文件型病毒的感染机制?
染本地硬盘和局域网内被映射盘中的扩展名为 .exe 和 .scr 的PE文件,与a变种相比,其变形更加复杂。
1、在注册表该位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
添加键值
PINF
2、在临时目录中释放一个dll文件,但是其文件名是随机的,扩展名为 .tmp
病毒名称:20060515_Win32.Parite.b
病毒类型:病毒
文件 MD5:17044C4329C65837F77A6CE7EBA306CD
公开范围:完全公开
危害等级:中
文件长度:203,225 字节
感染系统:windows 98 及以上版本
开发工具:Microsoft Visual C++ 6.0
加壳类型:未知壳
命名对照:Symentec[W32.Pinfi]
Mcafee[W32/Pate.b]
病毒描述:
该病毒具有后门、蠕虫的性质,病毒尝试枚举弱口令并复制原病毒副本到其它的主机中。感染该病毒后,病毒会连接到某IRC地址,等待并接受恶意者的控制,如:删除、下载、上传、执行任意文件等,病毒还会修改注册表文件,达到随系统启动的目的,该病毒对用户有一定的危害。
行为分析:
1、复制原病毒副本到:
%winnt%\winlogon.exe
%Documents and Settings\Administrator
\Local Settings%emp\%<random>.tmp(4个随机字符)
2、修改注册表文件,达到随系统启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
键值: 字串: "C:\WINNT\winlogon.exe -stealth"
3、连接到某IRC,等待恶意者的连接,并接受恶意操作,如:删除、下载、上传、执行任意文件等。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:%winnt%\winlogon.exe并清理临时文件夹
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
键值: 字串: "C:\WINNT\winlogon.exe -stealth"
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。 传播方式 当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。 感染对象 扩展名是COM或者EXE的文件是文件型病毒感染的主要对象 所以选 C D
如果答案对您有用,请设为满意答案,谢谢!文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式
当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象
扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
病毒典型代表——CIH
CIH病毒,别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,主要感染Windows95/98下的可执行文件,在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,危害最大的是v1.2版本,此版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日)。
CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。引自http://zhidao.baidu.com/question/1116872.html
如何处理(清除)文件型病毒
所谓文件型病毒是指寄生在正常可执行或动态链接库文件(如COM、EXE和DLL)中,通过运行被感染的文件而激活的一种病毒。虽然现在的电脑病毒越来越向着网络化蠕虫类发展,但仍然还有许多文件型的病毒横行。由于许多用户对查杀文件型病毒存在误解,因此这类病毒往往被认为很难清除,最终只得重装系统。其实只要注意以下几点,此类病毒还是很容易被清除的。
1.文件型病毒都驻留内存,在正常模式下,由于带毒文件正在运行,无法对这些文件直接进行操作。从现今的反病毒技术和病毒来看,绝大部分病毒都不可能在正常模式下简单地就可以彻底清除,所以清除文件型病毒最好在DOS模式下操作。
2.许多文件型病毒也会通过网络感染,所以杀毒时一定要断掉网络连接(拔掉网线),特别在局域网中,一定要把所有电脑上的病毒全都查杀干净以后才可以连网,否则一台刚刚杀过毒的电脑可能被再次感染,这点一定要注意。如果你面对的是一个中大型的局域网,可以考虑购买企业版(网络版)的杀毒软件进行管理。
3.由于文件型病毒都是要对宿主文件(也就是要被感染的文件)进行修改,把自身代码添加到宿主文件上,所以会造成一些结构比较复杂的文件损坏,比如一些自解压缩文件(通常是一些软件的安装文件)、带有自校验功能的文件无法运行,当它感染了系统文件,还会造成系统问题(比如经常出现“非法操作”等)。出现的这些症状即使用杀毒软件把病毒清除干净了也没法修复,这并不是杀毒软件把文“杀坏”了,而是感染这个病毒时就已经损坏了。 这时只能用以前的备份文件替换掉损坏的文件。
通过以上的介绍就可以看出,文件型病毒的预防和查杀难度教大,所以推荐大家使用杀毒软件进行预防和查杀,当然当我们的汇编知识丰富并且程序分析能力强的话,可通过其他途径学习分析文件型病毒的方法,这样除了可以更加透彻地掌握文件型病毒感染,传播和破坏机理外,还可以增加更多的实践经验,锻炼操作能力。
http://www.edu.cn/wang_luo_guan_li_1646/20070709/t20070709_242002.shtml
电脑病毒有哪些类型
(2) 若使用带病毒的模板对文件进行操作时,可以将该文档文件重新存盘为带病毒模板文件,即由原来不带宏程序的纯文本文件转换为带宏病毒的模板文件。以上两步循环就构成了宏病毒的传染机制。l 混合型病毒 混合型病毒是以上几种的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏...
宏病毒能感染那些类型的文件呢?
所有自动保存的文档都会感染。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的...
电脑病毒有什么(哪些\\哪几种)性质?
一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 二 计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染...
是什么病毒?
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦...
谁能给我简述一下计算机病毒的工作原理???
一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 二 计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染...
病毒是怎么传播的?它是怎么感染内网的其他的电脑的?
实际上,现在的病毒没有那么弱智的,下面我门来看看其他的几种传染机制,首先看看引导型病毒 刚才说了,病毒必须进入内存才可以继续感染,只有被运行他才可以进入内存,那么与等用户来运行,如果用户长期不用这个染度文件,岂不是等的花而也谢了。引导型病毒感染的不是文件,而是磁盘引导区,他把自己写入引导区,这样,只要...
怎么要在DOS下杀毒!请详细点!谢了!
非也,告诉大家病毒很简单,人做的程序而已,别怕。其实病毒机理无非就是“感染-》优先运行-》自我复制-》隐藏、破坏-》传播”几个步骤。熟悉了这些,我们就可以知道,杀毒到底要从什么方面入手。先就简单的说说病毒的感染和传播方法。 1、 引导区型病毒 感染启动扇区(包括软盘),在每次开机时读区引导区也就激活了病毒...
电脑病毒是怎么形成的
在系统存取磁盘时进行传播。1989年引导型病毒发展为可以感染硬盘,典型的代表有“石头(2)”。2.1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使...
计算机病毒有哪些种类
宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD...
如何进行计算机病毒的防范。
应用系统层面的安全防范通过安装软件补丁、优化软件设计,提高应用软件的安全性。安装安全防护软件通过安装防火墙、杀毒软件、入侵检测等安全防护软件,提高计算机的防护能力。提防问题网站目前黑客等不法分子会把病毒、木马挂在网页上,只要浏览网页,就有可能会被植入木马或感染病毒。因此在浏览网页时需要加以...
王昂浦列: 要了解文件型病毒的原理,首先要了解文件的结构.COM 文件比较简单, 病毒要感染COM文件有两种方法,一种是将病毒加在COM前部,一种是加在文件尾部,见下图: AB -------- --------------- |-病毒 | |JMP XXXX:XXXX| (原文件的前3...
木兰县18664147574: 简述计算机病毒传染的机制? ?
王昂浦列: 计算机病毒的传染机制 1.计算机病毒的传染方式 所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程.这种载体一般为磁 盘或磁带...
木兰县18664147574: 什么叫文件型病毒??
王昂浦列: 文件型病毒是文件侵染者,也被称为寄生病毒.它运作在计算机存储器里,通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件.每一次它们激活时,感染文件把自身复制到其他文件中,并能在存储器里保存很长时间,直到病毒又被激活.
木兰县18664147574: 文件型病毒 - ?
王昂浦列: 文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己.文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令.同时还经常将控制权还给主程序,以伪装您的计算机系统正常运行. 一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的操作,并进行自我复制,同时附着在您系统其他可执行文件上伪装自身,并留下标记,以后不再重复感染.
木兰县18664147574: 文件型病毒可分为 - ?
王昂浦列: 文件型病毒系计算机病毒的一种,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com).文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件.一旦计算机运行该文件就会被感染,从而达到传播的目的. 文件型病毒分两类:一种是将病毒加在COM前部,一种是加在文件尾部. 文件型病毒传染的对象主要是.COM和.EXE文件.
木兰县18664147574: 文件型病毒和引导型病毒的工作原理 - ?
王昂浦列: 文件型是修改系统里的应用程序文件,导致变种
木兰县18664147574: 电脑病毒有哪些类型 - ?
王昂浦列: 从计算机病毒的基本类型来分,计算机病毒可以分为系统引导型病毒、可执行文件型病毒、宏病毒、混合型病毒、特洛伊木马型病毒和Internet语言病毒等等.l 系统引导型病毒 系统引导型病毒在系统启动时,先于正常系统的引导将病毒程序自身...
木兰县18664147574: 电脑病毒是如何工作的??
王昂浦列: 这里详细一点 自己慢慢看 计算机病毒是如何工作的 文件型的病毒将自身附着到一个文件当中,,通常是附着在可执行的应用程序上.(如:一个字处理程序或DOS程序).通常文件型的病毒是不会感染数据文件的.然而数据文件可以包含有嵌入的...
木兰县18664147574: 病毒知识 - ?
王昂浦列: 一、特点 寄生性、隐蔽性、非法性、传染性、破坏性 二、分类: 1、引导型病毒:寄生在系统引导区,比较容易被清除,现在已经很少见. 2、文件型病毒:寄生在可执行文件中,感染速度快,较易清除. 3、目录型病毒:寄生在系统目录结构...
木兰县18664147574: 文件型病毒通常感染什么类型的文件,谢谢了 - ?
王昂浦列: 文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序. 传播方式 当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的...
