我们这里说的计算机病毒,是一段附着在其他程序上的,可以实现自我繁殖的程序代码。因为其特性与生物学有着惊人的相似故而命名为此。自从1985年在美国被当众证明其存在性之后,计算机病毒技术得到了突飞猛进的发展; 各路高手出于种种目的,纷纷编写了各式各样的计算机病毒,在Win-Intel平台上掀起了一股股计算机病毒狂潮。在这股狂潮中,作为一个计算机技术高速发展中的国家,中国首当其冲,受到了猛烈的冲击。发展到了如今,病毒已经成为了一种黑色产业,样式也千奇百怪层出不穷,今天eNet安全就为大家寻觅到一些{zj1}代表性的病毒,当然,开始之前,我们先来回顾一下病毒的发展史: 最昂贵的病毒 {zj1}毒性的秘药 {zj1}破坏力的病毒 最让人头疼的病毒 “计算机病毒“这一概念是1977年由美国着名科普作家“雷恩“在一部科幻小说《P1的青春》中首先提出的。 1983年 美国计算机安全专家“考因“首次通过实验证明了病毒的可实现性。 1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如xx、IBM圣诞树、黑色星期五等等,面对计算机病毒的突然袭击,众多计算机用户甚至专业人员都惊慌失措。 1989年 全世界的计算机病毒攻击十分猖獗,我国也未幸免。其中“米开朗基罗“病毒给许多计算机用户造成极大损失。 1991年 在“海湾战争“中,美军{dy}次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至{zh1}胜利。 1992年 出现针对杀毒软件的“幽灵“病毒,如One-half。 1996年 首次出现针对微软公司Office的“宏病毒“。 1997年 1997年被公认为计算机反病毒界的“宏病毒“年。“宏病毒“主要感染WORD、EXCEL等文件。如Word宏病毒,早期是用一种专门的Basic语言即WordBasic所编写的程序,后来使用Visual Basic。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如:Tw no. 1(台湾一号)、Setmd、Consept、Mdma等。 1998年 出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。1998年8月份从台湾传入国内,共有三个版本:1. 2版/1. 3版/1. 4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是{dy}个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。它主要感染Windows95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。病毒发作时,硬盘驱动器不停旋转,硬盘上所有数据(包括分区表)被破坏,必须重新FDISK方才有可能挽救硬盘;同时,对于部分厂牌的主板(如技嘉和微星等),会将Flash BIOS中的系统程序破坏,造成开机后系统无反应。 1999年 Happy99等xx通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。 2000年 我爱你(ILoveYou)病毒,又称情书或爱虫,也是群发邮件病毒。被感染的计算机会向邮件地址簿中的所有人发送包含病毒的电子邮件。 借助人们对于情书的好奇心,该病毒迅速传遍全球,造成了大范围的电子邮件阻塞和企业亿万美元的损失。 {dy}次分布式拒绝服务(DoS)攻击同时侵袭了亚马逊公司(Amazon)、电子港湾公司(eBay)、谷歌公司(Google)、雅虎公司(Yahoo)和微软的网站,攻击长达数小时之久。 2001年 Sircam蠕虫病毒把被感染电脑的个人文档和数据文件通过电子邮件四处发送。但是由于该病毒文件比较大,限制了自身的传播速度。 “尼姆达”(Nimda)病毒利用复杂的复制和传染技术,在全球范围内感染了数十万台计算机。 “坏透了”(BadTrans)蠕虫病毒可以截获并且向病毒作者传回受感染用户的信用卡信息和密码。但是该病毒聪明的自我复制机制在真正发挥作用之前就被防病毒软件发现,并且在其大范围传播之前被追踪xx。 2002年 梅利莎病毒的编写者大卫?史密斯(David L. Smith)被判处在xx监狱服刑20个月。 2003年 SQL Slammer蠕虫病毒在十分钟内攻击了7.5万台计算机,几乎每十秒钟就将攻击数量翻倍。虽然病毒没有造成直接伤害,但是该蠕虫病毒让网络服务器过载,全球内互联网阻塞。 “冲击波”(Blaster)蠕虫病毒在8月11日攻击了Windows 2000和Windows XP一个已经推出补丁的安全漏洞,让数十万台来不及打补丁的计算机陷入瘫痪。该病毒的最终目的是利用受感染的计算机在8月15日发动一次针对Windowsupdate.com的分布式DoS攻击,但是病毒的危害到当天已经基本被控制。 2004年至今,病毒真正的成为了一个黑色产业链,并开始发展壮大起来,众家安全厂商也坚持不懈的与之争斗不休止··· 据国外xx安全机构通过全球调查发现,病毒的“身价”也水涨船高,达到了让人眼红的程度,{zx1}的排名如下: 1. Love Bug (2000) $8.75B 2.Code Red (2001) $2.62B 3.SirCam (2001) $1.15B 4.Melissa (1999) $1.1B 5.Explorer (1999) $1.02B 6.Nimda (2001) $635M (以下身价是通过对全球经济造成的破坏来计算得出的。) {zj1}毒性的秘药 纵观病毒发展这三十年,其实最毒人的病毒还是集中在近十五年间,名人们自然拥有着名人效应,病毒也如是,让我们看一看几个可以深夜止住婴儿啼哭的“恐怖代名词”吧: 1. CIH (1998年) 该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,{wy}的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所有信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。 CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。 2.梅利莎(Melissa,1999年) 这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。 在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。 3. I love you (2000年) 2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。 4. 红色代码 (Code Red,2001年) 该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。 5. SQL Slammer (2003年) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。 6. 冲击波(Blaster,2003年) 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。 病毒的价值自然是通过产业的“金钱”效应体现出来的,然而在全球经济飞速发展的年代,一些老病毒未必不够强力,虽不值,命不逢时也。下面就看看几款虽然{zj1}破坏力,但是却未必最值钱的xx病毒排行吧: “灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列xx病毒之首,成为2006年上半年名副其实的“毒王”。以窃取“xx”等网络游戏账号为目的“xx木马”名列第二。而以制造“僵尸网络”的BOT类病毒“高波”和“瑞波”并列第三名。此外,攻击微软IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本CHM木马以及攻击微软2006年{sg}0day漏洞(MS06-001)WMF木马名列xx病毒第四、第五位,通过QQ传播的盗窃“xx”号码的“QQ大盗”病毒名列第六,同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点的“维京”病毒名列第七,以xxQQ或网络游戏的帐号密码为目的“传华木马”名列xx病毒之八,窃取工行网上银行的“工行钓鱼木马”以及国内首例敲诈用户钱财的“敲诈者”病毒分别名列xx病毒第九、第十位。 很多时候大家已经查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?尤其一些国外的病毒,通常病毒发明者会给病毒命名成为一些非常拗口且复杂的名称,如何辨别这些“非主流”的病毒就成为一般网友的难题。 其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:一般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前着名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。 1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是:Worm.这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 3、木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack .木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 .这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有xx密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。 4、脚本病毒 脚本病毒的前缀是:Script.脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、 Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97 以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:着名的美丽莎(Macro.Melissa)。 后门病毒的前缀是:Backdoor.该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。 7、病毒种植程序病毒 这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 8.破坏性程序病毒 破坏性程序病毒的前缀是:Harm.这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9.玩笑病毒 玩笑病毒的前缀是:Joke.也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 10.捆绑机病毒 捆绑机病毒的前缀是:Binder.这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ (Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
|
