劳拉病毒

编辑:碰杯网互动百科 时间:2019-12-11 23:14:53
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
劳拉”并不是一位美丽的女子,而是一个让人不寒而栗的病毒,它能在您不经意中闯入您的电脑,将电脑中的所有文件都打上病毒的烙印,当病毒泛滥时,不但清除麻烦,而且还会将网络搞瘫痪,使您不可奈何。
中文名
劳拉病毒
病毒类型
系统病毒
传播方式
文件/网络
感染对象
PE格式文件

劳拉病毒概述

编辑

  警惕程度:★★★★☆
发作时间:随机
病毒类型:系统病毒
传播方式:文件/网络
感染对象:PE格式文件
依赖系统: WIN9X//NT/2000/XP
病毒别名:W32.Valla.2048(Norton)、W32/Valla.b(Mcafee)
该病毒通过系统文件传播。它感染windows及system目录下的所有系统文件,在被感染的文件中加入病毒体,使系统文件增大,浪费大量空间,另外,该病毒在感染时还会消耗大量的系统资源,造成计算机运行速度逐渐变慢,最终呈现假死状态。
劳拉病毒属于系统病毒,也就是说,它会感染系统中的所有可执行文件,将自身的病毒代码插入到这些可执行文件体内,然后建立一个名为:“XOR”的病毒“”,当被感染的文件运行时,病毒就会取得系统控制权,然后继续感染其它文件。病毒的交叉、反复感染,会导致系统文件大量带毒,系统运行缓慢,甚至系统崩溃

劳拉病毒症状

编辑
一、该病毒是系统类病毒。
瑞星的命名规则是WIN32平台的系统类病毒的病毒名前缀为:“W32”或“Win32”,DOS的系统类病毒是没有病毒名前缀的。系统类病毒就是可以感染系统文件(或可执行文件/或PE格式文件)的病毒,在DOS操作系统下就是感染.EXE、.COM等类型的文件,在WINDOWS平台下就是感染.EXE、.DLL等类型的文件。
二、该病毒只感染文件。
只感染文件的意思是,该病毒本身没有独立病毒体,它只是一段代码,它需要一个宿主文件做为自己的寄生体,这种特性非常类似于自然界的病毒。当这类病毒感染文件时,往往是将自身的代码植入被感染文件的体内,一般有四种方式:一是植入被感染文件的尾部,然后修改文件的程序入口指针,使之指向尾部的病毒体,这样,被感染文件运行时就会先执行病毒代码。二是植入被感染文件的中部,同样是修改程序入口指针,使之指向病毒代码。三是植入被感染文件的头部,这样不用修改程序入口指针,被感染文件运行时会直接执行病毒代码。四就是CIH病毒使用的方法,将病毒代码分散存储到被感染文件的各个节中,这样被感染文件将不会变大。
“劳拉”病毒就是将自己放入被感染文件的尾部准确地说,它不是利用将自身代码植入最后一个文件节(节是WINDOWS文件格式中的特定术语,是文件存储逻辑单位,每个节都有不同的作用,如代码节中存储的是程序的代码,数据节存储是程序的数据),然后将“节”扩大的通用感染方法,而在被感染文件尾部重新建一个新节,该节的名字是:“XOR”,节的内容是:
-= XOR 2009 Valhalla =- Assembled 1997 ..
Activated 07.2002 - devoted for peace and harmony in universe against war,
racism, terrorism and cruel brutality .. Remember ..
Life is the most important thing - not money ..
It's time for a revolution NOW
这种节的信息,一般的用户是无法看到的,需要借助一些查看文件结构的工具才能看到。但对于一般用户来说,即使是看到该节也是没有用的,因为系统类病毒是靠修改程序的入口指针来运行的,因此在将病毒节摘除的同时还需要将程序的入口指针改回,有时还需要重新计算程序的校验和,因此手工清除该病毒几乎不可能。
三、该病毒会使大量占用资源,使系统变慢。
一般的系统病毒是不会造成系统变慢的,因为编写这类病毒的目的就是能大面积的感染而不被用户觉察,因此这类病毒只感染目标程序一次,也只进行进入内存一次。而劳拉病毒的编写时有缺陷,每一被感染的程序文件启动时,病毒就会被激活一次然后感染其它程序文件,由于WINDOWS系统同时运行的可程序文件数以千计,导致大量感染了该病毒的系统会变得异常缓慢

劳拉病毒感染步骤

编辑
系统病毒的一般是通过用户点击第一个带毒的程序文件开始的。当用户点击该程序文件后,隐藏在程序文件体内的病毒代码则最先得到执行,它执行后便会驻留内存,在内存中开辟一块空间,该空间在关机前是不会被其它程序覆盖的,然后病毒就会监控文件的操作,一旦有读文件的操作,病毒便取得控制权,然后将自身代码加入另一个程序文件的体内,完成一次感染。
而病毒为了增加其隐蔽性,一般会在内存中放一个互斥量,避免病毒重复进入内存,而在被感染的目标文件体内放一个感染变量,以保证只感染目标文件一次。这样病毒的每一次感染,用户几乎是无法察觉的。

劳拉病毒消除方案

编辑
一、用瑞星杀毒软件2003最新版清除该病毒。
从产品与技术角度来讲,瑞星2003版由于集成了“共享杀毒”功能,该功能是瑞星独有的专利技术,意思是在WINDOWS环境下,象EXPLORER这样的被系统利用的文件,用户是无法手工删除的,删除时系统会提示该文件正在被使用,无法删除的信息,即使在这种情况下,如果该文件感染了病毒,瑞星杀毒软件2003版也可将该文件中的病毒清除掉,而无需重启计算机或到DOS环境下进行杀毒。
因此,只要将瑞星杀毒软件2003版升级到最新版就可以在WINDOWS环境下彻底清除该病毒,而不用到安全模式或在DOS下杀毒。
二、为了保险起见,最好扫描两次系统。
任何一款杀毒软件都有漏报的问题,这其中可能是因为实时监控与文件扫描引擎之间存在着同步问题,因此为了保证用户系统的安全,当用瑞星最新版清除完病毒后,再扫描一下系统,看是否还有病毒存在。
三、打开实时监控。
清除病毒的同时打开实时监控,或直接打开实时监控然后再进行病毒的清除,是正确的杀毒方法,因为有许多的病毒都有网络特性,当你的计算机连网时,即使是完全清除了您计算机上的病毒,但随着网络的连通,病毒仍然会沿着网线继续进入到您的计算机中,造成清除完病毒后还有的象。
而实时监控则解决了这一问题,实时监控可以随时监控本系统的文件,一旦发现有病毒闯入,则会直接将病毒拦截
瑞星2003版的内存监控尤为重要。它是直接监控内存,也是瑞星独有的专利技术。由于有些病毒不形成文件,只在内存之间进行传播,象红色代码病毒,这时文件监控就失效,而内存监控则能很好地拦截该类型的病毒。
因此,打开实时监控是必要的。
四、 用瑞星DOS版清除病毒。
虽然瑞星WINDOWS版的杀毒软件有“共享杀毒”的技术,但由于种种原因,还会有一些文件型的病毒无法清除,虽然这一情况已经不多见。但当出现这种情况后,最好就是用瑞星的DOS版杀毒软件进行清除
瑞星的DOS版的杀毒软件采用的是“DOS32”的编程技术,可以在DOS下直接支持NTFS格式分区的文件读写,因此对WIN2000 NTFS的用户来说非常方便,但需要注意的一点是,要用瑞星制作的软盘进行启动才行,而不要采用用户自制启动盘的方法
还有一点要注意的是,在使用瑞星DOS版清除病毒时,最好能先将软盘中的瑞星DOS版升级到最新的DOS版,这样才能更好地清除病毒。
制作瑞星最新DOS版的步骤是,先将瑞星WINDOWS版升级到最新版本,然后再利用瑞星提供的“制作瑞星安装盘”功能来升级自己的瑞星DOS版。[1] 
参考资料
词条标签:
软件 计算机学 科技 病毒 生物物种 微生物