電腦病毒蟲介紹
比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種,2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗作業系統的漏洞,計算機感染這一病毒後,會不斷自動撥號上網,並利用檔案中的地址資訊或者網路共享進行傳播,最終破壞使用者的大部分重要資料。所以今天小編就跟大家介紹下電腦病毒蟲有哪些。
電腦病毒蟲:蠕蟲病毒
蠕蟲病毒是一種常見的計算機病毒。它是利用網路進行復制和傳播,傳染途徑是通過網路和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下,病毒發作時會在螢幕上出現一條類似蟲子的東西,胡亂吞吃螢幕上的字母並將其改形。蠕蟲病毒是自包含的程式或是一套程式,它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中通常是經過網路連線。
蠕蟲病毒是自包含的程式或是一套程式,它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中通常是經過網路連線。請注意,與一般病毒不同,蠕蟲不需要將其自身附著到宿主程式,有兩種型別的蠕蟲:主機蠕蟲與網路蠕蟲。主計算機蠕蟲完全包含在它們執行的計算機中,並且使用網路的連線僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止它自身因此在任意給定的時刻,只有一個蠕蟲的拷貝執行,這種蠕蟲有時也叫"野兔",蠕蟲病毒一般是通過1434埠漏洞傳播。
在QQ群下載的分享檔案開啟後會跳轉到色情網站。這是流行的QQ群蠕蟲病毒,不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法倖免。
形成原因
漏洞攻擊
利用作業系統和應用程式的漏洞主動進行攻擊
此類病毒主要是“紅色程式碼”和“尼姆亞”,以及依然肆虐的“求職信”等。由於IE瀏覽器的漏洞IFRAMEEXECCOMMAND,使得感染了“尼姆亞”病毒的郵件在不去手工開啟附件的情況下病毒就能啟用,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去開啟附件,病毒不會有危害。“紅色程式碼”是利用了微軟IIS伺服器軟體的漏洞idq.dll遠端快取區溢位來傳播,SQL蠕蟲王病毒則是利用了微軟的資料庫系統的一個漏洞進行大肆攻擊。
方式多樣
如“尼姆亞”病毒和”求職信”病毒,可利用的傳播途徑包括檔案、電子郵件、Web伺服器、網路共享等等。
新技術
與傳統的病毒不同的是,許多新病毒是利用當前最新的程式語言與程式設計技術實現的,易於修改以產生新的變種,從而逃避反病毒軟體的搜尋。另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面裡,在上網瀏覽時觸發。
惡意行為與查殺
惡意行為
樣本會在QQ群共享檔案中上傳誘導性的網站連結。如果使用者被其欺騙,則會點選進入蠕蟲的誘導下載網站,此時不管使用者點選什麼位置,都會觸發蠕蟲的下載,得到一個壓縮包。雖然壓縮包不大,僅有1、2M,但是會解壓出一個100多M的巨大的可執行檔案。在QQ群下載的分享檔案開啟後會跳轉到色情網站。不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法倖免[3] 。
安全專家分析後發現,在PC端,該蠕蟲病毒會下載大量流氓軟體,試圖欺騙網友安裝;而在Android手機上則會彈出全屏廣告,並在後臺偷偷下載色情應用,嚴重影響手機的正常使用;一向“百毒不侵”的iOS也未能倖免,同樣會出現全屏廣告,誘導使用者下載應用。
這是因為蠕蟲會在自身中填充大量的無用資料,用於改變自己的指紋,從而對抗防毒軟體的雲查殺策略。
解壓出來的可執行檔案擁有一個誘惑的名稱,並且為了迷惑使用者,還會使用一些安全軟體常見的資訊和數字簽名來偽裝自己。
當蠕蟲執行起來之後,會使用特殊技術手段,嘗試獲取臨時的QQ許可權。值得一提的是,雖然QQ已經採用了很多方式來對抗這種非法的訪問請求,還給網頁加上了驗證碼等限制,但是此蠕蟲會利用打碼元件自動識別驗證碼,在使用者還未察覺的情況下繞過這些限制。
當蠕蟲拿到臨時QQ許可權之後,會主動上傳色情連結檔案到使用者QQ群共享空間,等到群裡的其他使用者成員看到之後點選進入蠕蟲誘導下載網站,完成下一次的傳播,從而使越來越多的使用者中毒。
背景資訊
計算機蠕蟲Worm與病毒、木馬等類似,都是在使用者不知情的情況下,偷偷執行預期外的惡意行為,以達到破壞電腦環境、竊取使用者資訊或傳播自身等操作[1] 。
從傳播方式上來說,病毒和木馬需要破壞者進行主動的傳播;感染型病毒可以搜尋並感染同一臺電腦上能夠訪問到的其它檔案。與它們不同的是,蠕蟲的主要行為是努力通過各種途徑將自身或變種傳播到其它電腦終端上,因此可能造成更廣泛的危害。
蠕蟲的傳播方式有:通過作業系統漏洞傳播、通過電子郵件傳播、通過網路攻擊傳播、通過移動裝置進行傳播、通過即時通訊等社交網路傳播。
除此之外,蠕蟲通常還會在傳播的同時執行一些其它的惡意行為,以達到自己的目的。
查殺
哈勃檔案分析系統能夠對該類樣本進行安全警示。
騰訊電腦管家能對該類樣本準確識別和查殺
黑客技術
與黑客技術相結合,潛在的威脅和損失更大
以紅色程式碼為例,感染後的機器的web目錄的\scripts下將生成一個root.exe,可以遠端執行任何命令,從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,可以分為兩種,即軟體上的缺陷和人為的缺陷。軟體上的缺陷,如遠端溢位、微軟IE和Outlook的自動執行漏洞等等,需要軟體廠商和使用者共同配合,不斷地升級軟體。而人為
的缺陷,主要指的是計算機使用者的疏忽。這就是所謂的社會工程學socialengineering,當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會抱著好奇去點選的。對於企業使用者來說,威脅主要集中在伺服器和大型應用軟體的安全上,而對個人使用者而言,主要是防範第二種缺陷。
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟元件的系統進行攻擊,而對廣大個人使用者而言,是不會安裝IIS微軟的因特網伺服器程式,可以允許在網上提供web服務或者是龐大的資料庫系統的。因此,上述病毒並不會直接攻擊個人使用者的電腦當然能夠間接的通過網路產生影響。但接下來分析的蠕蟲病毒,則是對個人使用者威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒。對於個人使用者而言,威脅大的蠕蟲病毒採取的傳播方式,一般為電子郵件Email以及惡意網頁等等。
對於利用電子郵件傳播的蠕蟲病毒來說,通常利用的是各種各樣的欺騙手段誘惑使用者點選的方式進行傳播。惡意網頁確切地講是一段黑客破壞程式碼程式,它內嵌在網頁中,當用戶在不知情的情況下開啟含有病毒的網頁時,病毒就會發作。這種病毒程式碼鑲嵌技術的原理並不複雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關於用網頁進行破壞的技術的論壇,並提供破壞程式程式碼下載,從而造成了惡意網頁的大面積氾濫,也使越來越多的使用者遭受損失。對於惡意網頁,常常採取vbscript和javascript程式設計的形式,由於程式設計方式十分的簡單,所以在網上非常的流行。
Vbscript是由微軟作業系統的wshWindowsScriptingHostWindows指令碼主機解析並執行的,由於其程式設計非常簡單,所以此類指令碼病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs指令碼病毒,然後偽裝成郵件附件誘惑使用者點選執行。更為可怕的是,這樣的病毒是以原始碼的形式出現的,只要懂得一點關於指令碼程式設計的人就可以修改其程式碼,形成各種各樣的變種。
電腦病毒蟲:愛蟲病毒
2000年5月4日,一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過Microsoft Outlook電子郵件系統傳播的,郵件的主題為“I LOVE YOU”,幷包含一個附件。一旦在Microsoft Outlook裡開啟這個郵件,系統就會自動複製並向地址簿中的所有郵件電址傳送這個病毒。 “我愛你”病毒,又稱“愛蟲”病毒,是一種蠕蟲病毒,它與1999年的梅麗莎病毒非常相似。據稱,這個病毒可以改寫本地及網路硬碟上面的某些檔案。使用者機器染毒以後,郵件系統將會變慢,並可能導致整個網路系統崩潰。
背景資料
由於是通過電子郵件系統傳播,“我愛你”病毒在很短的時間內就襲擊了全球無以數計的電腦,並且,從被感染的電腦系統來看,“愛蟲”病毒的襲擊物件並不是普通的計算機使用者,而是那些具有高價值IT資源的電腦系統:美國國防部的多個安全部門、中央情報局、英國國會等政府機構及多個跨國公司的電子郵件系統遭到襲擊。
據稱:“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒,它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。目前,“愛蟲”仍在迅速擴散之中,其危害性將繼續擴大。
變種
在瘋狂的“愛蟲”病毒被發現當天不久,冠群金辰的全球病毒監測網發現,該病毒為了誘惑更多的網路使用者上當,現又生成另外一種變型病毒,帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞,以引誘使用者開啟郵件。預計,在未來幾天之內“我愛你”病毒還會生成更多種類的變型病毒。
此次被冠群金辰公司發現的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外,其附件中還帶有一個名為“特別可笑”的資料夾。為此,冠群金辰特提醒廣大網路使用者千萬不要開啟任何帶有上述標誌的電子郵件並應立即將之刪除。同時,冠群金辰提醒計算機使用者要及時升級KILL反病毒軟體,因為KILL最新病毒庫版本已可查殺此病毒。
細節分析
VBS/LoveLetter.A蠕蟲
VBS/LoveLetter.A 蠕蟲的特徵
VBS/LoveLetter.A 是一個基於 e-mail 的VBSVisual Basic Script蠕蟲,它以一個電子郵件的附件到達您的郵箱,郵件的主題是 ILOVEYOU全大寫,無空格。
e-mail 的正文:
請儘快查收來自我的郵件附件的LOVELETTER。
e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS副檔名是否顯示,依賴於系統的設定。
如果您收到了一封與以上所述相符的e-mail,您不要開啟郵件的附件,並立即刪除e-mail。
LoveLetter蠕蟲通過產生如上所述的e-mail 傳播,蠕蟲自身作為郵件的附件,且傳送給在Outlook 通訊簿中的所有收件人。在大的機構中,產生的大量e-mail 可能會使電子郵件伺服器超載,處於癱瘓狀態。
LoveLetter蠕蟲傳播的目標是Windows 98, 預設安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting HostWSH引擎的Windows 95系統。蠕蟲使用不同的名字將自身複製到多重子目錄中:
在Windows目錄中的檔名是Win32DLL.vbs,在\Windows\system目錄中的檔名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter蠕蟲修改登錄檔資訊,以便它在下次啟動時能執行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
蠕蟲還設定預設的IEInternet Explorer主頁,下載WIN_BUGFIX.exe 檔案的一個副本,該檔案看起來是一個“後門伺服器”backdoor server。該檔案在Web上真實的位置目前是關閉的。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter蠕蟲搜尋所有的子目錄,並用自身的副本覆蓋overwrite副檔名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有檔案,給無VBSnon-VBS字尾的檔名新增VBS副檔名。如:一個名為的檔案將變為。下一次染毒檔案被點選或被啟用,蠕蟲將開始傳播。
如果IRC線上聊天系統客戶在系統中出現,LoveLetter蠕蟲將產生一個HTML檔案,將自身傳送到IRC通道中。
預防
愛蟲病毒的厲害之處在於,它能夠通過Microsoft Outlook自動向被感染者地址簿中所有郵件傳送病毒,造成網路系統崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手即Melissa,梅麗莎病毒病毒有類似的傳播手段。相比較而言,此病毒的感染性更強,它可尋找本地驅動器和對映驅動器,並在系統所有目錄和子目錄中搜索可以感染的目標。這也是此病毒能夠在美麗殺手爆發一年後,再次造成全球大面積網路癱瘓的一個重要原因。
冠群金辰認為21世紀網路的發展為企業和個人孕育著無限的商機,但是,伴隨網路接踵而來的黑客大肆攻擊網站事件、蠕蟲病毒導致嚴重網路癱瘓事件,已經不斷向人們敲響了網路安全的警鐘。據冠群金辰對當前病毒傳播手段的統計表明,企業當前面臨的網路不安全因素主要源於郵件系統;而對個人使用者構成最大、最多威脅的病毒也多通過郵件、網路進行傳播,以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過網際網路郵件系統自動的病毒呈現出爆發頻率加快的態勢。因此,作為一個反毒廠家目前要作到的就是從企業內部的每一個可能傳播病毒的計算機和伺服器進行防護,特別值得指出的是,針對郵件系統的安全防護已經成為企業目前必須解決網路的安全問題。並且企業級的網路安全產品必須具備優秀先進的實時防護技術,全平臺防護技術,同時安全產品應針對病毒、蠕蟲這些頻繁出現的不安全因素提供病毒快速捕捉及病毒庫升級功能,即具備全球病毒監測及全國服務網的能力。
針對目前企業受到郵件病毒爆發的威脅的情況,冠群金辰推出了一系列專門針對企業使用者的套裝組合,在此套裝組合中,冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評測的郵件群件防護軟體與KILL網路版的伺服器端產品和客戶端產品無縫整合在一起,為使用者提供先進的病毒檢測技術、通過對伺服器、郵件伺服器、客戶端的3位一體全面防護,從而達到自動發現,自動報警,自動清除所有通過網路傳播的病毒的功能,時時刻刻全方位保護使用者的郵件及檔案系統,確保使用者不會受到“愛蟲”一類病毒困擾。企業的網路將能夠真正構架起安全的樓宇。