1 / 20

電腦病毒

電腦病毒. 胡仁豪. 目錄. 1 2 3 4 5 6 7 8. 1. 開機磁區電腦病毒 1.1 分類 2. 檔案型電腦病毒 2.1 分類 3. 複合型電腦病毒和其分類 3.1 分類 4. 巨集病毒 4.1 分類 5 . 蠕蟲 5.1 分類. 6. 特洛伊木馬 6.1 分類 7. VB Script 病毒 7.1 分類 8. 如何移除電腦病毒 9. 防毒程式 . 電腦病毒有哪些種類 . 開機磁區電腦病毒.

armande
Download Presentation

電腦病毒

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 電腦病毒 胡仁豪

  2. 目錄 • 1 • 2 • 3 • 4 • 5 • 6 • 7 • 8

  3. 1.開機磁區電腦病毒 1.1分類 2.檔案型電腦病毒 2.1分類 3.複合型電腦病毒和其分類 3.1分類 4.巨集病毒 4.1分類 5.蠕蟲 5.1分類 6.特洛伊木馬 6.1分類 7. VB Script病毒 7.1分類 8.如何移除電腦病毒 9.防毒程式 電腦病毒有哪些種類

  4. 開機磁區電腦病毒 • 90年代中期,最為流行的電腦病毒是開機磁區病毒,主要通過軟碟在16元磁碟操作系統(DOS)環境下傳播。開機磁區病毒會感染軟碟內的開機磁區及硬碟,而且也能夠感染用戶硬碟內的主開機磁區(MBR)。一但電腦機件中毒,每一個經受感染電腦讀取過的軟碟都會受到感染。開機磁區電腦病毒是如此傳播:隱藏在磁碟內,在系統檔案啟動以前電腦病毒已駐留在記憶體內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows 3.1上執行的開機磁 區病毒是不能夠在新的電腦操作系統上傳播,所以這類的電腦病毒已經比較罕見了。

  5. 開機磁區病毒分類 • Michelangelo 一種開機磁區病毒。它會感染開機磁區內的磁碟及硬碟內的MBR。當 此電腦病毒常駐記憶體時,會感染所有讀取中及沒有寫入保護的磁碟。除此以外,Michelangelo會於3月6日當天刪除受感染電腦內的所有檔案。 • FEC此開機型病毒會將本身的程式碼寫入啟動磁區,並將原始的開機資訊寫入其他位置。因為這個覆寫動作,因此病毒可能會破壞硬碟。 • BOOT-0709這是一種具有破壞性的記憶體常駐開機型病毒。它會感染硬碟與「主開機記錄」(MBR),以及所存取之磁片的「開機磁區」。此病毒具有破壞性,會在某些情況下刪除磁碟磁區。

  6. 檔 案 型 電 腦 病 毒 • 檔 案 型 電 腦 病 毒 , 又 稱 寄 生 病 毒 , 通 常 感 染 執 行 檔 案 (.EXE) , 但 是 也 有 些 會 感 染 其 它 可 執 行 檔 案 , 如 DLL , SCR 等 等 ... 每 次 執 行 受 感 染 的 檔 案 時 ,電 腦 病 毒 便 會 發 作 :電 腦 病 毒 會 將 自 己 複 製 到 其 他 可 執 行 檔 案 , 並 且 繼 續 執 行 原 有 的 程 式 , 以 免 被 用 家 所 察 覺 。

  7. 檔案型病毒分類 • CIH 會感染Windows95/98的.EXE檔案,並在每月的26號發作日進行嚴重破壞。於每月的26號,此電腦病毒會試圖把一些隨機資料覆寫在系統的硬碟,令該硬碟無法讀取原有資料。此外,這病毒又會試圖破壞Flash BIOS內的資料 。 • PE GREENDAY此檔案型病毒會感染現行目錄中的 EXE 檔,將檔案覆寫成本身的病毒程式碼。當中毒的 EXE 檔執行時,將執行病毒本身而不是原始的 EXE 檔。 • Dubug 是一隻檔案型病毒,它會感染 .COM和.EXE 檔。一旦執行了中毒的檔案,病毒就會常駐在記憶體內,往後存取的.COM和.EXE程式檔案就會感染。該病毒還用了隱藏的技巧,讓使用者很難察覺感染檔案大小的改變。

  8. 複 合 型 電 腦 病 毒 和 其 分 類 • 複 合 型 電 腦 病 毒 具 有 開 機 磁 區 病 毒 和 檔 案 型 病 毒 的 雙 重 特 點 。 • 分類: • SLIME此常駐記憶體的千面人複合型 DOS 病毒會感染所有執行的 .COM 檔。它不具有破壞性。 • FLIP是一隻複合型病毒,它會感染 *.COM 和 *.EXE 檔、磁片的開機磁區、以及硬碟的磁碟分割表。在執行中毒程式時、或用中毒磁片開機時,都可能受到感染。請注意,開機的程序並不需要全部完成就可能受到感染。病毒會將自己的程式載入記憶體內。一旦常駐,就會感染往後存取的程式檔案。

  9. 巨 集 病 毒 • 與其他電腦病毒類型的分別是巨集病毒是攻擊數據檔案而不是程式檔案。巨集病毒專門針對特定的應用軟件,可感染依附於某些應用軟件內的巨集指令,它可以很容易透過電郵附件、軟碟、檔案下載和群組軟件等多種方式進行傳播如Microsoft Word和Excel。巨集病毒採用程式語言撰寫,例如Visual Basic,而這些又是易於掌握的程式語言。巨集病毒最先在1995年被發現,在不久後已成為最普遍的電腦病毒。

  10. 巨集病毒分類 • July Killer 這個電腦病毒通過VB巨集在MS Word 97 文件中傳播。一但打開染毒文件,這病毒首先感染共用範本(normal.dot),從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時,這病毒就會刪除c:\的所有檔案。 • W97M_DARIEM.A此巨集病毒會變更中毒文件的摘要資訊。如果系統日期為 3 或 26 且月份為 2(二月),病毒會在感染的文件中加入密碼及註腳。 • W97M_FATT.A此巨集病毒會在 c:\Windows\System 目錄留下本身的副本 Msfat.sys.vbs 以及 Msfat.sys。此病毒還會關閉巨集病毒保護功能。

  11. 蠕 蟲 • 蠕 蟲 是 另 一 種 能 自 行 複 製 和 經 由 網 絡 擴 散 的 程 式 。 它 跟 電 腦 病 毒 有 些 不 同 ,電 腦 病 毒 通 常 會 專 注 感 染 其 它 程 式 , 但 蠕 蟲 是 專 注 於 利 用 網 絡 去 擴 散 。 從 定 義 上 ,電 腦 病 毒 和 蠕 蟲 是 非 不 可 並 存 的 。 隨 著 互 聯 網 的 普 及 , 蠕 蟲 利 用 電 郵 系 統 去 複 製 , 例 如 把 自 己 隱 藏 於 附 件 並 於 短 時 間 內 電 郵 予 多 個 用 戶 。 有 些 蠕 蟲 ( 如 Code Red ) , 更 會 利 用 軟 件 上 的 漏 洞 去 擴 散 和 進 行 破 壞 。

  12. 蠕蟲分類 • 於1999年6月發現的Worm.ExploreZip是一個可複製自己的蠕蟲。當執行時,它會把自己隱藏在附件,經電郵傳送予通訊錄內的收件人。在Windows環境下,若用戶開啟附件,就會自動執行蠕蟲。在Windows 95/98環境下,此蠕蟲以Explore.exe為名,把自己複製到C:\windows\system目錄,以及更改WIN.INI檔案,以便系統每次啟動時便會自動執行蠕蟲。 • TROJ_SOUTHPARK此蠕蟲病毒會傳送惡意的電子郵件給中毒使用者之通訊錄中找到的所有收件人,其中含有病毒本身的副本。和其它蠕蟲病毒不一樣,此蠕蟲病毒沒有郵件傳送數目限制。由於它可以傳送郵件給所有的收件人,因此可能癱瘓網路。 • WORM_RODOK.A此病毒是透過所謂即時通訊軟體工具如MSN所傳送,也就是透過聯絡人清單傳送的病毒,所謂即時通訊目前大約泛指如ICQ、Yahoo Messenger或是MSN messenger 等即時傳送訊息軟體工具。它也散播和執行可被趨勢偵測到的後門惡性程式 BKDR_EVILBOT.A

  13. 特 洛 伊 / 特 洛 伊 木 馬 • 特 洛 伊 或 特 洛 伊 木 馬 是 一 個 看 似 正 當 的 程 式 , 但 事 實 上 當 執 行 時 會 進 行 一 些 惡 性 及 不 正 當 的 活 動 。 特 洛 伊 可 用 作 黑 客 工 具 去 竊 取 用 戶 的 密 碼 資 料 或 破 壞 硬 碟 內 的 程 式 或 數 據 。 與 電 腦 病 毒 的 分 別 是 特 洛 伊 不 會 複 製 自 己 。 它 的 傳 播 技 倆 通 常 是 誘 騙 電 腦 用 家 把 特 洛 伊 木 馬 植 入 電 腦 內 , 例 如 通 過 電 郵 上 的 遊 戲 附 件 等 .

  14. 特 洛 伊 / 特 洛 伊 木 馬 分 類 • Back Orifice特洛伊木馬於1998年發現,是一個Windows 遠程管理工具,讓用戶利用簡單控制台或視窗應用程式,透過TCP/IP去遠程遙控電腦。 • BKDR_SUBSEVEN.21此特洛伊木馬型病毒是一個駭客工具,具有先進技術可控制被入侵的電腦。入侵者可輕易地修改被入侵者的系統設定。它會竊取使用者的資訊並掃瞄遠端電腦的 IP 位址。它有一項有趣的管理者選項會讓螢幕跳動或變更桌面設定來愚弄使用者。 • PE_BABYLONIAW95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.pluginPE_Babylonia 是第一隻常駐於記憶體中的遠端控制病毒,是網際網路蠕蟲,具備後門工具。運作於 Win9x 系統中,透過 mIRC 以及電子郵件進行散播 (類似 TROJ_SKA)。 PE_Babylonia 病毒最早是被公佈於網際網路新聞群組中,一個佯稱內含 17.000 餘組已註冊軟體的序號的 Windows Help 檔案 serialz.hlp,實際上是夾帶病毒...

  15. VB Script 病 毒 • 過 去 , 編 寫 電 腦 病 毒 的 人 若 要 成 功 編 寫 一 種 可 感 染 其 他 電 腦 的 病 毒 , 必 須 對 電 腦 的 基 本 運 作 具 備 相 當 程 度 的 知 識 。 但 隨 著 Microsoft Office 巨 集 的 出 現 , 編 寫 電 腦 病 毒 的 工 具 已 準 備 就 緒 , 而 編 寫 的 人 亦 毋 須 具 備 很 多 資 訊 科 技 知 識 也 能 勝 任 。 編 寫 VB Script 病 毒 的 情 況 也 一 樣 , 其 操 作 環 境 已 很 普 及 , 而 入 門 學 習 也 並 非 難 事 。VB Script 是 以 人 類 可 閱 讀 的 方 式 編 寫 , 所 以 易 於 明 白 。 正 是 這 個 原 因 , 很 多 並 沒 有 具 備 高 深 資 訊 科 技 知 識 的 編 寫 電 腦 病 毒 者 也 可 侵 入 這 個 領 域 。 此 外 , 在 互 聯 網 上 , 已 經 流 傳 了 一 些 可 自 動 生 產 電 腦 病 毒 的 軟 件 工 具 , 這 使 到 製 作 電 腦 病 毒 已 經 成 為 了 一 件 輕 而 易 舉 的 事 情 了 。以 VB Script 編 寫 的 程 式 的 第 一 代 電 腦 病 毒 藏 在 以 HTML 編 寫 的 網 頁 內 , 經 由 互 聯 網 擴 散 開 去 。 現 時 散 播 力 強 的 VB Script 電 腦 病 毒 通 常 以 寄 發 電 子 郵 件 的 方 式 擴 散 , 按 用 戶 地 址 冊 所 列 的 電 郵 地 址 把 電 腦 病 毒 程 式 一 同 寄 出 。 用 戶 執 行 附 件 中 的 程 式 時 , 便 會 幫 助 病 毒 擴 散 。

  16. VB Script 病 毒 分 類 • VBS_MAILPEEP這是一種無破壞性的 VB Script 病毒,不會感染檔案。它只會複製中毒使用者的電子郵件並經由 MS Outlook 傳送到某個 Hotmail 帳號。郵件附件具有 FF. 副檔名:DAT, UIN, CHT。此病毒僅影響 MS Outlook。 • VBS_FRIENDMESS.A這是一種 VB Script 病毒,可透過 Outlook 應用程式繁殖:透過電子郵件將自己傳送給中毒使用者之 Outlook 通訊錄中所有電子郵件位址。一旦發病時,此病毒會在 c:\Windows、c:\Windows\System 及 c:\Windows\Temp 目錄尋找檔案,如果找到,則全部加以刪除。不過,在刪除檔案之前,Windows 會詢問使用者是否要刪除檔案,因此使用者可以阻止... • VBS_LOVELETTR.BA這是一種具有破壞性的 VB Script 病毒,會透過 MS Outlook 散播。當執行時,病毒會透過電子郵件並以本身為附件,傳送給中毒使用者通訊錄中的所有地址。如果系統日期為九月十七日,病毒會顯示訊息方塊,接著移除所有連上中毒系統的網路磁碟機。

  17. 怎 樣 移 除 電 腦 病 毒 ? • 若 發 現 電 腦 已 受 電 腦 病 毒 感 染 時 , 我 們 應 該 怎 麼 辦 ? 首 先 , 不 要 驚 慌 ! 然 後 再 按 以 下 方 法 把 電 腦 病 毒 移 除 :立 即 停 止 使 用 受 感 染 的 電 腦 , ( 並 且 停 止 把 電 腦 與 網 絡 接 駁 ) 因 為 電 腦 病 毒 會 隨 時 發 作 。 繼 續 使 用 受 感 染 的 電 腦 , 只 會 加 速 該 電 腦 病 毒 的 擴 散 。以 備 份 檔 案 恢 復 系 統 是 最 穩 妥 而 有 效 的 方 法 。在 某 些 情 況 , 可 使 用 緊 急 恢 復 磁 碟 把 開 機 磁 區 、 分 割 控 制 表 以 至 基 本 輸 入 輸 出 系 統 的 數 據 恢 復 。如 果 沒 有 最 新 的 備 份 檔 案 , 可 嘗 試 使 用 防 毒 軟 件 把 電 腦 病 毒 移 除 。

  18. 防毒程式 • 卡巴斯基個人專業 5.0.372 英文版 http://210.240.1.23/~kaspersky/products/homeuser/kavpersonalpro/kav5.0.372_personalproen.exe中文化模組http://210.240.1.23/~kaspersky/products/homeuser/kavpersonalpro/kav5.0.372_personalpro_cht_patch.exe一個月試用 License key http://www.kaspersky.com.tw/products/trialskey/kavpersonalpro/000A6AA4.key卡巴斯基個人防火牆 1.7.130 英文版http://210.240.1.23/~kaspersky/products/homeuser/kantihacker/kantihacker1.7.130_eng.exe中文化模組http://www.kaspersky.com.tw/products/homeuser/kantihacker/kantihacker1.7.130_cht_pak.exe一個月試用 License key http://www.kaspersky.com.tw/products/trialskey/antihacker/000A6AA5.key

  19. 參考資料 • http://tw.knowledge.yahoo.com/question/?qid=1305093000354 • http://tw.knowledge.yahoo.com/question/?qid=1205071810327 • 奇摩知識 • 親朋好友

  20. 謝謝觀賞

More Related