火炬病毒
火炬病毒
火炬病毒是指寄生在磁碟引導區或主引導區的計算機病毒。
概念
火炬病毒是指寄生在磁碟引導區或主引導區的計算機病毒。
特性
歷史此種病毒利用系統引導時,不對主引導區的內容正確與否進行判別的缺點,在引導型系統的過程中侵入系統,駐留內存,監視系統運行,待機傳染和破壞。
發作條件
硬碟感染時要在主引導記錄偏移1BBH處保留被感染時間的BCD碼月份。如果在非硬碟感染的月份中用帶病毒的軟盤引導系統(如硬碟是3月份被感染,在4月份用帶有“火炬”病毒的軟盤起動),那麼,就會在屏幕上顯示幾束火炬的圖案,同時,破壞性地覆蓋硬碟主引導區,其直接後果是硬碟不能引導,軟盤引導后也不能進入硬碟,也就是說造成表面上的硬碟所有數據丟失。
傳染
按照引導型病毒在硬碟上的寄生位置又可細分為主引導記錄病毒和分區引導記錄病毒。主引導記錄病毒感染硬碟的主引導區,分區引導記錄病毒感染硬碟的活動分區引導記錄。
發現
1、進入DEBUG。
2、調出可能有病毒的引導塊。
(1)、查找硬碟中的火炬病毒,執行以下一段指令 A100MOV AX,201 MOV BX,200MOVCX,1MOV DX,80 INT 13 INT 3 G;執行指令
(2)、如果是查A驅中的軟盤,執行命令 ?L CS:200 001
(3)、如果是查B驅中的軟盤,執行命令 -L CS:200 1 0 1 3、反彙編。 U 200 JMP 298 …U 298 CLD XOR AX , AX MOV SS , AX MOV SP , 7C00 PUSH AX … … POP DS … … 如果反彙編200H和298H處有以上指令,則說明你的機器已被“火炬”病毒感染。
消除
1、消除軟盤中的火炬病毒。火炬病毒感染軟盤時,把原BOOT區放在1面19H道1扇區中,因此,消除方法是:
(1)、消A驅中的火炬病毒,在DEBUG下執行: -A100 MOV AX,201 MOV BX,200 MOV CX,1901 MOV DX,0100 INT 13 INT 3 -RIP :100 -G -W200 001
(2)、消B驅中的火炬病毒。將第4句“MOV DX, 0100”改為“MOV DX,0101”。
2、消除硬碟中的火炬病毒。
(1)、有原硬碟引導記錄備份的,恢復原主引導記錄備份。在此也提醒讀者注意:希望用戶在沒有引導型病毒感染以前,做好硬碟主引導記錄、DOS引導區的備份工作。
(2)、沒有原引導記錄備份的,可從其它機器硬碟上獲得主引導記錄,方法是:在其它未感染的硬碟上執行: -A100 MOV AX, 201 MOV BX, 200 MOV CX, 1 MOV DX, 80 INT 13 INT 3 _RIP :100 _G;執行,讀出主引導記錄取名為BOOT,保存到軟盤中。 -N BOOT -RCX :200 -RBX :0 -W 200 到被“火炬”病毒感染的機器上執行上面這段DEBUG的獲主引導記錄的程序后,再執行命令: -N BOOT -L 400 M 4005 BD 200;複製正常主引導記錄再執行指令 -A100 MOV AX,301 MOV BX,200 MOV CX,1 MOV DX,80 INT 13 INT 3 RIP :100 即可。
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程序輸入計算機網路,致使這個擁有數萬台計算機的網路被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,我國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
1.計算機系統運行速度減慢。
2.計算機系統經常無故發生死機。
3.計算機系統中的文件長度發生變化。
4.計算機存儲的容量異常減少。
5.系統引導速度減慢。
6.丟失文件或文件損壞。
7.計算機屏幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁碟卷標發生變化。
10.系統不識別硬碟。
11.對存儲系統異常訪問。
12.鍵盤輸入異常。
13.文件的日期、時間、屬性等發生變化。
14.文件無法正確讀取、複製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C盤。
18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19.WINDOWS操作系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行“宏”。
24.使不應駐留內存的程序駐留內存
1. 日常生活中應當建立良好的安全習慣
例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載后未經殺毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2. 盡量注意關閉或刪除系統中不需要的服務
默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 有條件的話經常升級安全補丁
4.儘可能地使用複雜的密碼
有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5. 發現受感染的計算機應當迅速隔離
當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 豐富自己的大腦了解一些病毒知識
這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些內存知識,就可以經常看看內存中是否有可疑程序。
7. 用專業的殺毒軟體進行維護和殺毒
在病毒日益增多的今天,使用殺毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、內存監控等、遇到問題要上報,這樣才能真正保障計算機的安全。
8. 用個人防火牆軟體防止黑客侵入
由於網路的發展,用戶電腦面臨的黑客攻擊問題也越來越嚴重,許多網路病毒都採用了黑客的方法來攻擊用戶電腦,因此,用戶還應該安裝個人防火牆軟體,將安全級別設為中、高,這樣才能有效地防止網路上的黑客攻擊。