历史上有名的病毒
6个回答
展开全部
病毒历史
电脑病毒的起源(节录自牛顿杂志)
电脑病毒的历史:磁蕊大战
电脑病毒并非是最近才出现的新产物, 事实上, 早在一九四九年, 距离第一部商用电脑的出现仍有好几年时, 电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文 [复杂自动装置的理论及组织的进行] , 即已把病毒程式的蓝图勾勒出来, 当时, 绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的, 可是少数几个科学家默默的研究范纽曼的所提出的概念, 直到十年之后, 在美国电话电报公司(AT&T) 的贝尔(Bell)实验室中, 这些概念在一种很奇怪的电子游戏中成形了, 这种电子游戏叫做 [磁蕊大战] (core war)。
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工馀想出来的, 他们是道格拉斯麦耀莱(H.Douglas McIlroy), 维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris), 当时三人年纪都只有二十多岁.
附注: Robert T. Morris 就是后来写了一个 Worm, 把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr. 的爸爸, 当时大 Morris 刚好是负责 Arpanet网路安全 .
电脑病毒的老祖宗:
磁蕊大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑?记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都在电脑的记忆磁蕊中游走,因此得到了磁蕊大战之名.
这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.
磁蕊大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫 [达尔文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言(Assembly Language)各写一套程式,叫有机体(organism),这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛时 Morris 经常匠心独具,击败对手.
另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑[爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是
MOV 01
MOV是[MOVE]的代表,即移动的意思 .它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句话说,萤光幕上留下一大堆[MOV 01].[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外,还有全录(Xerox)柏路阿图研究中心的约翰.索殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.
电脑病毒的出现
在那些日子里,电脑都没有连线,而是互相独立的,因此并不会出现小莫礼士所引起的病毒瘟疫.如果有某部电脑受到[感染],失去控制,工作人员只需把它关掉便可.但是当电脑连线逐渐成为社会结构的一部份之后,一个或自我复制的病毒程式便很可能带来?穷的祸害了.因此长久一来,懂的玩[磁蕊大战]游戏的电脑工作者都严守一项不成文的规定: 不对普罗大众公开这些战争程式的内容.
一九八三年,这项规定被打破了.科恩.汤普逊(Ken Thompson)是当年一项杰出电脑讲得奖人.在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程式.他的同行全都吓坏了,然而这个秘密已经流传出去了.一九八四年,情况愈复杂了.这一年,[科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论[磁蕊大战]的文章,并且只要寄上两块美金,任何读者都可以收到它所写得有关写程式的纲领,在自己家中的电脑中开辟战场.
[病毒]一词的正式出现
在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[磁蕊大战]-----和病毒.在文章的开头他便说:[当去年五月有关[磁蕊大战]的文章印出来时,我并没有想过我所谈论的是那么严重的题目]文中并第一次提到[病毒]这个名称.他提到说,义大利的罗勃吐.些鲁帝(Roberto Cerruti)和马高.么鲁顾帝(Marco Morocutti)发明了一种破坏软体的方法.他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染.
些鲁弟写了一封信给杜特尼,信内说:[马高想写一个像[病毒]一样的程式,可以从一部苹果电脑传染到另一部苹果电脑,使其受到感染.可是我们没法这样做,直到我想到,这病毒要先使磁碟受到感染,而电脑只是媒介.这样,病毒就可以从一片磁碟传染到另一片磁碟了.]
病毒历史事例:
1975 年,美国科普作家约翰·布鲁勒尔 (John Brunner) 写了一本名为《震荡波骑士》(Shock Wave Rider) 的书,该书第一次描写了在信息社会中,计 算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977 年夏天,托马斯·捷·瑞安 (Thomas.J.Ryan) 的科幻小说《P-1的春 天》(The Adolescence of P-1) 成为美国的畅销书,作者在这本书中描写了一 种可以在计算机中互相传染的病毒,病毒最后控制了 7,000 台计算机,造成了 一场灾难。
1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒 (computer viruses),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒,即 Brain。在一年内流传到了世界各地。
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
1988 年 11 月 2 日,美国六千多台计算机被病毒感染,造成 Internet 不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点,连接着政府、大学、研究所和拥有政府合同的50,000 台计算机。这次病毒事件,计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris),当年 23 岁,是在康乃尔 (Cornell) 大学攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判3 年缓刑,罚款1 万美元,他还被命令进行 400 小时的新区服务。
注:在此文中,把蠕虫、我们常提的病毒定为病毒不同种类。
1988 年底,在我国的国家统计部门发现小球病毒。
--------------------------------------------------------------------------------
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有”石头2”。
DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为”耶路撒冷”,”星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
伴随,批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是”金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是”海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和”海盗旗”病毒类似的一类病毒。
幽灵,多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如”一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器,变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是”病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
网络,蠕虫阶段 第一篇 第二篇
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,”蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS。3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。
互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。
爪哇,邮件炸弹阶段
1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
电脑病毒的起源(节录自牛顿杂志)
电脑病毒的历史:磁蕊大战
电脑病毒并非是最近才出现的新产物, 事实上, 早在一九四九年, 距离第一部商用电脑的出现仍有好几年时, 电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文 [复杂自动装置的理论及组织的进行] , 即已把病毒程式的蓝图勾勒出来, 当时, 绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的, 可是少数几个科学家默默的研究范纽曼的所提出的概念, 直到十年之后, 在美国电话电报公司(AT&T) 的贝尔(Bell)实验室中, 这些概念在一种很奇怪的电子游戏中成形了, 这种电子游戏叫做 [磁蕊大战] (core war)。
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工馀想出来的, 他们是道格拉斯麦耀莱(H.Douglas McIlroy), 维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris), 当时三人年纪都只有二十多岁.
附注: Robert T. Morris 就是后来写了一个 Worm, 把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr. 的爸爸, 当时大 Morris 刚好是负责 Arpanet网路安全 .
电脑病毒的老祖宗:
磁蕊大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑?记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都在电脑的记忆磁蕊中游走,因此得到了磁蕊大战之名.
这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.
磁蕊大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫 [达尔文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言(Assembly Language)各写一套程式,叫有机体(organism),这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛时 Morris 经常匠心独具,击败对手.
另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑[爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是
MOV 01
MOV是[MOVE]的代表,即移动的意思 .它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句话说,萤光幕上留下一大堆[MOV 01].[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外,还有全录(Xerox)柏路阿图研究中心的约翰.索殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.
电脑病毒的出现
在那些日子里,电脑都没有连线,而是互相独立的,因此并不会出现小莫礼士所引起的病毒瘟疫.如果有某部电脑受到[感染],失去控制,工作人员只需把它关掉便可.但是当电脑连线逐渐成为社会结构的一部份之后,一个或自我复制的病毒程式便很可能带来?穷的祸害了.因此长久一来,懂的玩[磁蕊大战]游戏的电脑工作者都严守一项不成文的规定: 不对普罗大众公开这些战争程式的内容.
一九八三年,这项规定被打破了.科恩.汤普逊(Ken Thompson)是当年一项杰出电脑讲得奖人.在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程式.他的同行全都吓坏了,然而这个秘密已经流传出去了.一九八四年,情况愈复杂了.这一年,[科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论[磁蕊大战]的文章,并且只要寄上两块美金,任何读者都可以收到它所写得有关写程式的纲领,在自己家中的电脑中开辟战场.
[病毒]一词的正式出现
在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[磁蕊大战]-----和病毒.在文章的开头他便说:[当去年五月有关[磁蕊大战]的文章印出来时,我并没有想过我所谈论的是那么严重的题目]文中并第一次提到[病毒]这个名称.他提到说,义大利的罗勃吐.些鲁帝(Roberto Cerruti)和马高.么鲁顾帝(Marco Morocutti)发明了一种破坏软体的方法.他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染.
些鲁弟写了一封信给杜特尼,信内说:[马高想写一个像[病毒]一样的程式,可以从一部苹果电脑传染到另一部苹果电脑,使其受到感染.可是我们没法这样做,直到我想到,这病毒要先使磁碟受到感染,而电脑只是媒介.这样,病毒就可以从一片磁碟传染到另一片磁碟了.]
病毒历史事例:
1975 年,美国科普作家约翰·布鲁勒尔 (John Brunner) 写了一本名为《震荡波骑士》(Shock Wave Rider) 的书,该书第一次描写了在信息社会中,计 算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977 年夏天,托马斯·捷·瑞安 (Thomas.J.Ryan) 的科幻小说《P-1的春 天》(The Adolescence of P-1) 成为美国的畅销书,作者在这本书中描写了一 种可以在计算机中互相传染的病毒,病毒最后控制了 7,000 台计算机,造成了 一场灾难。
1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒 (computer viruses),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750 计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5个实验的演示,从而在实验上验证了计算机病毒的存在。
1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒,即 Brain。在一年内流传到了世界各地。
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
1988 年 11 月 2 日,美国六千多台计算机被病毒感染,造成 Internet 不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点,连接着政府、大学、研究所和拥有政府合同的50,000 台计算机。这次病毒事件,计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris),当年 23 岁,是在康乃尔 (Cornell) 大学攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判3 年缓刑,罚款1 万美元,他还被命令进行 400 小时的新区服务。
注:在此文中,把蠕虫、我们常提的病毒定为病毒不同种类。
1988 年底,在我国的国家统计部门发现小球病毒。
--------------------------------------------------------------------------------
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有”石头2”。
DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为”耶路撒冷”,”星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
伴随,批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是”金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是”海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和”海盗旗”病毒类似的一类病毒。
幽灵,多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如”一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器,变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是”病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
网络,蠕虫阶段 第一篇 第二篇
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,”蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS。3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。
互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。
爪哇,邮件炸弹阶段
1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
史上破坏最大的10种病毒排名出炉
随着网络在现代生活中的重要性越来越突出,曾经被人们一手掌控的计算机病毒也逐渐从温驯的小猫成长为噬人的猛虎。从1986年,“Brain”病毒通过5.25英寸软盘首次大规模感染计算机起,人们与计算机病毒的斗争就从未停止过。如今,整整20年过去了,这场持久的拉锯战却似乎只是开了个头。
美国《Techweb》网站日前评出了20年来,破坏力最大的10种计算机病毒:
1. CIH (1998年)
该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。
2.梅利莎(Melissa,1999年)
这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。
在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。
3. I love you (2000年)
2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。
4. 红色代码 (Code Red,2001年)
该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。
5. SQL Slammer (2003年)
该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。
6. 冲击波(Blaster,2003年)
该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。
7. 大无极.F(Sobig.F,2003年)
Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在被感染系统中的目录为C:\WINNT\WINPPR32.EXE。2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。
8. 贝革热(Bagle,2004年)
该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。
9. MyDoom (2004年)
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127到3198范围内)。2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。
10. Sasser (2004年)
该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信息)进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。
随着网络在现代生活中的重要性越来越突出,曾经被人们一手掌控的计算机病毒也逐渐从温驯的小猫成长为噬人的猛虎。从1986年,“Brain”病毒通过5.25英寸软盘首次大规模感染计算机起,人们与计算机病毒的斗争就从未停止过。如今,整整20年过去了,这场持久的拉锯战却似乎只是开了个头。
美国《Techweb》网站日前评出了20年来,破坏力最大的10种计算机病毒:
1. CIH (1998年)
该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。
2.梅利莎(Melissa,1999年)
这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。
在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。
3. I love you (2000年)
2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。
4. 红色代码 (Code Red,2001年)
该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。
5. SQL Slammer (2003年)
该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。
6. 冲击波(Blaster,2003年)
该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。
7. 大无极.F(Sobig.F,2003年)
Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在被感染系统中的目录为C:\WINNT\WINPPR32.EXE。2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。
8. 贝革热(Bagle,2004年)
该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。
9. MyDoom (2004年)
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127到3198范围内)。2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。
10. Sasser (2004年)
该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信息)进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
就对于在人身上传播的病毒来说,我觉得是埃博拉
这是是一种致命的流血热(hemorrhagic fever)传染病,目前无法医治,会感染包括人类、猴子及黑猩猩在内的灵长类动物。人类患者半数以上在两星期内七孔流血而死。有人比喻说,把爱滋病HIV病毒一年所起的作用浓缩在一星期里,那就是艾博拉病毒的威力。
艾博拉病毒通过体液传播,粘液、唾液或血液都是媒介,甚至握一握手就会传染。传染病专家除了进行检疫,也集中力量寻找首个病患者(index case),一方面便于追查可能被传染者,另一方面希望能找出病原体到底来自何处。
艾博拉病毒相信是寄生在一种当地动物或昆虫身上,可是目前还无法确认寄主是什么?世界卫生组织的玛丁尼兹医生(Lindsey Martinez)说:没人知道艾博拉病毒在病疫爆发之间藏身何处、什么因素促使它活跃起来?
追查首宗病例是检疫的重要工作。经过一番抽丝剥茧,终于发现36岁的阿薇蒂(Esther Awete)是乌干达的首个艾博拉患者。她生病发烧5天后就死了。以当地习俗,遗体停放在住家两天,等待亲友一起参加葬礼。葬礼上,死者亲属清洗遗体,然后把她葬在离住家不到10公尺的地方。
仪式结束后,亲友们同在一个大水盆洗手,象征亲密团结。大家却不知道,阿薇蒂的遗体带有艾博拉病毒,简直就如一枚计时炸弹一样。接着,与她同住的母亲、3个姐妹、她9个月大的女儿,以及3个亲戚相继死亡。家中唯一生还者是阿薇蒂8岁的儿子,他当天没有参加葬礼。
病毒也在乌干达北部地区的古鲁镇附近蔓延。当地政府在确定是艾博拉之后,立即禁止传统葬礼,所有尸体都由政府处理与埋葬,以避免传染。
经过化验,专家发现病因是一种称为“苏丹艾博拉”(Ebola Sudan)的病毒。目前已知的人类艾博拉病毒有3种,都以疫区国家为名,分别是“苏丹艾博拉”、“扎伊尔艾博拉”、“象牙海岸艾博拉”。
“苏丹艾博拉”1976年及1979年曾两次出现苏丹南部,死亡率约65%,是致命率较低的一种。1995年在扎伊尔出现的“扎伊尔艾博拉”,死亡率高达81%,那一次共死了315人。
这是乌干达首次发生艾博拉,而且古鲁镇附近的人不像其它国家疫区居民一样常吃野生动物。过去几次艾博拉病疫,专家怀疑居民吃下带病毒的野生动物所造成。由于病原来自苏丹,有人猜测,或许是以苏丹为基地的乌干达叛军无意间把病毒带过来。
不寻常的传染病例越来越多,而且不仅发生在卫生水平不足的发展中国家,今年4月号的《新英格兰医学学报》同时刊登4篇关于传染病的报告,包括意大利因玉米中listeria菌造成的感染,马来西亚因猪只传染的脑炎,美国亚特兰大糖尿病男童因吃受感染食物而进行两次肠手术等案例。
发展中国家的乡村居民大量涌向城镇,居住在缺乏卫生条件的环境中,形成传染病温床。另一方面,海运及航空交通带来全球人口及产品流通,病原体传染的范围因此扩大。
1989年、1990年、1996年,美国检疫单位曾发现从菲律宾入口的猴子身上,带有专门感染猴子的Reston艾博拉病毒。4名检疫人员因接触而体内产生抗体,幸亏没发病。类似猴子艾博拉病毒也在意大利与菲律宾发现。
曾在非洲参加救治艾博拉的玛丁尼兹医生说:“人类不断开发,不断侵入过去毫无人烟的地区,肯定会接触一些从没碰过的昆虫动物,一些隐藏着的病菌病毒正等待机会对付我们。”
“艾博拉”原是刚果一条河流,1976年首宗艾博拉病例在那里出现,从此它成为这致命传染病的代号。
病人感染病毒后4天,会出现类似感冒症状,发烧、头痛、喉咙痛、肌肉疼痛等。接着是呕吐及肛门出血,然后鼻腔、牙龈、眼睛、皮肤也出血。这时病毒也开始破坏内部器官,病人因内出血而吐血。50%至90%病人在两星期内因失血过多造成休克而死。
病毒可能潜伏在患者体内两星期,这期间没有感染性。当感冒症状出现时会通过体液感染。出血时期及死后一段时间,病毒感染性极强,非常危险。
一直以来,研究人员只知道在感染初期,病毒在血管中产生大量糖性蛋白质(glycoprotein),却不知道它如何造成大量出血。
两三年前,密歇根大学的病毒学家奈贝尔(Gary Nabel)才发现,原来这种糖性蛋白质会黏附在称为neutrophil的白血球上。这种白血球是人体免疫系统的前线防卫,负责吞食及消灭入侵的细菌或病毒,并向免疫系统发出警报,动员白血球B细胞制造抗体,以及T细胞对付已被病毒感染的细胞。
研究者猜测,艾博拉的糖性蛋白质把neutrophil包住,使它无法作用,病毒就能如入无人之境,攻击血管壁细胞,使血管壁弱化甚至破洞。病人因大量出血,血压太低,循环系统无法把血液送到重要器官去,病人因休克而死。
这是是一种致命的流血热(hemorrhagic fever)传染病,目前无法医治,会感染包括人类、猴子及黑猩猩在内的灵长类动物。人类患者半数以上在两星期内七孔流血而死。有人比喻说,把爱滋病HIV病毒一年所起的作用浓缩在一星期里,那就是艾博拉病毒的威力。
艾博拉病毒通过体液传播,粘液、唾液或血液都是媒介,甚至握一握手就会传染。传染病专家除了进行检疫,也集中力量寻找首个病患者(index case),一方面便于追查可能被传染者,另一方面希望能找出病原体到底来自何处。
艾博拉病毒相信是寄生在一种当地动物或昆虫身上,可是目前还无法确认寄主是什么?世界卫生组织的玛丁尼兹医生(Lindsey Martinez)说:没人知道艾博拉病毒在病疫爆发之间藏身何处、什么因素促使它活跃起来?
追查首宗病例是检疫的重要工作。经过一番抽丝剥茧,终于发现36岁的阿薇蒂(Esther Awete)是乌干达的首个艾博拉患者。她生病发烧5天后就死了。以当地习俗,遗体停放在住家两天,等待亲友一起参加葬礼。葬礼上,死者亲属清洗遗体,然后把她葬在离住家不到10公尺的地方。
仪式结束后,亲友们同在一个大水盆洗手,象征亲密团结。大家却不知道,阿薇蒂的遗体带有艾博拉病毒,简直就如一枚计时炸弹一样。接着,与她同住的母亲、3个姐妹、她9个月大的女儿,以及3个亲戚相继死亡。家中唯一生还者是阿薇蒂8岁的儿子,他当天没有参加葬礼。
病毒也在乌干达北部地区的古鲁镇附近蔓延。当地政府在确定是艾博拉之后,立即禁止传统葬礼,所有尸体都由政府处理与埋葬,以避免传染。
经过化验,专家发现病因是一种称为“苏丹艾博拉”(Ebola Sudan)的病毒。目前已知的人类艾博拉病毒有3种,都以疫区国家为名,分别是“苏丹艾博拉”、“扎伊尔艾博拉”、“象牙海岸艾博拉”。
“苏丹艾博拉”1976年及1979年曾两次出现苏丹南部,死亡率约65%,是致命率较低的一种。1995年在扎伊尔出现的“扎伊尔艾博拉”,死亡率高达81%,那一次共死了315人。
这是乌干达首次发生艾博拉,而且古鲁镇附近的人不像其它国家疫区居民一样常吃野生动物。过去几次艾博拉病疫,专家怀疑居民吃下带病毒的野生动物所造成。由于病原来自苏丹,有人猜测,或许是以苏丹为基地的乌干达叛军无意间把病毒带过来。
不寻常的传染病例越来越多,而且不仅发生在卫生水平不足的发展中国家,今年4月号的《新英格兰医学学报》同时刊登4篇关于传染病的报告,包括意大利因玉米中listeria菌造成的感染,马来西亚因猪只传染的脑炎,美国亚特兰大糖尿病男童因吃受感染食物而进行两次肠手术等案例。
发展中国家的乡村居民大量涌向城镇,居住在缺乏卫生条件的环境中,形成传染病温床。另一方面,海运及航空交通带来全球人口及产品流通,病原体传染的范围因此扩大。
1989年、1990年、1996年,美国检疫单位曾发现从菲律宾入口的猴子身上,带有专门感染猴子的Reston艾博拉病毒。4名检疫人员因接触而体内产生抗体,幸亏没发病。类似猴子艾博拉病毒也在意大利与菲律宾发现。
曾在非洲参加救治艾博拉的玛丁尼兹医生说:“人类不断开发,不断侵入过去毫无人烟的地区,肯定会接触一些从没碰过的昆虫动物,一些隐藏着的病菌病毒正等待机会对付我们。”
“艾博拉”原是刚果一条河流,1976年首宗艾博拉病例在那里出现,从此它成为这致命传染病的代号。
病人感染病毒后4天,会出现类似感冒症状,发烧、头痛、喉咙痛、肌肉疼痛等。接着是呕吐及肛门出血,然后鼻腔、牙龈、眼睛、皮肤也出血。这时病毒也开始破坏内部器官,病人因内出血而吐血。50%至90%病人在两星期内因失血过多造成休克而死。
病毒可能潜伏在患者体内两星期,这期间没有感染性。当感冒症状出现时会通过体液感染。出血时期及死后一段时间,病毒感染性极强,非常危险。
一直以来,研究人员只知道在感染初期,病毒在血管中产生大量糖性蛋白质(glycoprotein),却不知道它如何造成大量出血。
两三年前,密歇根大学的病毒学家奈贝尔(Gary Nabel)才发现,原来这种糖性蛋白质会黏附在称为neutrophil的白血球上。这种白血球是人体免疫系统的前线防卫,负责吞食及消灭入侵的细菌或病毒,并向免疫系统发出警报,动员白血球B细胞制造抗体,以及T细胞对付已被病毒感染的细胞。
研究者猜测,艾博拉的糖性蛋白质把neutrophil包住,使它无法作用,病毒就能如入无人之境,攻击血管壁细胞,使血管壁弱化甚至破洞。病人因大量出血,血压太低,循环系统无法把血液送到重要器官去,病人因休克而死。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
改正一楼的:
千年虫不是病毒,而是对电脑年数计算的一种不可预料值的预测
千年虫不是病毒,而是对电脑年数计算的一种不可预料值的预测
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
一、VBS.LoveLetter@MM
这是一个Loveletter病毒家族的变种,该病毒通过下面的邮件传播:
主题:: Where are you?
消息主体: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs
VBS.Loveletter.CN@mm还安装文件Cih_14.exe,该文件是CIH病毒的安装器,并企图运行CIH病毒。
当执行时,病毒VBS.Loveletter.CN@mm将试图完成下面的工作:
1、修改注册键中的"Timeout" 键值,这样当 诵薪铣な奔湎低巢换嵯允鞠�ⅰH缓螅�《舅阉魉�锌捎玫那��鳎�檎揖哂邢铝欣┱姑�奈募�?
--扩展名为.vbe, .jpg, .jpeg 的文件被替换成 《镜母北尽?
--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被 《靖北咎婊唬�⑶椅募�睦┱姑�崽砑?vbs 。例如:原文件Filename.wsh 变成Filename.wsh.vbs.
--扩展名为.mp2 和.mp3的文件被复制,副本的扩展名中将添加.vbs的后缀,原文件被标记为隐藏。
2、创建下面的注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria
3、添加注册键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows启动都运行该病毒。
4、检查注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否为:mailed = 1
如果不是,则执行发送邮件功能,发送完邮件,将其值设为1。
5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器,之后执行该文件。一旦执行,病毒将驻留内存(win98/me),并感染PE可执行文件。
二、W32.Nimda.htm
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会中毒。该蠕虫用它自己的的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入java 疟尽U庋��康备猛�潮淮蚩�保�突嶙远�蚩�萌径镜膔eadme.eml。
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所械腤INDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染之,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。
如果用户游览了一个已经被感染的web 页时,就会被提示下载一个.eml(Outlook Express)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中,也可能是在别人的共享目录中,无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件,由于Outlook Express的一个漏洞,导致蠕虫自动运行,因此即使你不打开文件,也可能中毒,相关信息请参见微软安全网站:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,同时,该漏洞已有安全补丁:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自己覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时,都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe - dontrunold”,这样,在系统每次启动时,将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名
三、W32.Elkern.cav.c
W32.ElKern.3326感染共享文件、映像驱动器,同时该病毒还会感染本机硬盘的\Windows\System目录中的文件。
如果病毒是在Windows NT/2000系统中被激活,当第一次被激活后,病毒变会蹦溃。
如果病毒在Windows 9x系统中被激活并且本机有带写保护的网络映像,很短的时间后,病毒将使机器当掉。
病毒感染文件后,文件的大小并不改变。
W32.ElKern.3326在感染文件时可能是空的感染源也可能是“添加器”,这就意味着,如果可能,病毒将拒绝将自身代码添加到宿主文件内,免得文件的尺寸变大。
一旦病毒被激活,它将创建一个自身的可执行文件后,直接控制对宿主文件。
在\Windows\System目录中创建自身的副本,文件名依不同的系统而不同:
1)Windows 95/98/Me: %System%\Wqk.exe
2)Windows NT/2000: %System%\Wqk.dll
根据不同的操作系统,W32.ElKern.3326创建不同的不同的注册键:
1)Windows 95/98/Me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WQK %System%\Wqk.exe
2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs %System%\Wqk.dll
etween each file that it tries to infect.
四、VBS.Redlof@M
1.此病毒属于脚本类病毒,此病毒感染脚本类型的文件。
2.此病毒运行时,全盘查找脚本类型的文件{vbs,htm, html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。
3.此病毒感染目录时,还会在一些目录下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件。
五、W32.Klez
该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部分的运行过程:
1、解密后面的代码长度258H字节
2、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
3、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
5、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6、将当前进程注册为服务进程。
7、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8、如果是NT操作系统,同时感染所有网络邻居。
9、返回宿主或操作系统。
木马部分运行过程:
1、解码所有字符串。
2、改变当前进程访问权限。
3、启动线程1,线程1的作用如下:
检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
4、启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
5、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,
将它作为Service启动。
6、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
六、W32.Nimda.eml
感染途径:
该病毒是一种传染途径很多的病毒,并且尝试利用多种已知系统漏洞,于第一版相似,它通过以下途径感染
l 电子邮件(附件)
l 局域网共享驱动器
l 利用没有安装Service Pack的IIS(Internet Information Server)
l 通过文件感染
利用了如下的系统漏洞:
l MIME漏洞,可以在没有得到用户许可的情况下自动执行附件
l IIS漏洞,使之可以被上载恶意代码与前版本的不同:
Win32.Nimda.E是Nimda.A的新变种,它修改了以前版本的一些错误,并且加入了对付多种对抗反病毒软件的设计,它与第一版的主要区别有:
l 附件名改名为Sample.exe
l 复制本身到系统目录下的名称改为Csrss.exe(原来为mmc.exe)
l 释放出的动态库名称变更为Httpodbc.dll
建议用户做如下系统升级,以便防患于未然:
升级到Internet Explorer 5.01 SP2 或
升级到Internet Explorer 5.5 SP2 或
升级到Internet Explorer 6.0
下载并安装升级包,NT4用户使用NT4 Service Pack 6a,Windows 2000用户使用 Windows 2000 Service Pack 2,并且到微软公司的主页(或用Windows Update)下载安全补丁。
注意磁盘共享的权限、口令设置,不要让所有用户对硬盘驱动器都可以读写不要打开来历不明的邮件附件,尤其是可执行文件。
七、W32.Klez.eml
新的Klez变种在以前的基础上增加了更多的工作线程,并且在驻留系统后可能会结束其它进程并且删除相应文件,所以有较大的破坏,提请用户注意!
蠕虫的流程:
1.蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:
写注册表
遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:
发email.
第三个线程:
遍历本地网络。
第四个线程:
注册表操作
第六个线程:
搜索特定目录
第七个线程:
搜本地磁盘。
第八个线程:
搜索磁盘文。
第五个线程:
复制自己,运行后删除。
信件主题可能为以下内容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件携带的附件虚假扩展名可能为以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真实扩展名为EXE SCR PIF BAT之一。
病毒体内有以下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。并且由于会结束进程,所以建议用户在DOS下用杀毒软件清除。
八、Script.Exploit
1.此病毒利用脚本的SCAPE功能将自身加密,以达到隐藏自己的目的.
2.此病毒利用”万花谷病毒”的技术来破坏系统的正常使用.
3.将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",设置成为:” [url]http://hunk.love.you/[/url]”
4.为了达到破坏性,该病毒对系统的注册表做了如下的修改:
1.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系统没有”运行”菜单。
2.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系统没有” 关闭系统”项目.
3.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系统没有”注销”项目.
4.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系统没有所有的逻辑驱动器.
5.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系统不能使用注册表的编辑工具REGEDIT.
6.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系统没有桌面.
7.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统禁止运行所有的DOS应用程序.
8.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统不能启动到"实模式(传统的DOS模式)"下.
9.通过系统注册表项"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系统登录时显示一个登录窗口,此窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
10.通过系统注册表项HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系统登录时显示一个登录窗口,此窗口内的文字为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
11.通过系统注册表项HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title的修改使系统在打开所有的IE窗口时, 窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
九、W32.FunLove.gen
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
十、W95.Spaces.gen
这是一个危险的常驻内存寄生病毒。它只在WIN95/98下进行复制,而且会感染WIN32可执行文件。当一个受染文件运行的时候,病毒会自我安装到WINDOWS内存中。在感染的时候,病毒会增加文件最后区的空间病把自己写到这里。
在七月一日,病毒会破坏硬盘的MBR区病毒终止机器的运行。它会删除MBR载入程序的代码并修改磁盘的分区表格,这样只有一个区间被列出,然后指到MBR区。这种方式的破坏很危险:在DOS装载的时候会被终止。虽然磁盘上的数据没有被破坏,但是这个磁盘区不能被再次访问了。病毒能绕过BIOS防病毒保护程序把自己直接写到硬盘控制器的端口,这样就破坏了MBR区间。由于病毒程序存在缺陷,因此会产生"General Protection Fault"出错信息,这样MBR就会免于受到破坏。
注意:如果在一个文件的最后部分发现字符串ERL,这就能证明此病毒已经感染了这个文件。
这是一个Loveletter病毒家族的变种,该病毒通过下面的邮件传播:
主题:: Where are you?
消息主体: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs
VBS.Loveletter.CN@mm还安装文件Cih_14.exe,该文件是CIH病毒的安装器,并企图运行CIH病毒。
当执行时,病毒VBS.Loveletter.CN@mm将试图完成下面的工作:
1、修改注册键中的"Timeout" 键值,这样当 诵薪铣な奔湎低巢换嵯允鞠�ⅰH缓螅�《舅阉魉�锌捎玫那��鳎�檎揖哂邢铝欣┱姑�奈募�?
--扩展名为.vbe, .jpg, .jpeg 的文件被替换成 《镜母北尽?
--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被 《靖北咎婊唬�⑶椅募�睦┱姑�崽砑?vbs 。例如:原文件Filename.wsh 变成Filename.wsh.vbs.
--扩展名为.mp2 和.mp3的文件被复制,副本的扩展名中将添加.vbs的后缀,原文件被标记为隐藏。
2、创建下面的注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria
3、添加注册键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows启动都运行该病毒。
4、检查注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否为:mailed = 1
如果不是,则执行发送邮件功能,发送完邮件,将其值设为1。
5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器,之后执行该文件。一旦执行,病毒将驻留内存(win98/me),并感染PE可执行文件。
二、W32.Nimda.htm
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会中毒。该蠕虫用它自己的的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入java 疟尽U庋��康备猛�潮淮蚩�保�突嶙远�蚩�萌径镜膔eadme.eml。
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所械腤INDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染之,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。
如果用户游览了一个已经被感染的web 页时,就会被提示下载一个.eml(Outlook Express)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中,也可能是在别人的共享目录中,无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件,由于Outlook Express的一个漏洞,导致蠕虫自动运行,因此即使你不打开文件,也可能中毒,相关信息请参见微软安全网站:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,同时,该漏洞已有安全补丁:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自己覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时,都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe - dontrunold”,这样,在系统每次启动时,将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名
三、W32.Elkern.cav.c
W32.ElKern.3326感染共享文件、映像驱动器,同时该病毒还会感染本机硬盘的\Windows\System目录中的文件。
如果病毒是在Windows NT/2000系统中被激活,当第一次被激活后,病毒变会蹦溃。
如果病毒在Windows 9x系统中被激活并且本机有带写保护的网络映像,很短的时间后,病毒将使机器当掉。
病毒感染文件后,文件的大小并不改变。
W32.ElKern.3326在感染文件时可能是空的感染源也可能是“添加器”,这就意味着,如果可能,病毒将拒绝将自身代码添加到宿主文件内,免得文件的尺寸变大。
一旦病毒被激活,它将创建一个自身的可执行文件后,直接控制对宿主文件。
在\Windows\System目录中创建自身的副本,文件名依不同的系统而不同:
1)Windows 95/98/Me: %System%\Wqk.exe
2)Windows NT/2000: %System%\Wqk.dll
根据不同的操作系统,W32.ElKern.3326创建不同的不同的注册键:
1)Windows 95/98/Me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WQK %System%\Wqk.exe
2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs %System%\Wqk.dll
etween each file that it tries to infect.
四、VBS.Redlof@M
1.此病毒属于脚本类病毒,此病毒感染脚本类型的文件。
2.此病毒运行时,全盘查找脚本类型的文件{vbs,htm, html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。
3.此病毒感染目录时,还会在一些目录下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件。
五、W32.Klez
该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部分的运行过程:
1、解密后面的代码长度258H字节
2、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
3、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
5、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6、将当前进程注册为服务进程。
7、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8、如果是NT操作系统,同时感染所有网络邻居。
9、返回宿主或操作系统。
木马部分运行过程:
1、解码所有字符串。
2、改变当前进程访问权限。
3、启动线程1,线程1的作用如下:
检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
4、启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
5、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,
将它作为Service启动。
6、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
六、W32.Nimda.eml
感染途径:
该病毒是一种传染途径很多的病毒,并且尝试利用多种已知系统漏洞,于第一版相似,它通过以下途径感染
l 电子邮件(附件)
l 局域网共享驱动器
l 利用没有安装Service Pack的IIS(Internet Information Server)
l 通过文件感染
利用了如下的系统漏洞:
l MIME漏洞,可以在没有得到用户许可的情况下自动执行附件
l IIS漏洞,使之可以被上载恶意代码与前版本的不同:
Win32.Nimda.E是Nimda.A的新变种,它修改了以前版本的一些错误,并且加入了对付多种对抗反病毒软件的设计,它与第一版的主要区别有:
l 附件名改名为Sample.exe
l 复制本身到系统目录下的名称改为Csrss.exe(原来为mmc.exe)
l 释放出的动态库名称变更为Httpodbc.dll
建议用户做如下系统升级,以便防患于未然:
升级到Internet Explorer 5.01 SP2 或
升级到Internet Explorer 5.5 SP2 或
升级到Internet Explorer 6.0
下载并安装升级包,NT4用户使用NT4 Service Pack 6a,Windows 2000用户使用 Windows 2000 Service Pack 2,并且到微软公司的主页(或用Windows Update)下载安全补丁。
注意磁盘共享的权限、口令设置,不要让所有用户对硬盘驱动器都可以读写不要打开来历不明的邮件附件,尤其是可执行文件。
七、W32.Klez.eml
新的Klez变种在以前的基础上增加了更多的工作线程,并且在驻留系统后可能会结束其它进程并且删除相应文件,所以有较大的破坏,提请用户注意!
蠕虫的流程:
1.蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:
写注册表
遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:
发email.
第三个线程:
遍历本地网络。
第四个线程:
注册表操作
第六个线程:
搜索特定目录
第七个线程:
搜本地磁盘。
第八个线程:
搜索磁盘文。
第五个线程:
复制自己,运行后删除。
信件主题可能为以下内容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件携带的附件虚假扩展名可能为以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真实扩展名为EXE SCR PIF BAT之一。
病毒体内有以下加密信息:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 & 1.1 work on Win 2K&XP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。并且由于会结束进程,所以建议用户在DOS下用杀毒软件清除。
八、Script.Exploit
1.此病毒利用脚本的SCAPE功能将自身加密,以达到隐藏自己的目的.
2.此病毒利用”万花谷病毒”的技术来破坏系统的正常使用.
3.将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",设置成为:” [url]http://hunk.love.you/[/url]”
4.为了达到破坏性,该病毒对系统的注册表做了如下的修改:
1.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系统没有”运行”菜单。
2.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系统没有” 关闭系统”项目.
3.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系统没有”注销”项目.
4.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系统没有所有的逻辑驱动器.
5.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系统不能使用注册表的编辑工具REGEDIT.
6.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系统没有桌面.
7.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统禁止运行所有的DOS应用程序.
8.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统不能启动到"实模式(传统的DOS模式)"下.
9.通过系统注册表项"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系统登录时显示一个登录窗口,此窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
10.通过系统注册表项HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系统登录时显示一个登录窗口,此窗口内的文字为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
11.通过系统注册表项HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title的修改使系统在打开所有的IE窗口时, 窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
九、W32.FunLove.gen
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
十、W95.Spaces.gen
这是一个危险的常驻内存寄生病毒。它只在WIN95/98下进行复制,而且会感染WIN32可执行文件。当一个受染文件运行的时候,病毒会自我安装到WINDOWS内存中。在感染的时候,病毒会增加文件最后区的空间病把自己写到这里。
在七月一日,病毒会破坏硬盘的MBR区病毒终止机器的运行。它会删除MBR载入程序的代码并修改磁盘的分区表格,这样只有一个区间被列出,然后指到MBR区。这种方式的破坏很危险:在DOS装载的时候会被终止。虽然磁盘上的数据没有被破坏,但是这个磁盘区不能被再次访问了。病毒能绕过BIOS防病毒保护程序把自己直接写到硬盘控制器的端口,这样就破坏了MBR区间。由于病毒程序存在缺陷,因此会产生"General Protection Fault"出错信息,这样MBR就会免于受到破坏。
注意:如果在一个文件的最后部分发现字符串ERL,这就能证明此病毒已经感染了这个文件。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(4)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
