病毒簡介
警惕程度:★★★★☆
發作時間:隨機
病毒類型:系統病毒
傳播方式:檔案/網路
感染對象:PE格式檔案
依賴系統: WIN9X//NT/2000/XP
病毒別名:W32.Valla.2048(Norton)、W32/Valla.b(Mcafee)
該病毒通過系統檔案傳播。它感染windows及system目錄下的所有系統檔案,在被感染的檔案中加入病毒體,使系統檔案增大,浪費大量空間,另外,該病毒在感染時還會消耗大量的系統資源,造成計算機運行速度逐漸變慢,最終呈現假死狀態。
勞拉病毒屬於系統病毒,也就是說,它會感染系統中的所有執行檔,將自身的病毒代碼插入到這些執行檔體內,然後建立一個名為:“XOR”的病毒“節”,當被感染的檔案運行時,病毒就會取得系統控制權,然後繼續感染其它檔案。病毒的交叉、反覆感染,會導致系統檔案大量帶毒,系統運行緩慢,甚至系統崩潰。
病毒特徵
一、該病毒是系統類病毒。
瑞星的命名規則是WIN32平台的系統類病毒的病毒名前綴為:“W32”或“Win32”,DOS的系統類病毒是沒有病毒名前綴的。系統類病毒就是可以感染系統檔案(或執行檔/或PE格式檔案)的病毒,在DOS作業系統下就是感染.EXE、.COM等類型的檔案,在WINDOWS平台下就是感染.EXE、.DLL等類型的檔案。
二、該病毒只感染檔案。
只感染檔案的意思是,該病毒本身沒有獨立的病毒體,它只是一段代碼,它需要一個宿主檔案做為自己的寄生體,這種特性非常類似於自然界的病毒。當這類病毒感染檔案時,往往是將自身的代碼植入被感染檔案的體內,一般有四種方式:一是植入被感染檔案的尾部,然後修改檔案的程式入口指針,使之指向尾部的病毒體,這樣,被感染檔案運行時就會先執行病毒代碼。二是植入被感染檔案的中部,同樣是修改程式入口指針,使之指向病毒代碼。三是植入被感染檔案的頭部,這樣不用修改程式入口指針,被感染檔案運行時會直接執行病毒代碼。四就是CIH病毒使用的方法,將病毒代碼分散存儲到被感染檔案的各個節中,這樣被感染檔案將不會變大。
“勞拉”病毒就是將自己放入被感染檔案的尾部,準確地說,它不是利用將自身代碼植入最後一個檔案節(節是WINDOWS檔案格式中的特定術語,是檔案存儲的邏輯的單位,每個節都有不同的作用,如代碼節中存儲的是程式的代碼,數據節存儲是程式的數據),然後將“節”擴大的通用感染方法,而在被感染檔案尾部重新建一個新節,該節的名字是:“XOR”,節的內容是:
-= XOR 2009 Valhalla =- Assembled 1997 .. Activated 07.2002 - devoted for peace and harmony in universe against war, racism, terrorism and cruel brutality .. Remember .. Life is the most important thing - not money .. It's time for a revolution NOW |
這種節的信息,一般的用戶是無法看到的,需要藉助一些查看檔案結構的工具才能看到。但對於一般用戶來說,即使是看到該節也是沒有用的,因為系統類病毒是靠修改程式的入口指針來運行的,因此在將病毒節摘除的同時還需要將程式的入口指針改回,有時還需要重新計算程式的校驗和,因此手工清除該病毒幾乎不可能。
三、該病毒會使大量占用資源,使系統變慢。
一般的系統病毒是不會造成系統變慢的,因為編寫這類病毒的目的就是能大面積的感染而不被用戶覺察,因此這類病毒只感染目標程式一次,也只進行進入記憶體一次。而勞拉病毒的編寫時有缺陷,每一被感染的程式檔案啟動時,病毒就會被激活一次然後感染其它程式檔案,由於WINDOWS系統同時運行的可程式檔案數以千計,導致大量感染了該病毒的系統會變得異常緩慢。
感染步驟
系統病毒的一般是通過用戶點擊第一個帶毒的程式檔案開始的。當用戶點擊該程式檔案後,隱藏在程式檔案體內的病毒代碼則最先得到執行,它執行後便會駐留記憶體,在記憶體中開闢一塊空間,該空間在關機前是不會被其它程式覆蓋的,然後病毒就會監控檔案的操作,一旦有讀檔案的操作,病毒便取得控制權,然後將自身代碼加入另一個程式檔案的體內,完成一次感染。
而病毒為了增加其隱蔽性,一般會在記憶體中放一個互斥量,避免病毒重複進入記憶體,而在被感染的目標檔案體內放一個感染變數,以保證只感染目標檔案一次。這樣病毒的每一次感染,用戶幾乎是無法察覺的。
解決方案
一、用瑞星防毒軟體2003最新版清除該病毒。
從產品與技術角度來講,瑞星2003版由於集成了“共享防毒”功能,該功能是瑞星獨有的專利技術,意思是在WINDOWS環境下,象EXPLORER這樣的被系統利用的檔案,用戶是無法手工刪除的,刪除時系統會提示該檔案正在被使用,無法刪除的信息,即使在這種情況下,如果該檔案感染了病毒,瑞星防毒軟體2003版也可將該檔案中的病毒清除掉,而無需重啟計算機或到DOS環境下進行防毒。
因此,只要將瑞星防毒軟體2003版升級到最新版就可以在WINDOWS環境下徹底清除該病毒,而不用到安全模式或在DOS下防毒。
二、為了保險起見,最好掃描兩次系統。
任何一款防毒軟體都有漏報的問題,這其中可能是因為實時監控與檔案掃描引擎之間存在著同步問題,因此為了保證用戶系統的安全,當用瑞星最新版清除完病毒後,再掃描一下系統,看是否還有病毒存在。
三、打開實時監控。
在清除病毒的同時打開實時監控,或直接打開實時監控然後再進行病毒的清除,是正確的防毒方法,因為有許多的病毒都有網路特性,當你的計算機連網時,即使是完全清除了您計算機上的病毒,但隨著網路的連通,病毒仍然會沿著網線繼續進入到您的計算機中,造成清除完病毒後還有的現象。
而實時監控則解決了這一問題,實時監控可以隨時監控本系統的檔案,一旦發現有病毒闖入,則會直接將病毒攔截。
瑞星2003版的記憶體監控尤為重要。它是直接監控記憶體,也是瑞星獨有的專利技術。由於有些病毒不形成檔案,只在記憶體之間進行傳播,象紅色代碼病毒,這時檔案監控就失效,而記憶體監控則能很好地攔截該類型的病毒。
因此,打開實時監控是必要的。
四、用瑞星DOS版清除病毒。
雖然瑞星WINDOWS版的防毒軟體有“共享防毒”的技術,但由於種種原因,還會有一些檔案型的病毒無法清除,雖然這一情況已經不多見。但當出現這種情況後,最好就是用瑞星的DOS版防毒軟體進行清除。
瑞星的DOS版的防毒軟體採用的是“DOS32”的編程技術,可以在DOS下直接支持NTFS格式分區的檔案讀寫,因此對WIN2000 NTFS的用戶來說非常方便,但需要注意的一點是,要用瑞星製作的軟碟進行啟動才行,而不要採用用戶自製啟動盤的方法
還有一點要注意的是,在使用瑞星DOS版清除病毒時,最好能先將軟碟中的瑞星DOS版升級到最新的DOS版,這樣才能更好地清除病毒。
製作瑞星最新DOS版的步驟是,先將瑞星WINDOWS版升級到最新版本,然後再利用瑞星提供的“製作瑞星安裝盤”功能來升級自己的瑞星DOS版。
相關下載
瑞星“勞拉(win32.xorala)”病毒專殺工具 http://it.rising.com.cn/service/technology/RS_xorala.htm
常見計算機病毒
隨著電腦的普及,幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對於大多數計算機用戶來說,談到“計算機病毒”似乎覺得它深不可測,無法琢磨。那么比較常見的病毒有哪些呢? |