常见计算机病毒简介解析

病毒特征

该蠕虫攻击安装有Microsoft SQL 的NT系 列服务器，该病毒尝试探测被攻击机器的 1434/udp端口，如果探测成功，则发送 376个字节的蠕虫代码。1434/udp端口为 Microsoft SQL开放端口。该端口在未打补 丁的SQL Server平台上存在缓冲区溢出漏 洞，使蠕虫的后续代码能够得以机会在被 攻击机器上运行并进一步传播。
防范



安装微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3。 在防火墙或者路由器上阻塞外部对内的和 内部对外的UDP/1434端口的访问。 如果由于DoS导致系统反映缓慢，可先断 开网络连接，然后在Windows任务管理器 里面强行终止进程SqlServr.exe，在做过 相应的防范措施以后在SQL Server管理器 里面重新启动此服务。
预防与清除



Windows 2002补丁3 sp3 132M Windows XP 补丁 la 143M “冲击波”Windows2000微软补丁 “冲击波”WindowsXP微软补丁 Xp sp1
蠕虫王2003

2003年1月25日，互联网遭遇到全球性的 病毒攻击。这个病毒名叫 Win32.SQLExp.Worm，病毒体极其短小, 却具有极强的传播性，导致全球范围内的 互联网瘫痪，中国80%以上网民受此次全 球性病毒袭击影响而不能上网，很多企业 的服务器被此病毒感染引起网络瘫痪。而 美国、泰国、日本、韩国、马来西亚、菲 律宾和印度等国家的互联网也受到严重影 响。
“求职信”病毒演变历程


2001年，10月 “求职信” 第一版“求职信”病毒，利用微软邮件系统自 动运行附件的安全漏洞，通过电子邮件传播，传 染能力极强。由于邮件中含有英文“我必须找到 一份工作来供养我的父母”的信息，故命名为 “求职信”病毒。它传染可执行文件，定时搜索 电脑中的所有文件，耗费大量系统资源，造成电 脑运行缓慢直至瘫痪。遇到单月13日时会自动发 作，将所有系统文件加长一倍，浪费大量硬盘空 间。 2001年，11月 “求职信”（b /c /d版） 结构基本与第一版相同，只是增加了一些更具 伪装性的邮件主题，破坏影响不大。
病毒特征


该病毒会通过FTP的5554端口攻击电脑，一旦攻击失败， 会使系统文件崩溃，造成电脑反复重启；病毒如果攻击成 功，会将文件自身传到对方机器并执行病毒程序，然后在 C:\WINDOWS目录下产生名为avserve.exe的病毒体， 继续攻击下一个目标，用户可以通过查找该病毒文件来判 断是否中毒。 “震荡波”病毒会随机扫描IP地址，对存在有漏洞的计算 机进行攻击，并会打开FTP的5554端口,用来上传病毒文 件，该病毒还会在注册表HKEY_LOCAL_MACHINE \SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run中建立： "avserve.exe"=%windows%\avserve.exe的病毒键 值进行自启动。
冲击波2003

2003年8月11日，一种名为“冲击波” （Worm.Blaster）的电脑蠕虫病毒席卷全 球，瞬间造成大量电脑中毒，部分网络瘫 痪。“冲击波”病毒几乎能感染所有微软 “视窗”（Windows）操作系统。包括： WindowsNT4.0、Windows2000、 WindowsXP和Windows2003。
常见计算机病毒简介

震荡波 冲击波 蠕虫王 求职信 红色代码 尼姆达
震荡波

2004年“五一”黄金周第一日，一个新的 病毒——“震荡波(Worm.Sasser)”开始在 互联网上肆虐。该病毒利用WindowsFra Baidu bibliotek台 的Lsass漏洞进行传播，中招后的系统将开 启128个线程去攻击其他网上的用户，可造 成机器运行缓慢、网络堵塞，并让系统不 停地进行倒计时重启。其破坏程度有可能 超过“冲击波”。
袭击对象

此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器， 包括安装了如下程序的系统： Microsoft SQL Server 2000 SP2 Microsoft SQL Server 2000 SP1 Microsoft SQL Server 2000 Desktop Engine Microsoft SQL Server 2000 Microsoft Windows NT 4.0 SP6a Microsoft Windows NT 4.0 SP6 Microsoft Windows NT 4.0 SP5 Microsoft Windows NT 4.0 Microsoft Windows 2000 Server SP3 Microsoft Windows 2000 Server SP2 Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP3 Microsoft Windows 2000 Advanced Server SP2 Microsoft Windows 2000 Advanced Server SP1 。
感染后的症状



莫名其妙地死机或重新启动计算机； IE浏览器不能正常地打开链接； 不能复制、粘贴； 有时出现应用程序，比如Word异常； 网络变慢； 最重要的是，在任务管理器里有一个叫 “msblast.exe”的进程在运行！
专攻微软漏洞

“冲击波”病毒是利用微软公司公布的Windows 操作系统RPC（Remote Procedure Call ，远 程过程调用）漏洞进行攻击和传染的。RPC是 Windows操作系统使用的一种远程过程调用协议， 它提供了一种远程间交互通信机制。通过这一机 制，在一台电脑上运行的程序可以顺畅地执行某 个远程系统上的代码。由于微软的RPC部分在通 过TCP/IP处理信息交换时存在一个漏洞，远程攻 击者可以利用这个漏洞以本地系统权限在系统上 执行任意指令。
预防与清除


建议用户立即到微软的站点去下载并安装该漏洞 的补丁；立即升级反病毒软件的病毒数据库；打 开个人防火墙屏蔽端口：5554和1068，防止名 为avserve.exe的程序访问网络。 如已经感染，应立刻断网，手工删除该病毒文件， 然后上网下载补丁程序，并升级杀毒软件或者下 载专杀工具。手工删除方法：查找该目录 C:\WINDOWS目录下产生名为avserve.exe的 病毒文件，将其删除。