一、病毒激发对计算机数据信息的直接破坏作用
二、占用磁盘空间和对信息的破坏
三、抢占系统资源
四、影响计算机运行速度
五、计算机病毒错误与不可预见的危害
六、计算机病毒的兼容性对系统运行的影响
七、计算机病毒给用户造成严重的心理压力
大部份的病毒都是把电脑程序及数据破坏,导致系统崩溃。还有所谓的“木马”,其实“木马”也是病毒的一种,不过是病毒的一个大的分支,木马病毒大都是以盗窃用户电脑内的银行账号、游戏账号、个人资料等信息为目的,并且还占用大量系统资源,导致系统运行缓慢、打卡程序迟钝、死机、蓝屏等等。
计算机病毒会感染、传播,但这并不可怕,可怕的是病毒的破坏性。其主要危害有:
1、攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录,使磁盘上的信息丢失。
2、删除软盘、硬盘或网络上的可执行文件或数据文件,使文件丢失。
3、占用磁盘空间。
4、修改或破坏文件中的数据,使内容发生变化。
5、抢占系统资源,使内存减少。
6、占用CPU运行时间,使运行效率降低。
7、对整个磁盘或扇区进行格式化。
8、破坏计算机主板上BIOS内容,使计算机无法工作。
9、破坏屏幕正常显示,干扰用户的 *** 作。
10、破坏键盘输入程序,使用户的正常输入出现错误。
11、攻击喇叭,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。
12干扰打印机,假报警、间断性打印、更换字符
系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows *** 作系统的 exe 和 dll 文件,并通过这些文件进行传播。如CIH病毒。
蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 TrojanQQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 TrojanLMirPSW60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(HackNetherClient)等。
脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(ScriptRedlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBSHappytime)、十四日(JsFortnightcs)等。
宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀,格式是:MacroWord97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:MacroWord;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:MacroExcel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:MacroExcel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(MacroMelissa)。
后门病毒
后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(DropperBingHe22C)、MSN射手(DropperWormSmibag)等。
破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(HarmformatCf)、杀手命令(HarmCommandKiller)等。
玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏 *** 作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(JokeGirl ghost)病毒。
捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(BinderQQPassQQBin)、系统杀手(Binderkillsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
一 木马的种类:
1破坏型:惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件
2、密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录 *** 作者的键盘 *** 作,从中寻找有用的密码。
3、远程访问型:最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的 *** 作。
4键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。
5DoS攻击木马:随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
6代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹
7FTP木马:这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
8程序杀手木马:上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
9反d端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反d端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即d出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
二:病毒类
1开机磁区病毒
2档案型病毒
3巨集病毒
4其他新种类的病毒
三:1计算机病毒名称
冲击波(WORM_MSBlastA)
W97M_Etkill(宏病毒)
捣毁者(W97M_ TRASHERD)
等等
2木马病毒
木马病毒的前缀是:Trojan
如Q尾巴:TrojanQQPSW
网络游戏木马:TrojanStartPageFH等
3脚本病毒
脚本病毒的前缀是:Script
如:红色代码ScriptRedlof
4系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等
如以前有名的CIH病毒就属于系统病毒
5宏病毒
宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等
如以前著名的美丽莎病毒MacroMelissa。
6蠕虫病毒
蠕虫病毒的前缀是:Worm
大家比较熟悉的这类病毒有冲击波、震荡波等
7捆绑机病毒
捆绑机病毒的前缀是:Binder
如系统杀手Binderkillsys
8后门病毒
后门病毒的前缀是:Backdoor
如爱情后门病毒WormLovgatea/b/c
9坏性程序病毒
破坏性程序病毒的前缀是:Harm
格式化C盘(HarmformatCf)、杀手命令(HarmCommandKiller)等。
10玩笑病毒
玩笑病毒的前缀是:Joke
如:女鬼(JokeGirlghost)病毒。
常见木马名称:
Mbbmanagerexe → 聪明基因
_exe → Tryit Mdmexe → Doly 16-17
Aboutagirlexe → 初恋情人 Microsoftexe → 传奇密码使者
Absrexe → BackdoorAutoupder Mmcexe → 尼姆达病毒
Aplica32exe → 将死者病毒 Mprdllexe → Bla
Avconsolexe → 将死者病毒 Msabel32exe → Cain and Abel
Avpexe → 将死者病毒 Msblastexe → 冲击波病毒
Avp32exe → 将死者病毒 Mschvexe → Control
Avpccexe → 将死者病毒 Msgsrv36exe → Coma
Avpmexe → 将死者病毒 Msgsvcexe → 火凤凰
Avserveexe → 震荡波病毒 Msgsvr16exe → Acid Shiver
Bbeagleexe → 恶鹰蠕虫病毒 Msie5exe → Canasson
Brainspyexe → BrainSpy vBeta Msstartexe → Backdoorlivup
Cfiadminexe → 将死者病毒 Msteskexe → Doly 11-15
Cfiauditexe → 将死者病毒 Netipexe → Spirit 2000 Beta
Cfinet32exe → 将死者病毒 Netspyexe → 网络精灵
Checkdllexe → 网络公牛 Notpaexe → Backdoor
Cmctl32exe → Back Construction Odbcexe → Telecommando
Commandexe → AOL Trojan Pcfwalliconexe → 将死者病毒
Diagcfgexe → 广外女生 Pcxexe → Xplorer
Dkbdllexe → Der Spaeher Pw32exe → 将死者病毒
Dllclientexe → Bobo Recycle - Binexe → stHeap
Dvldr32exe → 口令病毒 Regscanexe → 波特后门变种
Esafeexe → 将死者病毒 Tftpexe → 尼姆达病毒
Expiorerexe → Acid Battery Thingexe → Thing
Fewebexe → 将死者病毒 Userexe → Schwindler
Flcssexe → Funlove病毒 Vp32exe → 将死者病毒
Frwexe → 将死者病毒 Vpccexe → 将死者病毒
Icload95exe → 将死者病毒 Vpmexe → 将死者病毒
Icloadntexe → 将死者病毒 Vsecomrexe → 将死者病毒
Icmonexe → 将死者病毒 Serverexe → Revenger, WinCrash, YAT
Icsupp95exe → 将死者病毒 Serviceexe → Trinoo
Iexploreexe → 恶邮差病毒 Setupexe → 密码病毒或Xanadu
Rpcsrvexe → 恶邮差病毒 Socketsexe → Vampire
Rundllexe → SCKISS爱情森林 Somethingexe → BladeRunner
Rundll32exe→ 狩猎者病毒 Spfwexe → 瑞波变种PX
Runouceexe → 中国黑客病毒 Svchostexe (线程105) → 蓝色代码
Scanrewexe → 传奇终结者 Sysedit32exe → SCKISS爱情森林
Scvhostexe → 安哥病毒 Syplorexe → wCrat
Server 1 2exe → Spirit 2000 12fixed Syplrexe → 冰河
Intelexe → 传奇叛逆 Syshelpexe → 恶邮差病毒
Internetexe → 传奇幽灵 Sysprotexe → Satans Back Door
Internetexe → 网络神偷 Sysruntexe → Ripper
Kernel16exe → Transmission Scount Systemexe → stHeap
Kernel32exe → 坏透了或冰河 System32exe → DeepThroat 10
Kissexe → 传奇天使 Systrayexe → DeepThroat 20-31
Krn132exe → 求职信病毒 Syswindowexe → Trojan Cow
Libupdateexe → BioNet Task_Barexe
近期高危病毒/木马:
病毒名称:熊猫烧香
病毒名称:U盘破坏者
最新病毒报告:
病毒名称:Win32MitgliederDU
病毒别名:Email-WormWin32Baglegi
发现日期:2007/2/11
病毒种类:特洛伊木马
病毒危害等级:★★★★★
病毒原理及基本特征:
Win32MitgliederDU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。
感染方式:
病毒的主体程序运行时,会复制到:
%System%\wintemsexe
MitgliederDU生成以下注册表,以确保每次系统启动时运行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\germanexe = "%System%\wintemsexe"
注:'%System%'是一个可变的路径。病毒通过查询 *** 作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
SOCKS Proxy
MitgliederDU在25552端口打开一个SOCKS 4/5代理。
病毒名称:“勒索者(HarmExtortionera)”
病毒危害等级:★★★☆
依赖系统:WIN9X/NT/2000/XP。
病毒种类:恶意程序
病毒原理及基本特征:
该恶意程序采用E语言编写,运行后会将用户硬盘上除系统盘的各个分区的文件删除,将自身复制到根目录下,试图通过优盘、移动硬盘等移动存储设备传播,并会建立一个名为“警告”的文件。同时该病毒还会d出内容为:“警告:发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs1969@yahoocomcn购买相应的软件”的窗口,向用户进行勒索
病毒名称:“情人节”(Vbs_ValentinA)
病毒种类:脚本类病毒
发作日期:2月14日
危害程度:病毒主要通过电子邮件和mIRC(Internet 在线聊天系统)进行传播, 并在2月14日“情人节”这一天,将受感染的计算机系统中C盘下的文件进行重命名,在其原文件名后增加后缀名“txt”,并用一串西班牙字符覆盖这些文件的内容,造成计算机系统无法正常使用
计算机病毒疫情监测周报
1
“威金”( Worm_Viking )
它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。
2 “网络天空”变种(Worm_NetskyD)
该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogonexe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
3 “高波”(Worm_AgoBot)
该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4exe。添加注册表项,使得自身能够在系统启动时自动运行。
4 Worm_MytobX
该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序一、ANI病毒 “ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后,自我复制到系统目录下。修改注册表,实现开机自启动。感染正常的可执行文件和本地网页文件,并下载大量木马程序。二、U盘寄生虫
U盘寄生虫”是针对autoruninf这样的自动播放文件的蠕虫病毒。autoruninf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autoruninf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
三、熊猫烧香
该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页,该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架,框架内包含恶意网址引用 ,这样,当用户打开该网页之后,如果IE浏览器没有打上补丁,IE就会自动下载并且执行恶意网址中的病毒体,此时用户电脑就会成为一个新的病毒传播源,进而感染局域网中的其他用户计算机。
四、“ARP”类病毒
能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
五、代理木马
Trojan/Agentcrd是一个用户机密信息的木马程序。“代理木马”变种crd运行后,自我复制到系统目录下,文件名随机生成。修改注册表,实现开机自启。从指定站点下载其它木马,侦听黑客指令,用户机密信息。
六、网游大盗
“网游大盗”变种hvs是一个木马程序,专门网络游戏玩家的帐号、密码、装备等。
七、鞋匠
鞋匠”变种je是一个广告程序,可d出大量广告信息,并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后,在Windows目录下创建病毒文件。修改注册表,实现开机自启。自我注册为服务,服务的名称随机生成。侦听黑客指令,连接指定站点,d出大量广告条幅,用户一旦点击带毒广告,立即在用户计算机上安装其它病毒。
八、广告泡泡
广告泡泡”变种e是一个广告程序,采用RootKit等底层技术编写,一旦安装,很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出病毒文件。在后台定时d出广告窗口,占用系统资源,干扰用户 *** 作。
九、埃德罗
“埃德罗”变种ad是一个广告程序,在被感染计算机上强制安装广告。
十、IstBar脚本
“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。“IstBar脚本”变种t运行后,在用户的计算机中强行安装IstBar工具条,造成用户系统变慢,自动d出广告,强行锁定用户的IE首页等等。蠕虫病毒
蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。
2利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
感染对象:
蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全网络中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球网络高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。
病毒典型代表——震荡波
震荡波(WormSasser)病毒仅感染Windows 2000,Windows XP *** 作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法 *** 作,以及系统异常等。
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的 一种计算机程序,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
据有关专家介绍,蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗 *** 作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统。电脑病毒一般可以分成下列各类: 引导区电脑病毒 文件型电脑病毒 复合型电脑病毒 宏病毒 特洛伊/特洛伊木马 蠕虫 其他电脑病毒/恶性程序码的种类和制作技巧 引导区电脑病毒 90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘 *** 作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。 引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows31上执行的引导区病毒是不能够在新的电脑 *** 作系统上传播,所以这类的电脑病毒已经比较罕见了。 典型例子: Michelangelo是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。 文件型电脑病毒 文件型电脑病毒,又称寄生病毒,通常感染执行文件(EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。 典型例子: CIH会感染Windows95/98的EXE文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏FlashBIOS内的资料。 复合型电脑病毒 复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。 宏病毒 与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。 宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。 典型例子: JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。一但打开染毒文件,这病毒首先感染共用范本(normaldot),从而导致其它被打开的文件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是7月时,这病毒就会删除c:\的所有文件。 特洛伊/特洛伊木马 特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。 典型例子: BackOrifice特洛伊木马于1998年发现,是一个Windows远程管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。 蠕虫 蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed),更会利用软件上的漏洞去扩散和进行破坏。 典型例子: 于1999年6月发现的WormExploreZip是一个可复制自己的蠕虫。当执行时,它会把自己隐藏在附件,经电子邮件传送予通讯录内的收件人。在Windows环境下,若用户开启附件,就会自动执行蠕虫。在Windows95/98环境下,此蠕虫以Exploreexe为名,把自己复制到C:\windows\system目录,以及更改WININI文件,以便系统每次启动时便会自动执行蠕虫。 管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。 其他病毒/恶性程序码的种类和制作技巧 电脑病毒及防毒科技不断变更。因应用户转移至新的平台或新的科技,电脑病毒编写者会试图研制及传播新的电脑病毒。例如,在Java及LotusNotes平台上的电脑病毒已在近几年出现,其中首只Java病毒(JavaStrangeBrew)是在一九九八年九月上被发现的。所以,我们不应对于有关电脑病毒将会侵占新的电脑平台的报导,例如Macromedia、个人PDA、流动仪器或NET等等而感到惊讶。 以下是现今电脑病毒普遍所采用的技巧: ActiveContent VBScript病毒 对于电脑病毒的发展,以下有一于趋势预计: 与软件上的保安漏洞更多结合 采用多种途径去散播 可感染多种不同的电脑平台 其实,以上所提出的预测己经发现在现今一些先进的电脑病毒中。例如在Nimda中,它会使用IIS和IE的保安漏洞去感染服务器和工作站。Nimda这种复杂的电脑病毒还采用多种途径去散播,其中包括电子邮件、网络上的共用资源、由CodeRedII所留下的后门、和通过浏览已感染了Nimda的服务器上的网页。此外,可以同时感染Windows和Linux的电脑病毒,已经在2001年被首次发现。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)