一.BO黑洞 现在有很多病毒都是通过E-mail传播的,还有一些恶意邮件要提醒用户注意,这类信件往往是不怀好意的,经常夹带一些具有恶意的附件程序。
Back Orifice(简称BO)就是这样一类程序。它是一个基于Windows的远端控制软件。它的工作原理是:首先把服务(Server)程序给欲攻击方,并且执行它。攻击者自己就运行客户(Client)程序来控制欲攻击方。当用户运行了Boserve.exe之后,Windows的注册表会被BO修改,并把自己复制到System目录下面,再把原来的Boserve.exe文件删除掉。以后每次启动Windows时,它都会根据注册表自动加载System目录下面的Boserve.exe服务程序。此时表面上来看Windows没有任何的变化,而实际上Boserve.exe服务程序正在悄悄地运行,接受从网络客户端传来的控制命令。
BO软件是一个名叫Cut of the Dead Cow的黑客组织开发的。此软件包总共有8个文件,其中Boclient文件总共有11组命令。这些操作包括搜索服务端IP地址,进入欲攻击方计算机,DIR、CD、RD、MD操作,拷贝、删除文件、从客户端发送文件到服务端和从服务端得到所需要的文件,还有显示被控制计算机的系统信息(包括CPU的类型、内存数量、各个驱动器的资料)及重启计算机等操作。
堵住BO黑洞的办法:可以利用江民公司KV300+(X++)原盘启动机器,执行KV300,即可查出或删掉潜藏在系统中的网络黑客程序BO。用户也可用KV300自我升级的方式扩充代码,即可查出机器中的BO黑客程序。
二.Kak 近来互连网上频繁出现的各种电子邮件病毒,使人们对自己信箱中的附件既向往,又不敢随便亲近。于是就有好心的网友总结出一条经验:不要随意打开陌生邮件的附件,即使是朋友的邮件,在打开附件之前也要进行一项确认仪式:打电话问问他们是否真的给你发了信。但是面对每月第一个下午发作的Kak病毒,这些最保守的经验也只会被打得落花流水。
Kak病毒一种伴随HTML文件出现的病毒,全名“Wscript/Kak”,又称为“野蛮小子”、“泡沫小子第二”。其感染性与BubbleBoy(泡沫小子)病毒相同,利用微软程序中ActiveX控件scriptlet.typelib中存在的缺陷编写,通过IE 5浏览器将病毒代码写到Windows的开始目录中,并在System目录中创建一个自己的拷贝,然后就能够附在每个Outlook发出的电子邮件中向其他机器传播。凡是安装了IE5或Office 2000的电脑都有可能被感染。
美国在线电脑零售商Shoppingplanet.com 就曾经一不小心,把带有KAK电脑病毒的产品广告电子邮件发给了5万多客户。值得庆幸的是眼下KAK病毒本身并无恶意,不会删除电脑中的文件。只是显示这样一行文字:Kagou-Anti-Kro$oft says not today! 然后它就会试图关闭Windows。如果用户的安全等级设定较高,也有可能看到这样的警告:你希望ActiveX控件插件运行吗?这时,应当回答:“否”。
幸好“爱虫”病毒没有利用Kak的特性,否则的话,后果真是不堪设想。所以,面对邮件蠕虫病毒,光是不打开附件是远远不够的。由于“野蛮蠕虫”病毒传播速度快,感染方式特殊,因此,最好选用具备实时监控的反病毒软件,如KV300才能达到预防目的。当然,一种杀病毒软件只能截取它所知道的病毒,如果你至少一星期没有升级你的杀毒软件了,就要小心Kak病毒的入侵哦!
三.如何"自治"CIH 陈盈豪真是个天才,他编制的一个不足2K的小程序居然可以令几十万的电脑用户叫苦不迭,以至于偌大个中国,竟然在每个月的26日之前都要播出警告提示,以防用户的电脑受到CIH的骚扰。可是它有一个“漏洞”,那就是它无法令主板BIOS芯片中那块ROM内容也同时更改,而只是往EEPRAM中增加了1个字节,从而令BIOS损坏的。所以,我们完全可以通过自己的双手,来摆平这个CIH。下面,笔者就介绍给大家一种方法。 (本例使用的是AWARDBIOS芯片)
正如上面提到的,主板BIOS中最重要的BLOCK模块并没有受到CIH的攻击,而这一模块本身就具有开机的功能,因此我们就可以通过编辑可执行文件,达到恢复BIOS的目的了。 1)制做一张DOS系统盘,将该损坏主板型号的BIOS文件和驱动刷新BIOS的文件(一般都由AWARD提供,多数名称就是AWARD.EXE)拷贝到该软盘上。 2)在根目录下编辑一个AUTOEXEC.BAT文件。在这个文件中,写下如下几行命令:@echo off a:\AWARD.exe X.bin ;X为该损坏主板的BIOS文件名 3)将电脑开机,插入该系统盘到软驱中,只要你的软驱不是损坏的,那么一般都能够完成主板的BIOS修复工作。
这种方法,其实是利用了主板上CMOS芯片中除BIOS程序以外的BLOCK模块的功能。根据IBM在1980年推出PC时制定的规则,电脑的主板在由BLOCK模块引导开机时,必须由ISA显卡驱动才能显示出图像。而且,BLOCK作为一个固定模块,存储在ROM中。由于CIH只能破坏EPRAM,因此对BLOCK无能为力,当然也就可以令我们轻松搞定恢复BIOS了。
