電腦病毒蟲介紹
比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種,2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統的漏洞,計算機感染這一病毒后,會不斷自動撥號上網,并利用文件中的地址信息或者網絡共享進行傳播,最終破壞用戶的大部分重要數據。所以今天學習啦小編就跟大家介紹下電腦病毒蟲有哪些。
電腦病毒蟲:蠕蟲病毒
蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播,傳染途徑是通過網絡和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下,病毒發作時會在屏幕上出現一條類似蟲子的東西,胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序(或是一套程序),它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中(通常是經過網絡連接)。
蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網絡連接)。請注意,與一般病毒不同,蠕蟲不需要將其自身附著到宿主程序,有兩種類型的蠕蟲:主機蠕蟲與網絡蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中,并且使用網絡的連接僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機后,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時也叫"野兔",蠕蟲病毒一般是通過1434端口漏洞傳播。
在QQ群下載的分享文件打開后會跳轉到色情網站。這是流行的QQ群蠕蟲病毒,不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法幸免。
形成原因
漏洞攻擊
利用操作系統和應用程序的漏洞主動進行攻擊
此類病毒主要是“紅色代碼”和“尼姆亞”,以及依然肆虐的“求職信”等。由于IE瀏覽器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播,SQL蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊。
方式多樣
如“尼姆亞”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。
新技術
與傳統的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易于修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。
惡意行為與查殺
惡意行為
樣本會在QQ群共享文件中上傳誘導性的網站鏈接。如果用戶被其欺騙,則會點擊進入蠕蟲的誘導下載網站,此時不管用戶點擊什么位置,都會觸發蠕蟲的下載,得到一個壓縮包。雖然壓縮包不大,僅有1、2M,但是會解壓出一個100多M的巨大的可執行文件。在QQ群下載的分享文件打開后會跳轉到色情網站。不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法幸免[3] 。
安全專家分析后發現,在PC端,該蠕蟲病毒會下載大量流氓軟件,試圖欺騙網友安裝;而在Android手機上則會彈出全屏廣告,并在后臺偷偷下載色情應用,嚴重影響手機的正常使用;一向“百毒不侵”的iOS也未能幸免,同樣會出現全屏廣告,誘導用戶下載應用。
這是因為蠕蟲會在自身中填充大量的無用數據,用于改變自己的指紋,從而對抗殺毒軟件的云查殺策略。
解壓出來的可執行文件擁有一個誘惑的名稱,并且為了迷惑用戶,還會使用一些安全軟件常見的信息和數字簽名來偽裝自己。
當蠕蟲運行起來之后,會使用特殊技術手段,嘗試獲取臨時的QQ權限。值得一提的是,雖然QQ已經采用了很多方式來對抗這種非法的訪問請求,還給網頁加上了驗證碼等限制,但是此蠕蟲會利用打碼組件自動識別驗證碼,在用戶還未察覺的情況下繞過這些限制。
當蠕蟲拿到臨時QQ權限之后,會主動上傳色情鏈接文件到用戶QQ群共享空間,等到群里的其他用戶成員看到之后點擊進入蠕蟲誘導下載網站,完成下一次的傳播,從而使越來越多的用戶中毒。
背景信息
計算機蠕蟲(Worm)與病毒、木馬等類似,都是在用戶不知情的情況下,偷偷執行預期外的惡意行為,以達到破壞電腦環境、竊取用戶信息或傳播自身等操作[1] 。
從傳播方式上來說,病毒和木馬需要破壞者進行主動的傳播;感染型病毒可以搜索并感染同一臺電腦上能夠訪問到的其它文件。與它們不同的是,蠕蟲的主要行為是努力通過各種途徑將自身或變種傳播到其它電腦終端上,因此可能造成更廣泛的危害。
蠕蟲的傳播方式有:通過操作系統漏洞傳播、通過電子郵件傳播、通過網絡攻擊傳播、通過移動設備進行傳播、通過即時通訊等社交網絡傳播。
除此之外,蠕蟲通常還會在傳播的同時執行一些其它的惡意行為,以達到自己的目的。
查殺
哈勃文件分析系統能夠對該類樣本進行安全警示。
騰訊電腦管家能對該類樣本準確識別和查殺
黑客技術
與黑客技術相結合,潛在的威脅和損失更大
以紅色代碼為例,感染后的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,可以分為兩種,即軟件上的缺陷和人為的缺陷。軟件上的缺陷,如遠程溢出、微軟IE和Outlook的自動執行漏洞等等,需要軟件廠商和用戶共同配合,不斷地升級軟件。而人為
的缺陷,主要指的是計算機用戶的疏忽。這就是所謂的社會工程學(socialengineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會抱著好奇去點擊的。對于企業用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而對個人用戶而言,主要是防范第二種缺陷。
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝IIS(微軟的因特網服務器程序,可以允許在網上提供web服務)或者是龐大的數據庫系統的。因此,上述病毒并不會直接攻擊個人用戶的電腦(當然能夠間接的通過網絡產生影響)。但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒。對于個人用戶而言,威脅大的蠕蟲病毒采取的傳播方式,一般為電子郵件(Email)以及惡意網頁等等。
對于利用電子郵件傳播的蠕蟲病毒來說,通常利用的是各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播。惡意網頁確切地講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇,并提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。對于惡意網頁,常常采取vbscript和javascript編程的形式,由于編程方式十分的簡單,所以在網上非常的流行。
Vbscript是由微軟操作系統的wsh(WindowsScriptingHostWindows腳本主機)解析并執行的,由于其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點擊運行。更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得一點關于腳本編程的人就可以修改其代碼,形成各種各樣的變種。
電腦病毒蟲:愛蟲病毒
2000年5月4日,一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過Microsoft Outlook電子郵件系統傳播的,郵件的主題為“I LOVE YOU”,并包含一個附件。一旦在Microsoft Outlook里打開這個郵件,系統就會自動復制并向地址簿中的所有郵件電址發送這個病毒。 “我愛你”病毒,又稱“愛蟲”病毒,是一種蠕蟲病毒,它與1999年的梅麗莎病毒非常相似。據稱,這個病毒可以改寫本地及網絡硬盤上面的某些文件。用戶機器染毒以后,郵件系統將會變慢,并可能導致整個網絡系統崩潰。
背景資料
由于是通過電子郵件系統傳播,“我愛你”病毒在很短的時間內就襲擊了全球無以數計的電腦,并且,從被感染的電腦系統來看,“愛蟲”病毒的襲擊對象并不是普通的計算機用戶,而是那些具有高價值IT資源的電腦系統:美國國防部的多個安全部門、中央情報局、英國國會等政府機構及多個跨國公司的電子郵件系統遭到襲擊。
據稱:“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒,它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。目前,“愛蟲”仍在迅速擴散之中,其危害性將繼續擴大。
變種
在瘋狂的“愛蟲”病毒被發現當天不久,冠群金辰的全球病毒監測網發現,該病毒為了誘惑更多的網絡用戶上當,現又生成另外一種變型病毒,帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞,以引誘用戶打開郵件。預計,在未來幾天之內“我愛你”病毒還會生成更多種類的變型病毒。
此次被冠群金辰公司發現的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外,其附件中還帶有一個名為“特別可笑”的文件夾。為此,冠群金辰特提醒廣大網絡用戶千萬不要打開任何帶有上述標志的電子郵件并應立即將之刪除。同時,冠群金辰提醒計算機用戶要及時升級KILL反病毒軟件,因為KILL最新病毒庫版本已可查殺此病毒。
細節分析
VBS/LoveLetter.A蠕蟲
VBS/LoveLetter.A 蠕蟲的特征
VBS/LoveLetter.A 是一個基于 e-mail 的VBS(Visual Basic Script)蠕蟲,它以一個電子郵件的附件到達您的郵箱,郵件的主題是 ILOVEYOU(全大寫,無空格)。
e-mail 的正文:
請盡快查收來自我的郵件附件的LOVELETTER。
e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS擴展名是否顯示,依賴于系統的設置。
如果您收到了一封與以上所述相符的e-mail,您不要打開郵件的附件,并立即刪除e-mail。
LoveLetter蠕蟲通過產生如上所述的e-mail 傳播,蠕蟲自身作為郵件的附件,且發送給在Outlook 通訊簿中的所有收件人。在大的機構中,產生的大量e-mail 可能會使電子郵件服務器超載,處于癱瘓狀態。
LoveLetter蠕蟲傳播的目標是Windows 98, 缺省安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統。蠕蟲使用不同的名字將自身復制到多重子目錄中:
在Windows目錄中的文件名是Win32DLL.vbs,在\Windows\system目錄中的文件名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter蠕蟲修改注冊表信息,以便它在下次啟動時能運行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
蠕蟲還設置缺省的IE(Internet Explorer)主頁,下載WIN_BUGFIX.exe 文件的一個副本,該文件看起來是一個“后門服務器”(backdoor server)。該文件在Web上真實的位置目前是關閉的。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter蠕蟲搜索所有的子目錄,并用自身的副本覆蓋(overwrite)擴展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,給無VBS(non-VBS)后綴的文件名添加VBS擴展名。如:一個名為的文件將變為。下一次染毒文件被點擊或被激活,蠕蟲將開始傳播。
如果IRC(在線聊天系統)客戶在系統中出現,LoveLetter蠕蟲將產生一個HTML文件,將自身發送到IRC通道中。
預防
愛蟲病毒的厲害之處在于,它能夠通過Microsoft Outlook自動向被感染者地址簿中所有郵件發送病毒,造成網絡系統崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手(即Melissa,梅麗莎病毒)病毒有類似的傳播手段。相比較而言,此病毒的感染性更強,它可尋找本地驅動器和映射驅動器,并在系統所有目錄和子目錄中搜索可以感染的目標。這也是此病毒能夠在美麗殺手爆發一年后,再次造成全球大面積網絡癱瘓的一個重要原因。
冠群金辰認為21世紀網絡的發展為企業和個人孕育著無限的商機,但是,伴隨網絡接踵而來的黑客大肆攻擊網站事件、蠕蟲病毒導致嚴重網絡癱瘓事件,已經不斷向人們敲響了網絡安全的警鐘。據冠群金辰對當前病毒傳播手段的統計表明,企業當前面臨的網絡不安全因素主要源于郵件系統;而對個人用戶構成最大、最多威脅的病毒也多通過郵件、網絡進行傳播,以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過互聯網郵件系統自動的病毒呈現出爆發頻率加快的態勢。因此,作為一個反毒廠家目前要作到的就是從企業內部的每一個可能傳播病毒的計算機和服務器進行防護,特別值得指出的是,針對郵件系統的安全防護已經成為企業目前必須解決網絡的安全問題。并且企業級的網絡安全產品必須具備優秀先進的實時防護技術,全平臺防護技術,同時安全產品應針對病毒、蠕蟲這些頻繁出現的不安全因素提供病毒快速捕捉及病毒庫升級功能,即具備全球病毒監測及全國服務網的能力。
針對目前企業受到郵件病毒爆發的威脅的情況,冠群金辰推出了一系列專門針對企業用戶的套裝組合,在此套裝組合中,冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評測的郵件群件防護軟件與KILL網絡版的服務器端產品和客戶端產品無縫集成在一起,為用戶提供先進的病毒檢測技術、通過對服務器、郵件服務器、客戶端的3位一體全面防護,從而達到自動發現,自動報警,自動清除所有通過網絡傳播的病毒的功能,時時刻刻全方位保護用戶的郵件及文件系統,確保用戶不會受到“愛蟲”一類病毒困擾。企業的網絡將能夠真正構架起安全的樓宇。