王永樂(lè)

網(wǎng)絡(luò)帶給我們方便，網(wǎng)絡(luò)病毒卻給我們帶來(lái)了恐懼。由于校園局域網(wǎng)內(nèi)的很多人沒(méi)有網(wǎng)絡(luò)安全常識(shí)，造成網(wǎng)絡(luò)病毒在校園網(wǎng)里泛濫。目前危害我們校園網(wǎng)的病毒主要有愛(ài)情后門、振蕩波、沖擊波、ARP等幾個(gè)，但他們的變種卻成千上萬(wàn)?，F(xiàn)把愛(ài)情后門、震蕩波病毒的發(fā)作現(xiàn)象及防治辦法闡述如下，希望對(duì)大家有所幫助。

愛(ài)情后門（Worm.Lovgate.a/b/c/d/e）蠕蟲(chóng)病毒

該病毒群于2008年2月25日被瑞星公司率先截獲，集蠕蟲(chóng)、后門、黑客三者于一身。它通過(guò)病毒郵件進(jìn)行郵件傳播，然后建立后門給用戶的計(jì)算機(jī)設(shè)立一個(gè)泄密通道，通過(guò)放出后門程序與外界遠(yuǎn)程木馬溝通，再通過(guò)放出盜竊密碼程序主動(dòng)盜竊計(jì)算機(jī)密碼，最后通過(guò)遠(yuǎn)程瘋狂傳播局域網(wǎng)，最終導(dǎo)致所有計(jì)算機(jī)用戶受到病毒控制，造成網(wǎng)絡(luò)癱瘓、信息泄露等嚴(yán)重后果。

病毒的發(fā)現(xiàn)與手工清除：

1.病毒會(huì)釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個(gè)病毒體。解決辦法：在系統(tǒng)盤上查找到這些文件并刪除。

2. 針對(duì)9X系統(tǒng)，病毒會(huì)修改啟動(dòng)文件win.ini，加入run=rpcsrv.exe項(xiàng)。 解決辦法：用記事本程序?qū)⒃撐募蜷_(kāi)，將這一病毒項(xiàng)刪除。

3. 病毒會(huì)利用ipc$命名管道進(jìn)行g(shù)uest和Administrator賬號(hào)的簡(jiǎn)單密碼試探，如果成功將自己復(fù)制到對(duì)方的sytem32目錄中，命名為：stg.exe，并注冊(cè)成Window Remote Service服務(wù)，同時(shí)放出一個(gè)名為win32vxd.dll的盜密碼文件，以盜取用戶密碼。解決辦法：在系統(tǒng)中查找這兩個(gè)文件，找到直接刪除。

4. 病毒不停地搜索網(wǎng)絡(luò)資源，導(dǎo)致整個(gè)局域網(wǎng)資源被占用，如果發(fā)現(xiàn)有共享目錄，則將自身復(fù)制過(guò)去。解決方法：局域網(wǎng)的用戶最好不要使用共享目錄傳輸文件。

5. 病毒會(huì)搜索系統(tǒng)中的*.ht*中的E-mail地址，找到后，病毒就利用MAPI功能，向外不斷發(fā)送病毒郵件。解決辦法：不要隨便觀看垃圾郵件，最好直接將垃圾郵件刪除。

震蕩波病毒(Worm.Sasser)

該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也是通過(guò)微軟的最新LSASS漏洞進(jìn)行傳播。具體技術(shù)特征如下：

1.感染系統(tǒng)為：Win2000、Win 2003、Win XP。

2.病毒運(yùn)行后，將自身復(fù)制為%WinDir% apatch.exe，并在注冊(cè)表中寫入開(kāi)機(jī)自啟動(dòng)程序。

3.病毒在TCP端口5554建立FTP服務(wù)，并通過(guò)網(wǎng)絡(luò)計(jì)算機(jī)的445端口搜索存在MS04-011漏洞的目標(biāo)，打開(kāi)目標(biāo)的后門端口9996，將目標(biāo)感染。

4.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。

如何防范“震蕩波”

1.下載微軟補(bǔ)丁程序。將升級(jí)殺毒軟件到最新版本，然后打開(kāi)個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。并下載專殺工具查殺。

2. 如果已經(jīng)感染病毒，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專殺工具。手工刪除方法：查找該目錄C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。

校園網(wǎng)防病毒安全建議

1.建議校園網(wǎng)用戶使用正版反病毒軟件，并且將病毒庫(kù)升級(jí)到最新。

2.建立良好的安全習(xí)慣。例如：對(duì)一些來(lái)歷不明的郵件及附件不要打開(kāi)，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從 Internet 下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會(huì)使您的計(jì)算機(jī)更安全。

3.關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)和端口。有條件的用戶可以使用個(gè)人防火墻。

4.經(jīng)常升級(jí)安全補(bǔ)丁。據(jù)統(tǒng)計(jì)，有80%的網(wǎng)絡(luò)病毒是通過(guò)系統(tǒng)安全漏洞進(jìn)行傳播的。

5.使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒是通過(guò)猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的，因此使用復(fù)雜的密碼，將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)。

6.迅速隔離受感染的計(jì)算機(jī)。當(dāng)您的計(jì)算機(jī)發(fā)現(xiàn)病毒或異常時(shí)應(yīng)立刻斷網(wǎng)，以防止計(jì)算機(jī)受到更多的感染，或者成為傳播源，再次感染其它計(jì)算機(jī)。

7.了解更多的病毒知識(shí)。這樣可以及時(shí)發(fā)現(xiàn)新病毒并采取相應(yīng)措施，在關(guān)鍵時(shí)刻使自己的計(jì)算機(jī)免受病毒破壞。