1. 自动生成病毒文件
2. 通过网络共享和系统漏洞进行传播
3. 通过IRC登录服务器,接受黑客控制
4. 利用密码表,猜测管理员弱密码
5. 占用网络带宽,造成局域网堵塞
感染形式:
这是一种集IRC后门、蠕虫功能于一体,通过网络共享和 *** 作系统漏洞(MS03-026、MS02-061、MS03-007、MS04-011等)进行传播的病毒。病毒尝试通过弱密码登陆目标系统,在感染的电脑上打开后门接收指令,然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码,占用大量网络带宽资源,容易造成局域网阻塞;还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS(拒绝服务)攻击等。同时病病毒使用高度隐藏技术,用户中招后很难察觉迹瞎,最终沦为网络僵尸,被黑客完全 *** 纵。
病毒将自身复制到以下目录:%SystemRoot%\extel.exe,并释放以下驱动文件:rdriv.sys(用于隐藏自身进程,及445端口)每次开机时,启动自身运行。
1、将自身复制到以下目录
%SystemRoot%\extel.exe
2、释放以下驱动文件
rdriv.sys(用于隐藏自身进程,及445端口)
3、添加以下服务:
Externtelecom
用于每次开机时,启动自身
4、通过IRC登录服务器,接受黑客控制,
5、使用密码表进行猜解管理员密码:
admin
root
0
1
111
12
123
1234
12345
123456
654321
!@#$
!@#$%
!@#$%^
!@#$%^&
asdf
asdfgh
server ......
预防和清除:
安装并启用网络和病毒防火墙,及时安装系统更新补丁。
金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。
病毒名称: Worm.Fixion.b (飞客蠕虫变种B)
危害程度:中
受影响的系统: Windows 95, Windows 98, Windows Me,Windows NT,Windows 2000, Windows XP,Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux,
病毒危害:
1. 自动生成病毒文件
2. 修改系统注册表
3. 通过共享目录进行传播
4. 病毒绘定时下载更新
5. 打开分区即运行病毒,故难以清除
感染形式:
病毒运行后会复制自身到系统目录中,文件名分别为“faxsys.exe”、“Rundll.dat”,同时在注册表中添加名为“StubPath”。它会将自己复制到硬盘的各个分区根目录下,文件名为“desktop.ion”,并构造“AUTORUN.INF”文件,致使用户打开硬盘分区时就会自动运行该病毒,使该病毒难以被清除。病毒会将自身复制到计算机的共享目录下,其他用户运行这些文件就会被病毒感染。
病毒采用VB编写,"UPX v1.20"压缩。
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名分别为"faxsys.exe"、"Rundll.dat"。
二、修改注册表增加以下键值以达到其自启动的目的:
1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0fab99d0-bab8-11d1-994a-0005454fbbc9}
增加数据项:"StubPath" 数据值为:"%SYSDIR%\faxsys.exe"
三、尝试将自己复制到各个分区的根目录下,文件名为"desktop.ion",并构造"AUTORUN.INF"文件,导致用户在访问各分区时会运行病毒文件。
四、枚举网络中可写的共享资源,试图将自己复制到这些目录下。
五、病毒会定时下载更新自己
预防和清除:
安装并启用网络和病毒防火墙,及时安装系统姿猜空更新补丁。
金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。兆谈
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。
下面由我给大家介绍计算机病毒发展史话 新兴安全威胁七大特征,希望能让大家认识到病毒,希望对你有帮助!
电脑病毒安全威胁七大特征:
■ 历史悠久的自我防御技术
早自过去的档案型、开机型或宏型病毒,即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术,藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术,仍为目前流行的恶性程序所沿用。
除此之外,一些恶性程序还拿备具备自我检查及反防毒软件(Anti-Antivirus)的能力,他们会在计算机被启动的同时,卸载系统中的防毒软件或防火墙软件。
不过,目前恶性程序的发展趋势似乎有了转变,虽然过去的自我防御功能仍继续沿用,但已非关注的重点。
反之,这些恶意程纤敏罩序不再在乎是否能被防毒软件或 其它 安全配备侦测阻挡,因为再怎么防,不用多久,资安厂商仍很快就有因应 措施 及解决方案的推出。所以他们追求的重点已转变成「快、狠、准」,也就是尽可能地在最短毁闹的时间内,以迅雷不及掩耳、秋风扫落叶的方式,造成一定的影响或达到一定的目的。也因为如此,许多恶意程序甚至设定自我毁灭时间。
■ 令人眼花撩乱的庞大变种
变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒(Polymorphic/Mutation Virus),该病毒具备自我编码的能力,每感染一个档案,其病毒码都不一样。基本上,千面人应归类成多形病毒的一种。
虽然千面人病毒具备变幻莫测的外表,但它仍有破绽,就是每个变换后的病毒码,其程序开头都相同,所以仍然有迹可循。为了解决这个问题,网上遂有了.OBJ的变体引擎子程序供人下载撰写多形病毒。总之,由于变体引擎及病毒原始码的公开,所以各式各样的变种因而斥充在网络上。
如今的恶性程序除了展开全球性传播的"水平繁衍"外,并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是,这些恶性程序还结合不同的混合式攻击技术,让每代的变种各具不同"邪恶"特性及破坏力,或是每隔一代海纳百川地加入新的"毒术"。
过去病毒多半接续个两三代就"over"了,如今恶意程序传宗接代的能力一个比一个强,动辄几十代,甚至打破30代大关,例如培果病毒(Bagle)到目前为止共有37代变种,实在惊人。
若以平均天数来看,早先的顽皮熊病毒,从2002年10月第一代出现起,到2004年9月第四代止,大约平均每176天才推出新的变种。如今像是Bagle、MyDoom、NetSky及Korgo等蠕虫,平均不到10天就推出新的变种。其中,最可怕的莫过于Korgo蠕虫,在短短三个月多内,就接连繁衍出高达27代的变种,换句话说,其不到3天就变种一次。
感觉起来,这些恶意程序彷佛在比谁的生育率比较强似的,事实上Bagle、Netsky和MyDoom的确一直在互别苗头,不但相互争夺变种的数目高低,甚至相互攻击(例如Bagle变种专砍Netsky,而Netsky也专门找MyDoom下手)。
■ 乱"件"齐发的垃圾邮件
对于恶意程序而言,电子邮件彷佛就是其增加其功力的大补丸。为了达到最终感染及传播的目的,黑客多半会采用社交工程学(Social Engineering)来引诱收信者打开附件或连结,进而启动或下载攻击程序。此外,过去也有不少病毒邮件,进而发展出不用开启邮件及附件,只要浏览就会中毒的技术。
在信件传播方面,由于采用微软讯息应用程序接口(MAPI)来发病毒邮件,很容易会被防毒软件拦截到,所以黑客多半都会改用专属的SMTP外寄邮件服务器,绕过防毒软件的拦截网来发送病毒信。
自从Melissa宏病毒开启恶意程序搭乘电子邮件的首例之后,许多恶意程序,尤其是造成重大影响的蠕虫几乎都是以垃圾邮件为作恶的工具,垃圾邮件的问题也开始被广泛注意。
史上利用垃圾邮件最彻底、最成功的蠕虫当推Sobig.F,该蠕虫每隔几秒钟就会自动向受害计算机中的所有通讯簿名单发出毒件,因而登上史上传播最迅速的宝座,莫怪乎有人称其为史上最强力的超级邮件发送机(Mass Mailer)。
■ 难以抗拒的诱惑-社交工程
社交工程(Social Engineering)原本是一种源自于飞客(Phreak)的诈骗手法,对于该手法读者应该不致于太陌生,因为之前没多久,相信很多人应该曾接到一些诈骗电话,像是谎称自己是警察人员,并告知接听者的银行账号被盗领,或是"你儿子现在在我手上,快拿两百万过来"等云云,这些就是运用社交工程的显例。
基本上,社交工程是利用人性弱点,并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。对于大部分的企业而言,技术面的问题好解决,但是牵涉到人性面的问题就相当棘手难防了,也因为如此,社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。
尤其对个人而言,面对每日眼花瞭乱的邮件实在很难防,而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡,偏偏这些东西是黑客运用社交工程的最佳试炼场。
■ 有洞就钻
在过去,软件上的臭虫(Bug)顶多会造成软件或系统稳定性或兼容性上的问题,但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示,如今许多软件及平台都存在许多漏洞,而后一版本的软件大多仍会继续沿用之前版本的组件,所以漏洞有可能也会流传到不同版本之中。如此一来,便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。
根据Gartner Group今年4月的分析 报告 指出,2003年有25%的网络攻击事件来自于已知漏洞。面对漏洞问题,唯一最直接的解决 方法 就是下载厂商提供的修补程序(Patches)。对于企业而言,由于软件系统种类繁多、数量庞大,所以必须搭配漏洞及弱点管理工具,以进行固定的扫描、侦测及修补作业。但前文曾提到Symantec的研究报告,目前漏洞发布与相关蠕虫攻击的平均时间差只有短短的5.8天,而Witty蠕虫甚至缔造了2天的惊人纪录,未来随着蠕虫技术的不断突破,平均时间差只会愈来愈短。今后,要与黑客一比抢攻漏洞之高下,绝对是今后企业及资安厂商努力的重点之一。对于个人而言,修补漏洞一直是件不得不做,但又极其困扰的事情。最主要是因为 *** 作系统 会随着软件、游戏或硬件的安装、解除,档案的进进出出或其它不当的 *** 作而终至变慢、甚至当机的地步,换句话说,为求系统稳定, *** 作系统每隔一段时间是要重灌的。也因为如此,重灌计算机也意味着要重灌之前所有安装过的修补程序。 如果使用者是透过在线修补,那么在冗长的修补过程中难保不会被蠕虫入侵或被种下后门。如果透过已下载的修补档来修补,虽然较安全,但数量庞大的修补作业可是相当累人的事情。
虽然 *** 作系统中也有提供系统还原的功能,只要选择较后面的还原点,可以减少修补作业的次数。但使用者要如何确认哪一个还原点才是完全安全干净的呢?总而言之,对个人来说,修补漏洞绝对是件既困扰又无奈的事情。
另外要补充强调的是,使用者千万不要因为麻烦或抱着侥幸心态,认为之前旧漏洞不补也没关系,而只要修补最新漏洞即可。事实上,旧漏洞才是黑客最爱,根据Gartner Group今年4月的分析报告指出,2003年有25%的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞,都是非补不可的。
■ 就是要你消受不起-DDoS
阻断式服务攻击(Denial-of-ServiceDoS)已成为目前黑客及蠕虫的主要攻击方式之一。透过DoS攻击,网站会被大量而密集的封包所淹没,结果导致网站用户无法正常进入网站,享受应有的内容或服务。
如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击(Distributed DoSDDoS)手法,形成对企业、网站更长时间的"封锁"及更大的损失。
所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式,以整合更多的攻击来源,以对主要目标展开更猛烈持久的服务封锁。如此的好处是,可以结合更大的攻击能量,同时真正发号司令的黑客不容易被抓到。BOT遥控程序就是透过网络扫描、感染更多的僵尸计算机,形成庞大的僵尸网络大军,然后针对主要目标展开猛烈的DDoS攻击。史上著名的DDoS攻击事件,像是2001年的红色密码(Code Red),即为一只曾对微软IIS Server展开DDoS的蠕虫2003年疾风蠕虫(MSBlast.A)则透过RPC DCOM缓冲区溢位的弱点,攻击微软Windows Update 网站2004年1月底,Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击,而造成相当大的损失。
■ 陆海空联合大进击-混合式攻击
自从2001年Code Red率先采用混合式攻击技术以来,混合式攻击已成为目前恶意程序发展中的最大特色及惯用手法。透过不同攻击技术的结合,恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯种"的恶意程序已经愈来愈少,即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。
就各恶意程序的特性而言,病毒具备其它恶意程序所没有的感染力,蠕虫则提供无人能敌的主动散播能力,至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性,以及网络漏洞、系统弱点扫描的新一代恶意程序技术。
一只混合式攻击程序可能会透过不同的媒介及管道,来进行陆海空联合多点大进击,换句话说,它可能一方面透过垃圾邮件传播,一方面在网上扫描并寄生在有弱点的主机上,一方面在网络上"装可爱"成可供人们下载的MP3、游戏或软件,或是搜寻感染网络芳邻上的分享目录夹,抑或提高来宾账户的权限等级等。由于攻击来自于四方八面不同的管道,所以单靠传统单一的防毒软件是无法有效因应的,目前资安厂商则主张多层次的主动防御方案以为因应。
【黑客】指热心于计算机技术,水平高超的电脑专家,尤其是程序正键做设计人员。
【红客】红客是中国黑客起的名字。英文“honker”是红客的译音,是一群为捍卫中国的主权而战的黑客们。
黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。
但是现在,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,翻译成“骇客”。
黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。
骇客、蓝客、飞客释义:
【骇客】恶意(一般是非法地)试图破解或破坏某个程序、系统及网络安全的人,同时也被叫做“黑帽黑客”。
【蓝客】也属于黑客群,指一些利用或发掘系统漏洞,举衡D.o.S(Denial Of Service)系统,或者令个人 *** 作系统(Windows)蓝屏。
【飞客】电信网络的先行者,经常利用程控交换机的漏洞,进入并研究电信网络,对电信系统作出了亮帆很大的贡献。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)