第一篇:MS08-067病毒分析
MS08-067病毒剖析
【染毒现象】
感染上Worm.Win32.MS08-067.c病毒的机器,其典型的染毒特征是:
1.不断的向外发送垃圾数据包,并以此手段对全网进行传播。
2.在本机的“任务计划”中添加大量以“AT”开头的任务计划,并且启动的时候大都是整
点,如11:00、13:00等。
3.如是域环境,并且设置了域账户登录策略(登录密码输入错误几次之后锁定账户),会
造成域账户经常被锁,因为该病毒会不断的猜测域账户密码。
4.造成无法正常访问瑞星官网和微软官方网站,以及其它部分安全网站。停止或是重启
“DNS Client”服务之后,可以打开上述网站,但重启电脑后又无法打开。
【传播方式】
Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。
另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,如局域网中存在可读写的共享,也会造成该病毒通过局域网共享进行传播。
【病毒分析】
首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统,如果是病毒才继续执行,并且为病毒进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到“svchost.exe-k netsvcs” 或者explorer.exe 进程,然后将自己的代码加载到这两个进程中的其中一个进程上,最后修改注册表,让系统不显示隐藏文件,从而使病毒可以被系统加载。
该病毒会在%windir%system32目录下释放一个动态库文件,名字随机生成,如XXXXXXX.DLL ;并且会以独占内存的方式存在,需要多次重启才能删除。
针对services.exe、“svchost.exe-k netsvcs”、“svchost.exe-k NetworkService”、进程进行DNS查询以及TCP传输过程拦截,针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站。
停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动,避免系统更新以及系统安全检查程序。
枚举网络计算机的用户名和自带的密码表,利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,枚举驱动器 创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://、http://等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者更新。
【处理办法】
一、使用专杀处理方式:(推荐)
①首先将瑞星软件升级到最新版本并使用抓包工具确定病毒发包源,染毒机器一般都会通过139、445端口发送大量数据包,特别是在整点时段。
② 确定发包源后,将发包机器断网,进入安全模式之后清空多余的“任务计划”并使用专杀工具查杀,无论是否查出病毒都需重启,进入正常模式后将系统补丁全部打上,尤其是MS08-067补丁,该漏洞在微软上的补丁名称为:KB958644。
③ 确认MS08-067补丁正确打上:打上该补丁之后,在%windir%system32目录下会有一个netapi32.dll文件,并且需要确定该文件的版本是否正确,版本正确才证明正确打上该补丁了,否则需要通过控制面板卸载重装:
windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203
windows xp sp2/sp3系统下,此文件的版本为:5.1.2600.3462/5694
windows 2003 SP1/SP2系统下,此文件版本为:5.2.3790.3229/4392
windows 2008 vista系统下,此文件版本为:6.0.6000.16764;
6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
④ 使用cmd命令进入命令行模式,使用“net share”命令查看本机共享,至少需要关闭所有读写共享,只读共享可以保留。
⑤ 定期修改系统密码,并需要设置十位以上强密码。尽量不使用域管理员账号在其它非域控机器上登录。
⑥ 最后使用已经升级到最新版的瑞星杀毒软件全盘杀毒,确定本机无病毒之后,再接入网内。
⑦ 所有发包源机器都处理完成之后,再执行全网同时杀毒,确保让病毒无处隐藏。如果有条件的,可以通过防火墙或交换机将135、139和445这三个常见的病毒利用端口屏蔽。
二、手动处理方式:
① 首先通过“文件夹选项”显示出所有隐藏文件,包括受保护的操作系统文件。② 打开%windir%system32目录,将文件按详细信息排列,显示文件属性和创建日期。让文件按照属性排列,查看是否有可疑的DLL文件,并且为隐藏属性,注意创建的时间是否是染毒时间,确认之后在删除的时候提示无法删除。
③ 打开注册表编辑器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost,双击右侧的netsvcs,查看neisvcs的数值数据,查找其中的可疑项(此操作需要对net svcs的服务熟悉才行,一般可疑项会在wmdmpmsp之后)。
④ 记下此服务名,定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscServer,尝试删除此项,提示无法删除,查看此项权限,仅有system,且没有读取权限,可以增加权限,点击“高级”,勾选从父项继承和替换到子对象两个勾,提示都点击是和确定即可。操作后,即可删除wscserver项键值;
⑤ 重启计算机,删除一开始在%windir%system32目录下发现的可疑文件,删除HKEY_LOCAL_MACHINESYSTEMControlSet001和
HKEY_LOCAL_MACHINESYSTEMControlSet002下的wscServer键值(避免恢复到上一次正确的配置后再次恢复此键值)即可。
第二篇:病毒查杀分析报告
东营市医药公司和扣分公司
病毒查杀分析报告
2013本企业计算机网络系统未发生重大病毒感染情况,计算机系统运行正常。
信息科
2014年1月6日
第三篇:典型病毒分析报告
典型病毒的分析
班级: 姓名: 学号:
一、计算机病毒
1.1、简介
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1.2、计算机病毒的引导过程
一般包括以下三方面。
(1)驻留内存病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
(2)窃取系统控制权在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。
(3)恢复系统功能病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系统一启动,病毒引导模块就会自动地装入内存并获得执行权,然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置,并采取常驻内存技术以保证这两个模块不会被覆盖,接着对该两个模块设定某种激活方式,使之在适当的时候获得执行权。处理完这些工作后,病毒引导模块将系统引导模块装入内存,使系统在带毒状态下运行。对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件一执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。
1.3、常见病毒发作症状
(1)屏幕异常滚动,和行同步无关。(2)系统文件长度发生变化。(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。(5)存储容量异常减少。(6)系统不能由硬盘引导。(7)系统出现异常死机。(8)数据丢失。(9)执行异常操作。
(10)绑架安全软件,杀毒软件、系统管理工具、反间谍软件不能正常启动。
二、典型病毒分析(包括特征、原理及清除办法)
2.1、特洛伊木马——NetBus NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。
特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。
通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面的路径中加入自身启动项项: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun” NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去除了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。
上述木马病毒正确的去除方法见下图:
2.2、震荡波病毒(1)病毒描述
Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是:在本地开辟后门,监听TCP 5554端口,作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送,黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作以及系统异常等。
(2)病毒清除
第一步:http://www.xiexiebang.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,断网安装。第二步:清除内存中“avserve.exe”的进程。
第三步:清除在系统安装目录(默认为C:WINNT)下avserve.exe的病毒文件和系统目录下(默认为C:WINNTSystem32)_UP.exe的病毒文件。
第四步:删除注册表:HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentversionRun项中名为“avserve.exe”的病毒键值。第五步:重新启动计算机。
2.3、求职信病毒
(1)特征及原理:Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。
病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。
Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。
而Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。
(2)清除办法:
在WINDOWS 95/98/ME系统下的清除:先运行在WINDOWS 95/98/ME系统下的安全模式
下,使用注册表编辑工具regedit将网络蠕虫增加的键值删除:HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrent VersionRun 和HKEY_LOCAL_MACHINESystemCurrentControlSetServices 要删除的注册表项目是wink——?.exe的键值。
同时还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink——?.exe删除,注意 还必须将回收站清空。删除了相应的病毒文件后,可以重新启动计算机,然后,在KVW3 000的安装目录下执行KVD3000.EXE来清除该病毒。注意一些全部是网络蠕虫的程序或者
文件是需要按照提示完全删除的。在Windows 2000/XP系统下的清除: 清除方法基本和Windows 95/98/ME系统下的清除方法相同:先以安全模式启动计算 机,运行注册表编辑工具,同样删除该网络蠕虫增加的键值:HKEY_LOCAL_MACHINESystemCurrentControlSetServices,要删除病毒增加的表项是: wink开头的随机的表项。当然你必须记住该项目的具体名称(虽然是随机的),然后在 系统目录下将该文件删除。注意该文件是隐含的,必须打开显示所有文件的选择项目 才能查看该病毒文件。同样的注册表项还有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 2.4、灰鸽子木马病毒
(1)病毒简介、特征及原理
灰鸽子是国内一款著名后门,其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后,2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,可以在网络上买到,客户端简易便捷的操作使刚入门的初学者都能充当黑客。
黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。
灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序,名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(系统盘的windows目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。(G_Server.exe这个名称并不固定,它是可以定制的。)
Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
(2)病毒的清除
清除灰鸽子的服务。
打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项,查找“game.exe”,可以找到灰鸽子的服务项如Game_Server,删除整个Game_Server项。
删除灰鸽子程序文件。
在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。
2.5宏病毒(1)特征及原理:
Word宏病毒是一些制作病毒的专业人员利用MicrosoftWord的开放性即Word中提供的WordBASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过.DOC文档及.DOT模板进行自我复制及传播。宏病毒与以往的计算机病毒不同,它是感染微软Word文档文件.DOC和模板文件.DOT等的一种专向病毒。宏病毒与以往攻击DOS和Windows文件的病毒机理完全不一样,它以VB(WORDBASIC)高级语言的方式直接混杂在文件中,并加以传播,不感染程序文件,只感染文档文件。也许有人会问:MicrosoftWordforWindows所生成的.DOC文件难道不是数据文件吗?回答既是肯定的又是否定的。.DOC文件是一个代码和数据的综合体。虽然这些代码不能直接运行在x86的CPU上,但是可以由Word解释执行操作,因此他们的结果是一样的。宏病毒是针对微软公司的字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。Word的文件建立是通过模板来创建的,模板是为了形成最终文档而提供的特殊文档,模板可以包括以下几个元素:菜单、宏、格式(如备忘录等)。模板是文本、图形和格式编排的蓝图,对于某一类型的所有文档来说,文本、图像和格式编排都是类似的。
Word提供了几种常见文档类型的模板,如备忘录、报告和商务信件。您可以直接使用模板来创建新文档,或者加
以修改,也可以创建自己的模板。一般情况下,Word自动将新文档基于缺省的公用模板(Normal.dot)。可以看出,模板在建立整个文档中所起的作用,作为基类,文档继承模板的属性,包括宏、菜单、格式等。WORD处理文档需要同时进行各种不同的动作,如打开文件、关闭文件、读取数据资料以及储存和打印等等。每一种动作其实都对应着特定的宏命令,如存文件与FileSave相对应、改名存文件对应着FileSaveAS、打印则对应着Fil_ePrint等。WORD打开文件时,它首先要检查是否有AutoOpen宏存在,假如有这样的宏,WORD就启动它,除非在此之前系统已经被“取消宏(DisableAutoMacros)”命令设置成宏无效。当然,如果Auto Close宏存在,则系统在关闭一个文件时,会自动执行它。
(2)清除方法:
①手工:以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏 有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。
②使用专业杀毒软件:目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除, 对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。
2.6蠕虫病毒(1)特征及原理:
蠕虫病毒不需要将其自身附着到宿主程序,它是一种独立智能程序。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫“野兔”,蠕虫病毒一般是通过1434端口漏洞传播。蠕虫利用的端口是UDP/1434,该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例,每个实例操作需要通过单独的服务,不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433),所以SQL Server Resolution服务操作监听在UDP 1434端口,提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。
当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时,SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值,如发送x04x41x41x41x41类似的UDP包,SQL服务程序就会打开如下注册表键:HKLMSoftwareMicrosoftMicrosoft SQL ServerAAAAMSSQLServerCurrentVersion攻击者可以通过在这个UDP包后追加大量字符串数据,当尝试打开这个字符串相对应的键值时,会发生基于栈的缓冲区溢出,通过包含“jmp esp”或者“call esp”指令的地址覆盖栈中保存的返回地址,可导致以SQL Server进程的权限在系统中执行任意指令。
蠕虫溢出成功取得系统控制权后,就开始向随机IP地址发送自身,由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。在绿盟科技安全小组的测试中,和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。
该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
(2)清除方法
修补漏洞,安装最新补丁。(请务必安装补丁,避免二次中毒)手动清除方法:
第一步,用任务管理器结束avserve进程
第二步,删除windows目录(WINNT、WINDOWS等)下的avserve.exe;查找是否在系统目录(SYSTEM32、SYSTEM)下存在<随机字符>_UP.EXE的文件,如果有则删除
第三步,删除注册表中的键值
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun“avserve.exe ”=“%WINDOWS%avserve.exe ”
三、结束语
目前计算机病毒种类繁多,而且新的病毒不断出现,本文仅介绍几种常见典型病毒的特征、原理及其清除方法,对于绝大多数病毒我们应严加警惕,实时更新自己的杀毒软件和防病毒工具,只有做到时时预防,时时警惕,才能保证我们的电脑不被攻击。
第四篇:登革热病毒的分析和相关举措
成绩 |
青岛农业大学课程论文
(2020-2021学年第一学期)
论文题目: 登革热病毒的分析和相关举措
课程名称: 致命的人类病毒
任课教师: 于永乐
班 级: 公管1903
学 号: 20190201295
姓 名: 梁国庆
2020年 12月4日
登革热病毒的分析和相关举措
登革热,又称断骨热,是由登革病毒引起的、经伊蚊传播的急性传染病。【1】在拉丁美洲和东南亚的许多国家,登革热爆发较为常见。非洲、中东部分地区、西太平洋地区、波多黎各等热带和亚热带地区,也存在登革热的流行。我国广东、云南、福建、浙江、海南等南方省份可发生登革热流行,主要发生在夏秋季。
一、病原学
【2】登革热病毒属B组虫媒病毒,现在归入披盖病毒科黄热病毒属。病毒颗粒呈哑铃状(700×20——40nm)、棒状或球形(直径为20——50nm)。髓核为单股线状核糖核酸(RNA)。病毒颗粒与乙型脑炎病毒相似,最外层为两种糖蛋白组成的包膜,包膜含有型和群特异性抗原,用中和试验可鉴定其型别。登革病毒可分为4个血清型,与其他B组虫媒病毒如乙型脑炎病毒可交叉免疫反应。
登革病毒在1~3日龄新生小白鼠脑、猴肾细胞株、伊蚊胸肌及C6/36细胞株内生长良好,并产生恒定的细胞病变。但接种猴子、猩猩和其他实验动物,不产生症状。
登革病毒对寒冷的低抗力强,在人血清中贮存于普通冰箱可保持传染性数周,-70℃可存活8年之久;但不耐热,50℃、30min或100℃、2min皆能使之灭活;不耐酸、不耐醚。用乙醚、紫外线或0.05%福尔马林可以灭活。
二、临床症状
【4】患者被携带病毒的蚊虫叮咬后,通常经过 4~7 天开始出现症状。多数患者病情较轻,尤其是儿童和青少年患者,通常 1~2 周内症状好转,也不会留下后遗症。少数情况下,患者病情严重,发展为登革出血热,引起严重出血和血压降低,进而导致休克或死亡。登革热的症状可轻可重。轻症患者的常见症状有:突发高热,可达 40 ℃ 以上;剧烈头痛;眼睛疼痛;肌肉和关节疼痛(故该病又称“断骨热”);皮疹;恶心、呕吐和食欲减退;轻度淋巴结肿大。发热通常持续一周,也可能间断出现。首次发热后,少数患者可能出现更严重的症状,即登革出血热。出血体征,如皮肤淤青或小红点、口鼻和牙龈出血、呕血、黑色柏油样便;剧烈腹痛;休克迹象,如皮肤湿冷、呼吸急促、脉搏虚弱、意识不清等。
既往罹患过登革热的患者,再次患病时更容易发生登革出血热。
突然起病,迅速发热,24 小时内体温可达 40℃,可伴有怕冷、较剧烈的头痛、眼眶痛、肌肉、关节和骨骼痛及疲乏、恶心、呕吐等症状;发热一般持续 2-7 天,在病程第 3-6 日出现充血性皮疹或针尖样出血点,分布于四肢躯干或头面部,多有痒感,持续 3-5 天。
在早期的时候,与感冒、流感等相似,容易误诊。少数患者会在发病的 3-5 天突然加重,可能出现剧烈头痛、呕吐、狂躁、昏迷、抽搐、大量出汗、血压骤降、颈强直、瞳孔缩小等重症症状。
三、诊断方法
【3】登革热病症的诊断方式有尿常规可有少量蛋白、红细胞、白细胞,有时有管型。病毒分离,取早期患者血液,接种于白纹伊蚊细胞株(C6/36)、分离病毒后须经特异性中和试验或血凝抑制试验加以鉴定。血清免疫学检查,检测患者血清中登革病毒RNA,其敏感性高于病毒分离,可用于早期快速诊断,还有登革热病毒核酸检测。
四、预防和控制措施
登革热病毒的传播主要通过伊蚊(埃及伊蚊和白纹伊蚊)叮咬传播,不会通过人传人传播。目前还没有疫苗用于预防登革热,因此最佳预防措施是灭蚊和防蚊,也就是杜绝蚊虫孳生和做好个人防护。
灭蚊措施:清理家中水缸、盆、罐坛等积水容器,翻盆倒罐清除积水,水养植物 3-5 天要换水或者改为土培,水缸要加盖,垃圾桶要加盖,地漏、下水道等处防止积水,并时常喷点杀虫剂,让伊蚊找不到产卵地点。
防蚊措施:居室内安装纱窗、纱门,和蚊帐。外出涂抹驱蚊液以及驱蚊花露水,正规商场超市里售卖的驱蚊液和驱蚊花露水的有效成分大多为避蚊胺和驱蚊酯,驱蚊的效果都很好。
五、个人体会及感悟
登革热﹝俗称“断骨热”﹞是一种由登革热病毒引起的急性发热传染病,由蚊子传播给人类。病原体为登革热病毒。登革热通过带有登革热病毒的雌性伊蚊叮咬而传染给人类。主要传播媒介为埃及伊蚊、白纹伊蚊。其中白纹伊蚊(俗称“花斑蚊”)在我省分布广泛,主要在清水容器中孳生,大多数在屋外或野外阴暗处流连,但亦会在户内活动。雌蚊嗜吸人血,吸血高峰在日落前两小时(约为下午五、六时),及早上八、九时。感染登革热病毒后,经过3至15天的潜伏期(通常为5至8日),患者多以突然发热为首发症状,持续发热3~5天,严重头痛,四肢酸痛、关节痛、肌肉痛、背痛、后眼窝痛。发病后3、4日出现红疹,恶心、。呕吐,轻微的流牙血和流鼻血。病后有可能出现极度疲倦及抑郁症状,极少数病者会恶化至出血性登革热,并进一步出血、休克,严重时可引致死亡。
虽然我们地处北方,对于登革热病毒离得比较远,但对于登革热病毒的危害,我们是深有感触的,而且现代医学到目前为止并没有一种有效疫苗来预防登革热。预防登革热只能是通过清除积水,防止伊蚊孳生,以避免给蚊子叮咬,有关预防蚊咬的措施如下:到登革热流行区旅游或生活,应穿着长袖衣服及长裤,并于外露的皮肤及衣服上涂上蚊虫驱避药物。如房间没有空调设备,应装置蚊帐或防蚊网。使用家用杀虫剂杀灭成蚊,并遵照包装指示使用适当的份量。切勿向运作中的电器用品或火焰直接喷射杀虫剂,以免发生爆炸。避免在“花斑蚊”出没频繁时段在树荫、草丛、凉亭等户外阴暗处逗留。防止积水,清除伊蚊孳生地:尽量避免用清水养殖植物。对于花瓶等容器,每星期至少清洗、换水一次,勿让花盆底盘留有积水。把所有用过的罐子及瓶子放进有盖的垃圾桶内。将贮水容器、水井及贮水池加盖。所有渠道要保持畅通。将地面凹陷的地方全部填平,以防积水。到东南亚旅游后半个月内如出现发热,应尽早就医治疗,并向医生说明旅行史。
虽然直到如今登革热的疫苗仍然没有研制出来,但只要我们做到这些措施,切断登革热的传播途径。我相信,总有一天,登革热这一道险关一定会的被攻克的!
参考文献:
【1】Science:全球联盟重新绘制登革热病毒图谱,解释二次感染危及生命等问题。Derek Smith 2015年9月期
【2】国外医学(微生物学分册)1979年01期
【3】中国急救复苏与灾害医学杂志
【4】百度百科
第五篇:Windows系统安全分析-病毒篇
病毒是如何进入我们的系统的?
有一点可以肯定计算机病毒不会在自己的硬盘里“生”出来。它一定是从其它储存介质复制到我们的硬盘,通常有许多途径都可以让病毒有被复制在我们硬盘的可能性。下载就是其中被病毒传播者用得比较多的一种途径。我们在下载时,不管是电影、压缩包、游戏、文档、或是邮件都有可能被置放病毒。因而下载回来一定要记住:先扫描后使用。
由于闪盘价格的大幅度下降,拥有U盘等闪盘的用户越来越多。闪盘被病毒盯上,这种传播方式需要在U盘根目录下新建一个名为autorun.inf的文件和复制病毒本身。事前在根目录下新建名为autorun.inf的文件夹能防止这种方式的传播此外
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下,在右窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行各类盘的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移动驱动器。也就是说可以利用这个键来防止各类盘的自动播放,预防中毒。[1]
光盘有时也有可能会被病毒感染,成为病毒传播的途径之一。另外系统本身存在的漏洞也是病毒利用的途径之一。
因而预防病毒要做到,外来的文件要先经过扫描后才使用,系统的漏洞要及时补上。
病毒是如何激活运行的?
计算机病毒是一个程序,一段可执行码,一个可执行文件。如何它不运行它就不会对系统造成威胁。最多只是占着硬盘空间。但是一旦激运行了病毒程序,它会对系统造成怎么样的损害依病毒的破坏性强弱和计算机系统本身的自我保护能力而定。因而不给病毒运行的机会,就是病毒存在于硬盘中也不会对系统造成严重破坏。那如何防止病毒的激活呢?一般情况下,病毒会有好几种启动方式。病毒用的比较多的是注册表和系统服务。注册表环境复杂,大多数计算机用户对其望而生畏。病毒很喜欢将其启动的资料放在这里面。而系统服务会在系统启动的过程中被自动启动,因而病毒也很喜欢躲在这里面混水摸鱼。[2]
除了这两种启动方式外,还有捆绑文件,各类盘的自动播放,文件关联,程序映射等方法也能让病毒有被激活运行的可能性。
保证计算机病毒不被激活是计算机病毒预防工作的重点之一。所以对注册表用启动程序的关键键值要加以注意。定时查看系统服务是不是正常。利用一些小工具查看文件关联是否正常,有没有程序已经被映射了。对外来文件要先经过扫描后先可以使用。
除了以上方法外,给系统装上一个合适的杀病软件和防火墙也是非常必要的。它们对已经出名的病毒的查杀能力是很强的。这样可以帮计算机管理员省去不少工作。
如果病毒已经激活了。及时发现病毒的存在能保证系统受到的破坏最小。那病毒有哪些症状呢?
从目前发现的病毒来看,主要症状有:
(1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。
(2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增。
(3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
(4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。
(5)由于病毒程序的异常活动,造成异常的磁盘访问。
(6)由于病毒程序附加或占用引导部分,使系统导引变慢。
(7)丢失数据和程序。
(8)中断向量发生变化。
(9)打印出现问题。
(10)死机现象增多。
(11)生成不可见的表格文件或特定文件。
(12)系统出现异常动作,例如:突然死机,又在无任何外界介入下,自行起动。
(13)出现一些无意义的画面问候语等显示。
(14)程序运行出现异常现象或不合理的结果。
(15)磁盘的卷标名发生变化。
(16)系统不认识磁盘或硬盘不能引导系统等。
(17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。
(18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。
(19)异常要求用户输入口令
当出现这些情况时请及时检查系统。或许病毒正运行在系统上,破坏着系统!
鬼片网 http:// 整理