火炬病毒是指寄生在磁碟引導區或主引導區的計算機病毒。此種病毒會利用系統引導時,不對主引導區的內容正確與否進行判別的缺點,在引導型系統的過程中侵入系統,駐留記憶體,監視系統運行,待機傳染和破壞。
基本介紹
簡介,概念,特性,發作條件,傳染,消除方法,發現,消除,危害,症狀,預防,
簡介
概念
特性
發作條件
硬碟感染時要在主引導記錄偏移1BBH處保留被感染時間的BCD碼月份。 如果在非硬碟感染的月份中用帶病毒的軟碟引導系統(如硬碟是3月份被感染,在4月份用帶有“火炬”病毒的軟碟起動),那么,就會在螢幕上顯示幾束火炬的圖案,同時,破壞性地覆蓋硬碟主引導區,其直接後果是硬碟不能引導,軟碟引導後也不能進入硬喇章雅盤,也就是說造成表面上的硬碟所有數據丟失。
傳染
消除方法
發現
1、進入DEBUG。
2、調出可能有病毒的引導塊。
(1)、查找硬碟中的火炬病毒,執行以下一段指令 A100MOV AX,201 MOV BX,200MOVCX,1MOV DX,80 INT 13 INT 3 G;執行指令
(2)、如果是查A驅中的軟碟,執行命令 ?L CS:200 001
(3)、如果是查B驅中的軟碟,執行命令 -L CS:200 1 0 1 3、反彙編。 U 200 JMP 298 …U 298 CLD XOR AX , AX MOV SS , AX MOV SP , 7C00 PUSH AX … … POP DS … … 如果反彙編200H和298H處有以上指令,則說采整照明你的機器已被“火炬”病毒感染。
消除
(1)、消A驅中的火炬病毒,在DEBUG下執行: -A100 MOV AX,201 MOV BX,200 MOV CX,1901 MOV DX,0100 INT 13 INT 3 -RIP :100 -G -W200 001
(2)、消B驅中頁乃的火炬病毒。將第4句 “MOV DX, 0100”改為“MOV DX,0101”。
2、消除硬碟中的火炬病毒。
(2)、沒有原引導記錄備份的,可從其它機器硬碟上獲得主引導記錄,方法是:在其它未感染的硬碟上執行: -A100 MOV AX, 201 MOV BX, 200 MOV CX, 1 MOV DX, 80 INT 13 INT 3 _RIP :100 _G; 執行,讀出主引導記錄取名為BOOT,保存到軟碟中。 -N BOOT -RCX :200 -RBX :0 -W 200 到被“火炬”病毒感染的機器上執行上面這段DEBUG的獲主引導記錄的程式後,再執行命令: -N BOOT -L 400 M 4005 BD 200; 複製正常主引導記錄再殃企茅鍵執行指令 -A100 MOV AX,301 MOV BX,200 MOV CX,1 MOV DX,80 INT 13 INT 3 RIP :100 即可。
危害
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程式輸入計算機網路,致使這個擁有數萬台計算機的網路被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,我國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
症狀
1.計算機系統運行速度減慢。
2.計算機系統經常無故發生當機。
3.計算機系統中的檔案長度發生變化。
4.計算機存儲的容量異常減少。
5.系統引導速度減慢。
6.丟失檔案或檔案損壞。
7.計算機螢幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁碟卷標發生變化。
10.系統不識別硬碟。
11.對存儲系統異常訪問。
12.鍵盤輸入異常。
13.檔案的日期、時間、屬性等發生變化。
14.檔案無法正確讀取、複製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C糟。
18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19.WINDOWS作業系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行“宏”。
24.使不應駐留記憶體的程式駐留記憶體
預防
1. 日常生活中應當建立良好的安全習慣
例如:對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2. 儘量注意關閉或刪除系統中不需要的服務
默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 有條件的話經常升級安全補丁
4.儘可能地使用複雜的密碼
有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5. 發現受感染的計算機應當迅速隔離
當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 豐富自己的大腦了解一些病毒知識
這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7. 用專業的防毒軟體進行維護和防毒
在病毒日益增多的二十一世紀,使用防毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、記憶體監控等、遇到問題要上報, 這樣才能真正保障計算機的安全。
危害
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程式輸入計算機網路,致使這個擁有數萬台計算機的網路被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,我國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
症狀
1.計算機系統運行速度減慢。
2.計算機系統經常無故發生當機。
3.計算機系統中的檔案長度發生變化。
4.計算機存儲的容量異常減少。
5.系統引導速度減慢。
6.丟失檔案或檔案損壞。
7.計算機螢幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁碟卷標發生變化。
10.系統不識別硬碟。
11.對存儲系統異常訪問。
12.鍵盤輸入異常。
13.檔案的日期、時間、屬性等發生變化。
14.檔案無法正確讀取、複製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C糟。
18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19.WINDOWS作業系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行“宏”。
24.使不應駐留記憶體的程式駐留記憶體
預防
1. 日常生活中應當建立良好的安全習慣
例如:對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2. 儘量注意關閉或刪除系統中不需要的服務
默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 有條件的話經常升級安全補丁
4.儘可能地使用複雜的密碼
有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5. 發現受感染的計算機應當迅速隔離
當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 豐富自己的大腦了解一些病毒知識
