病毒防治三例_软件_科技时代


		<A HREF="http://ad.cn.doubleclick.net/jump/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" target="_new"><IMG SRC="http://ad.cn.doubleclick.net/ad/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" border=0 height="60" width="468"></A>

新浪首页 > 科技时代 > 软件 > 系统工具 > 正文

软件分类教程

●	系统工具
●	网络工具
●	常用工具
●	多媒体类
●	图像处理
●	文字编辑
●	休闲娱乐
●	办公软件
●	编程语言
●	操作系统
●	其它软件
●	软件评测
●	主页制作
●	观点评论

>>应用软件论坛

欢迎来稿、赐教

新浪软件下载

病毒防治三例

http://tech.sina.com.cn 2000/07/26 软件世界

　　BO黑洞

　　现在有很多病毒都是通过E-mail传播的，还有一些恶意邮件要提醒用户注意，这类信件往往是不怀好意的，经常夹带一些具有恶意的附件程序。

　　Back Orifice(简称BO)就是这样一类程序。它是一个基于Windows的远端控制软件。它的工作原理是：首先把服务(Server)程序给欲攻击方，并且执行它。攻击者自己就运行客户(Client)程序来控制欲攻击方。当用户运行了Boserve.exe之后，Windows的注册表会被BO修改，并把自己复制到System目录下面，再把原来的Boserve.exe文件删除掉。以后每次启动Windows时，它都会根据注册表自动加载System目录下面的Boserve.exe服务程序。此时表面上来看Windows没有任何的变化，而实际上Boserve.exe服务程序正在悄悄地运行，接受从网络客户端传来的控制命令。

　　BO软件是一个名叫Cut of the Dead Cow的黑客组织开发的。此软件包总共有8个文件，其中Boclient文件总共有11组命令。这些操作包括搜索服务端IP地址，进入欲攻击方计算机，DIR、CD、RD、MD操作，拷贝、删除文件、从客户端发送文件到服务端和从服务端得到所需要的文件，还有显示被控制计算机的系统信息(包括CPU的类型、内存数量、各个驱动器的资料)及重启计算机等操作。

　　堵住BO黑洞的办法：可以利用江民公司KV300+(X++)原盘启动机器，执行KV300，即可查出或删掉潜藏在系统中的网络黑客程序BO。用户也可用KV300自我升级的方式扩充代码，即可查出机器中的BO黑客程序。

　　不打开附件就安全了吗？

　　近来互连网上频繁出现的各种电子邮件病毒，使人们对自己信箱中的附件既向往，又不敢随便亲近。于是就有好心的网友总结出一条经验：不要随意打开陌生邮件的附件，即使是朋友的邮件，在打开附件之前也要进行一项确认仪式：打电话问问他们是否真的给你发了信。但是面对每月第一个下午发作的Kak病毒，这些最保守的经验也只会被打得落花流水。

　　Kak病毒一种伴随HTML文件出现的病毒，全名“Wscript/Kak”，又称为“野蛮小子”、“泡沫小子第二”。其感染性与BubbleBoy(泡沫小子)病毒相同，利用微软程序中ActiveX控件scriptlet.typelib中存在的缺陷编写，通过IE 5浏览器将病毒代码写到Windows的开始目录中，并在System目录中创建一个自己的拷贝，然后就能够附在每个Outlook发出的电子邮件中向其他机器传播。凡是安装了IE5或Office 2000的电脑都有可能被感染。

　　美国在线电脑零售商Shoppingplanet.com 就曾经一不小心，把带有KAK电脑病毒的产品广告电子邮件发给了5万多客户。值得庆幸的是眼下KAK病毒本身并无恶意，不会删除电脑中的文件。只是显示这样一行文字：Kagou-Anti-Kro$oft says not today! 然后它就会试图关闭Windows。如果用户的安全等级设定较高，也有可能看到这样的警告：你希望ActiveX控件插件运行吗？这时，应当回答：“否”。

　　幸好“爱虫”病毒没有利用Kak的特性，否则的话，后果真是不堪设想。所以，面对邮件蠕虫病毒，光是不打开附件是远远不够的。由于“野蛮蠕虫”病毒传播速度快，感染方式特殊，因此，最好选用具备实时监控的反病毒软件，如KV300才能达到预防目的。当然，一种杀病毒软件只能截取它所知道的病毒，如果你至少一星期没有升级你的杀毒软件了，就要小心Kak病毒的入侵哦！

　　如何"自治"CIH

　　陈盈豪真是个天才,他编制的一个不足2K的小程序居然可以令几十万的电脑用户叫苦不迭，以至于偌大个中国，竟然在每个月的26日之前都要播出警告提示，以防用户的电脑受到CIH的骚扰。可是它有一个“漏洞”，那就是它无法令主板BIOS芯片中那块ROM内容也同时更改，而只是往EEPRAM中增加了1个字节，从而令BIOS损坏的。所以，我们完全可以通过自己的双手，来摆平这个CIH。下面，笔者就介绍给大家一种方法。 (本例使用的是AWARDBIOS芯片)

　　正如上面提到的，主板BIOS中最重要的BLOCK模块并没有受到CIH的攻击，而这一模块本身就具有开机的功能，因此我们就可以通过编辑可执行文件，达到恢复BIOS的目的了。

　　1)制做一张DOS系统盘，将该损坏主板型号的BIOS文件和驱动刷新BIOS的文件(一般都由AWARD提供，多数名称就是AWARD.EXE)拷贝到该软盘上。

　　2)在根目录下编辑一个AUTOEXEC.BAT文件。在这个文件中，写下如下几行命令：@echo off a:\AWARD.exe X.bin ；X为该损坏主板的BIOS文件名

　　3)将电脑开机，插入该系统盘到软驱中，只要你的软驱不是损坏的，那么一般都能够完成主板的BIOS修复工作。

　　这种方法，其实是利用了主板上CMOS芯片中除BIOS程序以外的BLOCK模块的功能。根据IBM在1980年推出PC时制定的规则，电脑的主板在由BLOCK模块引导开机时，必须由ISA显卡驱动才能显示出图像。而且，BLOCK作为一个固定模块，存储在ROM中。由于CIH只能破坏EPRAM，因此对BLOCK无能为力，当然也就可以令我们轻松搞定恢复BIOS了。