一、网络公牛。 网络公牛又名Netbull,是国产
木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽,危害很大。同时,服务端运行棚闹后会自动捆绑以下
文件: win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe。 winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe,regedit.exe,reged32.exe,drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)。在注册表中网络公牛也悄悄地扎下了根,如下: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 在我看来,网络公牛是最讨厌的了。它没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难!你可能要问:那么其它木马为什么不用这个功能?哈哈,其实采用捆绑方式的木马还有很多,并且这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除方法: 1、删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 2、把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。 3、检查链氏罩上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始->附件->系统工具->系统信息->工具->系统文件检查器”,在d出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。 二、网络神偷(Nethief) 网络神偷又名Nethief,是第一个反d端口型木马! 什么叫“反d端口”型木马呢?作者经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机连出的连接却疏于防范(当然也有的防火墙两方面都很严格)。于是,与一般的木马相反,反d端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务核基端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,我想大概没有哪个防火墙会不给用户向外连接80端口吧, 嘿嘿。最新线报:目前国内木马高手正在大规模试验(使用)该木马,网络神偷已经开始流行!中木马者也日益增多,大家要小心哦! 清除方法: 1、网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为"internet.exe /s",将键值删除。 2、删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 OK,神偷完蛋了! 三、WAY2.4(火凤凰、无赖小子) WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表 *** 控功能赞不绝口,也正因为如此它对我们的威胁就更大了。从我的试验情况来看,WAY2.4的注册表 *** 作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表 *** 作没有这么直观--每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表 *** 控方面可以说是木马老大。 WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask,其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看,你会发现进程C:\windows\system\msgsvc.exe赫然在列! 清除方法: 要清除WAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了! 注意:在删除前请做好备份。 四、冰河 冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中d的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载,sysexplr.exe和TXT文件关联。即使你删除Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 清除方法: 1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。 2、冰河在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它。 3、在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Runservices下还有键值为C:\windows\system\Kernel32.exe的,也要删除。 4、最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。 五、广外女生 广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。 清除方法: 1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它。 2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。 3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)。 4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*。 5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices,删除其中名称为“Diagnostic Configuration”的键值。 6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。 7、完成。 六、聪明基因 聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极? 哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:\WINDOWS\MBBManager.exe和Explore32.exe以及C:\WINDOWS\system\editor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢! Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易! 聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易! 清除方法: 1.删除文件。删除C:\WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。 2.删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除键值“MainBroad BackManager”,其值为C:\WINDOWS\MBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\NOTEPAD.EXE %1改为C:\WINDOWS\system\editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WINDOWS\explore32.exe %1,因此要恢复成原值:C:\WINDOWS\WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下,将此时的默认键值由C:\WINDOWS\explore32.exe %1改为C:\WINDOWS\WINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。 好了,可以和聪明基因说“再见”了! 七、黑洞2001 黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。 黑洞2001服务端被执行后,会在C:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件在机器开机时立刻运行,并打开默认端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入! 清除方法: 1)将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1。 3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices\下的串值windows删除。 4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。 5)到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。 至此就安全的清除黑洞2001了。 八、Netspy(网络精灵) Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。 清除方法: 1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe 回车! 2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\ Run\,删除Netspy的键值即可安全清除Netspy。 九、SubSeven SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。 清除方法: 1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器="C:\windows\system\***"。注:加载器和文件名是随意改变的。 2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。 3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。 4、重新启动Windows,删除相对应的木马程序,一般在C:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。中文名:“顽梯”变种
病毒长度:可变
病毒类型:恶意驱动程序
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Rootkit.Vanti“顽梯”变种d是一个恶意驱动程序,开启被感染计算机的后门,未经授权访问用枯段郑户计算机。“顽梯”运行后,在系统目录下或Windows目录下创建病毒副本。修改注册表,实现开机自启。开启被感染计算机的后门,未经授权访问用户计算机。用户第一次运行该程序,屏幕显示Trojan.PSW.Win32.GameOL.lpi简介病毒分类 WINDOWS下的PE病毒 病毒名称 Trojan.PSW.Win32.GameOL.lpi
别名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的PE病毒 感染
病毒类型:燃核盗号木马AV命名:Trojan-PSW.Win32.OnLineGames.oex(卡巴斯基)
Win32.Troj.AgentT.fm.14452(金山)
Trojan.PSW.Win32.GameOL.lhu(瑞星)[病毒行为1、 释放病毒副本:
Trojan.PSW.Win32.GameOL.lhu,首先在Fonts目录以比较字符串方式判断raqjmtl.exe和raqjmni.dll是否已经存在C:\WINDOWS\Fonts\raqjmtl.exe
C:\windows\Fonts\raqjmni.dll
2、 raqjmni.dll加入注册表,开机注入Explorer:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Registry value:
Type: REG_SZ
Value: raqjmpi.dll
3、 释放P处理,删除文件:
%Systemroot%\System32\verclsid.exe
4、 注入Explorer,每隔几毫秒检测新进程启动,并将raqjmpi.dll插入。
5、 如果启动的进程为sungame.exe、TQAT.exe,则结束。
6、 然后在用户重启游戏的时候,raqjmpi.dll则记录它的帐号和密码的输入 *** 作。
最后发送至外部,完成盗号过程。
7、 病毒的其他工作:
(1)禁用系统自动更新和防火墙
(2)每隔3毫秒检测自身注册表,如没颂果不在则重新生成。
(3)完全释放后删除旧体,毁尸灭迹。
梅莉莎病毒 爱虫顷蚂病毒 求职信病毒 红色代码和红色代码Ⅱ 尼姆达 SQL Slammer/蓝宝石 诺维格病毒 震荡波和网络天空 Leap-A/Oompa-A 风暴蠕虫
10.梅莉莎病毒
1998年春天,大卫·L·史密斯(David L. Smith)运用Word软件里的宏运算编写了一个电脑病毒,这种病毒可以通过邮件进行传播。史密斯把它命名为梅丽莎(Melissa),佛罗里达州的一位舞女的名字[资料旁拿来源:CNN]。
梅丽莎病毒一般通过邮件传播,邮件的标题通常为“这是给你的资料,不要让任何人看见”。一旦收件人打开邮件,病毒就会自动向用户通讯录的前50位好友复制发送同样的邮件。
史密斯把它放在网络上之后,这种病毒开始迅速传播。美国联邦调查局给国会的报告显示,梅丽莎对政府部分和私营部门的网络造成了毁灭性打击,美国联邦政府很重视这件事[资料:FBI]。电子邮件流量的剧增迫使很多公司停止了邮件服务,直到病毒得到控制才重新开放。
经过漫长的审判,史密斯被叛20个月的监禁,同时被处5000美元罚款。另外,未经法庭允许,史密斯不得擅自使用网络[资料:BBC]。梅丽莎虽然没有对运乎搭社会造成很大的危害,但它是第一个引起全社会关注的电脑病毒。
9.爱虫病毒
梅丽莎病毒爆发一年后,菲律宾出现了一种新的病毒。与梅丽莎不同的是,这次出现的是蠕虫病毒,具有自我复制功能的独立程序。这个病毒的名字叫“我爱你(ILOVEYOU)”。
和梅丽莎相似,爱虫病毒最初也是通过邮件传播。标题通常会说明,这是一封来自您的崇拜者的表白信。邮件中的附件则是罪魁祸首。这种蠕虫病毒最初的文件名为LOVE-LETTER-FOR-YOU.TXT.vbs。后缀名vbS表明黑客是使用VB脚本编写的这段程序[资料:McAfee]。
根据杀毒厂商McAfee的报告显示,爱虫病毒具有以下攻击手段:
它会自我复制,在硬盘的各个分区都有隐藏备份。
它会在用户的注册表里面添加新内容。
自我复制,然后自动替换某些文件。
通过邮件以及聊天客户端进行传播
自动下载一个名为WIN-BUGSFIX.EXE的补丁,这个补丁会窃取用户私密信息并发送给黑客。
到底是谁制造了这种病毒?很多人怀疑是菲律宾的奥尼尔?狄?古兹曼。由于当时菲律宾没有制定电脑破坏的相关法律,当局只得以盗窃罪的名义传讯了狄?古兹曼。古兹曼没有承认或者否认关于病毒的指控,最终由于缺乏确凿的证据,当局被迫释放了古兹曼。根据媒体估计,爱虫病毒造成大约100亿美元的损失。
8.求职信病毒
求职信病毒(Klez)病毒传播的里程碑。这种病毒最早出现于2001年,几个月后出现了很多变种。最常见的求职信病毒通过邮件进行传播,然后自我复制,同时向受害者通讯录里的联系人发送同样的邮件。
一些变种求职信病毒甚至会对电脑产生致命性破坏。根据版本不同,求职信病毒可以分为普通病毒,蠕虫或者木马。有些甚至会强行关闭杀毒软件或者伪装成病毒清除工具[资料:Symantec]。
求职信病毒在网络上出现不久,黑客们就对它进行了改进,使它传染性更强。与很多病毒一样,求职信病毒也会使用受害者的通讯录向联系人发送同样的邮件。另外,它还能从中毒者的通讯录里随机抽选一个人,将该邮件地址填入发信人的位置。这就是邮件地址欺骗——看起来邮件是您的某个熟人寄来的,实际上却是其他人发的。
伪装邮件地址是为了达到以下几个目的。首先,收信人就算阻止了发件人也没用,因为邮件是其他人发来的。其次,由于用户无法辨别邮件是否是垃圾邮件,求职信病毒会在短时间内造成收信人邮箱堵塞。另外,由于发信人是邮件列表中的联系人,所以很多人都会打开邮件而导致中毒。
7.红色代码和红色代码Ⅱ
红色代码(Code Red)和红色代码Ⅱ出现于2001年的夏天。这两种蠕虫病毒都利用了在Windows 2000和Windows NT中存在的一个 *** 作系统漏洞,即缓冲区溢出漏洞,当系统缓存器接收到超过它处理范围的数据时,数据会溢出覆盖相邻的存储单元,使其他程序不能正常运行,甚至造成系统崩溃。
最初的红色代码蠕虫病毒利用分布式拒绝服务攻击(DDOS)对白宫网站进行攻击。也就是说,所有感染红色代码病毒的电脑都会在同一时间内连接白宫网站,使服务器超载,网站崩溃。
安装了Windows 2000系统的电脑如果中了红色代码Ⅱ,机子就会变成“肉鸡”。蠕虫病毒会在系统中建立后门程序,从而允许远程用户登陆和控制。计算机术语就是系统控制,对于电脑的主人来说,这是个噩耗。病毒的散发者可以利用受害者的电脑获取某些信息,甚至利用这台电脑进行犯罪活动。受害者不仅要为瘫痪的电脑发愁,还有可能因为成为别人的替罪羊。
虽然Windows NT更易受红色代码的感染,但是病毒在这些机器上的危害并不是很严重。使用Windows NT的网络服务器中毒后可能经常死机,但不会产生其它危害。与Windows 2000的用户相比,这其实算不了什么。
微软随后放出补丁修复了Windows 2000和Windows NT中的安全漏洞,至此,病毒不再肆虐。但是补丁并没有清除电脑里的病毒,这需要用户自己处理。
我应该怎么做?
发现电脑中毒后,您应该怎么做呢?这需要视具体情况而定。很多杀毒软件会自动把病毒清除。有的病毒会破坏你的数据或者资料,这时就需要恢复备份了。经常对系统进行备份是很重要的。对于红色代码来说,格式化然后用备份恢复电脑是个不错的方法。有些病毒会在电脑上安装一些恶意软件,这时候仅仅是防病毒扫描是不够的。
6.尼姆达
另外一种病毒也在2001年出现,这就是尼姆达(Nimda,管理员(admin)的倒拼)。尼姆达通过互联网迅速传播,是那时传播最快的病毒。TruSecure公司首席技术官彼得?蒂皮特表示,尼姆达从开始散播到大规模爆发只用了22分钟。
Symbian骷髅病毒感染手机,导致手机出现一堆骷髅图片。
SMobile *** 作系统
Symbian骷髅病毒感染手机,导致手机出现一堆骷髅图片。
尼姆达病毒的主要攻击目标是互联网服务器。当病毒感染电脑后,它的主要目的是利用网络进行传播。尼姆达可以通过邮件等多种方式进行传播,这也是它能够迅速大规模爆发的原因。
尼姆达病毒会在用户的 *** 作系统中建立一个后门程序,使侵入者拥有当前登陆账户的权限。换言之,如果用户使用的是受限账户登陆的话,侵入者的权限也将是受限的。当然,如果用户使用管理员账户,侵入者也将拥有管理员权限。
尼姆达病毒的传播使得很多服务器瘫痪,服务器资源都被蠕虫占用。从这种角度来说,尼姆达实质上也是分布式拒绝服务攻击(DDOS)的一种。
5.SQL Slammer/蓝宝石
2003年1月下旬,一种新型服务器病毒开始在网络上传播。由于很多电脑没有做好防范措施,几个重要的大型电脑系统最终瘫痪。美国银行的ATM机无法使用,西雅图的911服务中心被迫中断,美国大陆航空公司的订票系统瘫痪,部分航班被迫取消。
这场网络风暴的罪魁祸首就是SQL Slammer,也称蓝宝石病毒。在补丁和病毒专杀软件出现之前,这种病毒在全球已经造成10亿美元的损失[资料:Lemos]。蓝宝石病毒的传播过程十分迅速。在感染第一台服务器几分钟后,病毒在短时间内开始成倍的复制。15分钟后,网上的重要服务器中有半数被感染[资料:Boutin]。
Slammer病毒给我们留下了深刻的教训,及时打补丁和升级杀毒软件是不够的,黑客们会利用他们能找到的任何漏洞进行攻击,尤其是那些不为人知的漏洞。在中毒之前做好防毒工作很重要,同时,及时做好备份工作,防止最糟糕的情况出现也必不可少。
时间问题
有些黑客程序会潜伏在中毒的电脑上,直到特定时间才爆发。下面是一些在特定时间触发的病毒。
“耶路撒冷”病毒只在13号逢星期五这天触发,破坏受害者的电脑数据。
“米开朗琪罗”病毒在1992年3月6日爆发,米开朗琪罗本人诞生于1475年3月6日。
“切尔诺贝利”病毒爆发于1999年4月26日,这一天是切尔诺贝利核泄漏事件13周年。
Nyxem病毒会在每个月的第三天爆发,然后清除用户的档案文件。
4.诺维格病毒
这种诺维格(Novarg)病毒也称MyDoom,它同样会在用户 *** 作系统中留下后门。这种病毒后来产生了很多变种,最初的诺维格病毒有两个触发程序。
第一个程序在2004年2月1日开始进行发动拒绝式服务攻击(DoS),第二个程序则在2004年2月12日停止病毒的自我复制。但是在病毒停止攻击以后,留下的后门程序仍然具有危害性[资料:Symantec]。
没过多久,病毒的再次爆发给几个搜索引擎公司造成致命打击。和其他病毒一样,诺维格病毒会搜索被感染用户电脑里的联系人名单,然后发送邮件。另外,它还会向搜索引擎发送搜索请求然后向搜索到的邮箱发邮件。这导致谷歌之类的搜索引擎收到数以百万计的搜索请求,使得他们的服务变得非常缓慢甚至服务器瘫痪[资料:Sullivan]。
诺维格病毒通过邮件和P2P网络进行传播。根据网络安全公司MessageLabs的资料显示,当时平均每12封邮件中就会有1封携带这种病毒[资料:BBC]。和求职信病毒类似,诺维格病毒也会进行邮件发信人伪装,这使通过邮件查询病毒来源变得极其困难。
3.震荡波和网络天空
有时病毒制造者很容易就能逃脱追查。但是当局也有可能通过追溯病毒传播的途径找到源头。震荡波(Sasser)和网络天空(NetSky)就是这样被发现的。
一个名为Sven Jaschan的17岁德国人制造了这两种病毒并将它们散播到网络上。虽然两种病毒的感染方式完全不同,但是相似的代码使专家认定它们出自一人之手。
震荡波病毒通过微软的系统漏洞感染电脑。与其他蠕虫不同的是,它不通过邮件传播,一旦电脑感染上病毒,病毒会自动寻找有漏洞的电脑系统,然后远程 *** 纵那些电脑下载病毒。这种病毒可以搜索任意的IP地址段来寻找潜在的受害者。病毒会修改用户的 *** 作系统使用户无法关机,只能强行断电。
网络天空病毒通过邮件和网络进行传播。它同样进行邮件地址欺骗和附件进行自我复制[资料:CERT]。在病毒进行传播的时候,会同时进行拒绝式服务攻击(DoS),以此控制带宽资源。Sophos的专家认为,网络天空和它的变种曾经一度感染了互联网上1/4的电脑[资料:Wagner]。
Sven Jaschan并没进监狱,只是被判处1年零3个月的缓刑,由于当时他年龄未满18周岁,从而逃过一劫。
2.Leap-A/Oompa-A
也许您曾看过苹果电脑的这个广告,里面有贾斯汀·朗扮演的“我是苹果”和约翰·霍奇曼扮演的“我是电脑”。霍奇曼扮演的电脑因为一种病毒崩溃,他同时指出,目前有超过10万种病毒在侵袭您的电脑。而贾斯汀则说,那些病毒只感染装有Windows系统的电脑,对苹果电脑不起作用。
大多数情况下,这话说得没错。苹果引其”不公开,既安全“的设计理念,避开了很多病毒的危害。苹果的硬件和 *** 作系统基本上是一个封闭系统,因为它们都是苹果公司自己生产的。因此也可以说苹果的 *** 作系统是个”不公开“系统。一直以来,苹果电脑在家用电脑市场占据着第二位的位置,不过离PC极还有很大距离。可想而知,针对苹果电脑的病毒不可能产生像Windows病毒那么大的危害。
但是这并未阻止一位苹果黑客的出现。2006年,Leap-A病毒,也称Oompa-A病毒出现。它利用iChat聊天程序在苹果电脑之间进行传播。当病毒感染苹果电脑后,它会自动搜索iChat的联系人列表并向其中的好友发送信息,信息中附带一个看起来像是不完整的jpeg图像的损坏附件。
病毒并不会对电脑产生太大的危害,它证明了即使是苹果电脑也有可能中毒的。随着苹果机的越来越流行,越来越多的针对苹果机的病毒将会出现。
1.风暴蠕虫
我们榜单中的最后一种病毒是可怕的风暴蠕虫(Storm Worm)。专家们在2006年底最终确认了这种病毒。公众之所以称呼这种病毒为风暴蠕虫是因为有一封携带这种病毒的邮件标题为“风暴袭击欧洲,230人死亡”。但是安全公司不是这样为其命名的。赛门铁克把这种病毒命名为Peacomm,而McAfee则把它命名为Nuwar。这是因为2001年已经有一种病毒被命名为W32.Storm.Worm。而这种病毒和2006年的病毒是完全不同的。
风暴蠕虫是一种木马程序。有些风暴蠕虫的变种会把电脑变成僵尸或”肉鸡“。一旦电脑受到感染,就很容易受到病毒传播者的 *** 纵。有些黑客利用风暴蠕虫制造僵尸网络,用来在互联网上发送垃圾邮件。
许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。病毒的制造者经常把病毒邮件的主题改为当前时事新闻。2008年北京奥运会前夕,一种新的蠕虫变种通过邮件开始传播,邮件标题一般为“中国发生大灾难”或者“中国死亡人数最多的地震”等等。邮件里一般有关于相关话题的视频或者新闻链接,用户点击链接后,会自动下载蠕虫病毒[资料:McAfee]。
很多新闻社和博客认为风暴蠕虫是近些年来最严重的一种病毒。安全公司Postini宣称,截止到2007年,已经发现超过2亿封邮件携带了这种病毒[资料:Gaudin]。幸运的是,不是所有的邮件都导致电脑感染。
虽然风暴蠕虫传播很广,但是它并不是最难清除的病毒。只要用户时刻记得更新杀毒软件和警惕陌生用户发来的邮件或链接,一般都能防止这种病毒的感染。
评论列表(0条)