁盘或文件中直接将“静态”病毒拷贝出来,这是最安全又最直接的方法之一。但解剖、分权时,需对病毒的藏身方式有一定了解。(2)系统内存抄录法:依照上期介绍的“中断向量检查法”,查出病毒的中断向量。将该中断向量所指向的内存中该段地址的内容全部或部分抄录到指定的文件中。该方法是取得病毒“动态”的样本,使用DEBUG工具就可办到,但涉及的技巧颇为复杂,要求使用者对系统内存管…  相似文献   

12.
《信息网络安全》2002,(6):11-12
江民科技 使用KV3000杀毒王的最新版本将内存中的I-Worm/Klez.h和病毒Win32/Foroux清除。清除的方法是:选择杀毒王“实用工具”中的“扫描系统”对系统中的内存病毒以及系统文件进行扫描,发现病毒后会自动清除。可以扫描多次以确认内存中的病毒被彻底清除,标志是扫描内存病毒完成的结果是没有病毒提示信息。 当然如果在扫描内存病毒的过程中  相似文献   

13.
B483病毒     
朱红卫 《电脑》1994,(6):54-55
最近,在我单位的计算机上发现了一种新的病毒,用CPAV、KILL、SCAN均无法检测出来。我对病毒进行了彻底的分析,成功的清除了病毒。因该病毒运行后在内存0000:053E处有B483标志,所以称之为B483病毒。该病毒是文件型病毒,它的感染对象是绝大部分COM文件和EXE文件。  相似文献   

14.
郭涛  傅奇芳 《电脑》1995,(11):33-35
目前,由于个人计算机的逐步普及,而计算机用户对于计算机安全缺乏足够的认识,为计算机病毒的传播打开了方便之门.少数人或为证明自己的能力或出于某些其他目的,制造并传播计算机病毒,造成计算机病毒数的猛增.现在的查消病毒的软件只是跟着病毒走,随着病毒的发展不断推出新版本.对病毒的自动查消应是努力的方向.当内存中存在计算机病毒时,对于存储介质上的病毒的消除是不安全的,因为在我们消除病毒的同时,由于内存病毒的存在,可能使存储介质在消除病毒的同时染上病毒,所以只有确认内存中不存在计算机病毒,才能保证消除过程是安全的.因此如何判断内存中有没有病毒,存在何种病毒,如何消除,是消除存储介质上病毒的前提.目前的消毒软件对内存病毒的检查大致分三种形式:1、不进行检查.要求用干净的系统盘启动,消毒程序  相似文献   

15.
目前,个人计算机逐步普及,但有些计算机用户对计算机安全缺乏足够的认识,为计算机病毒的传播打开了方便之门.少数人或为证明自己的能力或出于某些其他目的,制造并传播计算机病毒,造成计算机病毒数的猛增.现在的查消病毒的软件只是跟着病毒走,随着病毒的发展不断推出新版本.我们认为对病毒的自动查消应是努力的方向.当内存中存在计算机病毒时,对于存储介质上病毒的消除是不安全的,因为在我们消除病毒的同时,由于内存病毒的存在,可能使存储介质在消除病毒的同时染上病毒,所以只有确认内存中不存在计算机病毒,才能保证消除过程是安全的.因此如何判断内存中有没有病毒,存在何种病毒,如何消毒,是消除存储介质上病毒的前提.  相似文献   

16.
通过对几种病毒实例分析,指出众多用户经常使用的热启动操作不但不能保证清静 除计算机内存中的病毒,且病毒程序会进一步利用用户的热启动过程实用激活和扩散,燕在简要分析这些病毒的运行机制的基础上,提出了进一步防范的安全措施。  相似文献   

17.
1091病毒分析     
谭克宁 《电脑》1995,(11):36-38
该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内  相似文献   

18.
本文揭示了计算机病毒驻留内存的种种手段,指出这是病毒能够在系统中进行传染和破坏的重要原因。介绍了保护系统信息的完整性,制止病毒驻留内存的病毒防御系统的设计思想。  相似文献   

19.
1349病毒分析     
谭克宁 《电脑》1995,(6):35-37
近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为  相似文献   

20.
病毒及其分类电脑病毒是指那些能够通过修改程序并把自身包括在内去“传染”其他程序的程序。病毒的本质是“程序”,是一组能执行的、并且必须要被执行的指令。对抗病毒的根本措施就是清理病毒寄生环境(静态杀毒)、切断病毒的传染途径(动态防毒)。微矾病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按传染途径又可分为驻留内存型和不驻留内存型,驻留型的按其驻留内存方式又可细分。混合型病毒(如Invader、Flip、XqR等)集引导型和文件型特性于一体。引导型病毒是一种在ROMBIOS之后、系统引导时出现的…  相似文献   

设为首页 | 免责声明 | 关于勤云 | 加入收藏

Copyright©北京勤云科技发展有限公司  京ICP备09084417号