火炬病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒会利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。
简介
概念
特性
历史此种病毒利用系统引导时,不对
主引导区的内容正确与否进行判别的缺点,在引导型
系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。
发作条件
硬盘感染时要在
主引导记录偏移1BBH处保留被感染时间的BCD码月份。 如果在非硬盘感染的月份中用带病毒的
软盘引导系统(如硬盘是3月份被感染,在4月份用带有“火炬”病毒的软盘起动),那么,就会在
屏幕上显示几束火炬的图案,同时,破坏性地覆盖硬盘
主引导区,其直接后果是硬盘不能引导,软盘引导后也不能进入硬盘,也就是说造成表面上的硬盘所有数据丢失。
传染
按照
引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。
主引导记录病毒感染硬盘的
主引导区,分区引导记录病毒感染硬盘的
活动分区引导记录。
消除方法
发现
1、进入DEBUG。
2、调出可能有病毒的引导块。
(1)、查找硬盘中的火炬病毒,执行以下一段指令 A100MOV AX,201 MOV BX,200MOVCX,1MOV DX,80 INT 13 INT 3 G;执行指令
(2)、如果是查A驱中的
软盘,执行命令 ?L CS:200 001
(3)、如果是查B驱中的
软盘,执行命令 -L CS:200 1 0 1 3、反汇编。 U 200 JMP 298 …U 298 CLD XOR AX , AX MOV SS , AX MOV SP , 7C00 PUSH AX … … POP DS … … 如果反汇编200H和298H处有以上指令,则说明你的机器已被“火炬”病毒感染。
消除
1、消除
软盘中的火炬病毒。火炬病毒感染
软盘时,把原BOOT区放在1面19H道1
扇区中,因此,消除方法是:
(1)、消A驱中的火炬病毒,在DEBUG下执行: -A100 MOV AX,201 MOV BX,200 MOV CX,1901 MOV DX,0100 INT 13 INT 3 -RIP :100 -G -W200 001
(2)、消B驱中的火炬病毒。将第4句 “MOV DX, 0100”改为“MOV DX,0101”。
2、消除硬盘中的火炬病毒。
(1)、有原硬盘
引导记录备份的,恢复原主引导记录备份。在此也提醒读者注意:希望用户在没有引导型病毒感染以前,做好硬盘
主引导记录、DOS
引导区的备份工作。
(2)、没有原
引导记录备份的,可从其它机器硬盘上获得
主引导记录,方法是:在其它未感染的硬盘上执行: -A100 MOV AX, 201 MOV BX, 200 MOV CX, 1 MOV DX, 80 INT 13 INT 3 _RIP :100 _G; 执行,读出主引导记录取名为BOOT,保存到
软盘中。 -N BOOT -RCX :200 -RBX :0 -W 200 到被“火炬”病毒感染的机器上执行上面这段DEBUG的获
主引导记录的程序后,再执行命令: -N BOOT -L 400 M 4005 BD 200; 复制正常主引导记录再执行指令 -A100 MOV AX,301 MOV BX,200 MOV CX,1 MOV DX,80 INT 13 INT 3 RIP :100 即可。
危害
计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,
计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒,
美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的
蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对
计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,中国在统计局系统首次发现了
小球病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的
CIH、美丽莎等病毒更是给社会造成了很大损失。
症状
1.计算机系统运行速度减慢。
3.计算机系统中的文件长度发生变化。
4.计算机存储的容量异常减少。
5.系统引导速度减慢。
6.丢失文件或文件损坏。
7.计算机屏幕上出现异常显示。
8.计算机系统的蜂鸣器出现异常声响。
10.系统不识别硬盘。
12.键盘输入异常。
13.文件的日期、时间、属性等发生变化。
14.文件无法正确读取、复制或打开。
15.命令执行出现错误。
16.虚假报警。
17.换当前盘。有些病毒会将当前盘切换到C盘。
18.时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
19.WINDOWS操作系统无故频繁出现错误。
20.系统异常重新启动。
21.一些外部设备工作异常。
22.异常要求用户输入密码。
23.WORD或EXCEL提示执行“宏”。
24.使不应驻留内存的程序驻留内存
预防
1. 日常生活中应当建立良好的安全习惯
例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 尽量注意关闭或删除系统中不需要的服务
默认情况下,许多操作系统会安装一些辅助服务,如 FTP
客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 有条件的话经常升级安全补丁
据统计,有80%的
网络病毒是通过
系统安全漏洞进行传播的,像蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防患未然。
4.尽可能地使用复杂的密码
有许多
网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 发现受感染的计算机应当迅速隔离
当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 丰富自己的大脑了解一些病毒知识
这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
在病毒日益增多的二十一世纪,使用
杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
由于网络的发展,用户电脑面临的
黑客攻击问题也越来越严重,许多
网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装
个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。