摘要:CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。CI...
文章概览
世界上排名前十的计算机病毒,它们有多厉害
CIH病毒(1998年)是一位名叫陈盈豪的台湾大学生所编写的,从中国台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。
世界近十年来最厉害电脑病毒排名
一、ANI病毒 “ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后,自我复制到系统目录下。修改注册表,实现开机自启动。感染正常的可执行文件和本地网页文件,并下载大量木马程序。二、U盘寄生虫
U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页,该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架,框架内包含恶意网址引用 ,这样,当用户打开该网页之后,如果IE浏览器没有打上补丁,IE就会自动下载并且执行恶意网址中的病毒体,此时用户电脑就会成为一个新的病毒传播源,进而感染局域网中的其他用户计算机。
能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
Trojan/Agent.crd是一个盗取用户机密信息的木马程序。“代理木马”变种crd运行后,自我复制到系统目录下,文件名随机生成。修改注册表,实现开机自启。从指定站点下载其它木马,侦听黑客指令,盗取用户机密信息。
“网游大盗”变种hvs是一个木马程序,专门盗取网络游戏玩家的帐号、密码、装备等。
鞋匠”变种je是一个广告程序,可弹出大量广告信息,并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后,在Windows目录下创建病毒文件。修改注册表,实现开机自启。自我注册为服务,服务的名称随机生成。侦听黑客指令,连接指定站点,弹出大量广告条幅,用户一旦点击带毒广告,立即在用户计算机上安装其它病毒。
广告泡泡”变种e是一个广告程序,采用RootKit等底层技术编写,一旦安装,很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出病毒文件。在后台定时弹出广告窗口,占用系统资源,干扰用户操作。
“埃德罗”变种ad是一个广告程序,在被感染计算机上强制安装广告。
“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。“IstBar脚本”变种t运行后,在用户的计算机中强行安装IstBar工具条,造成用户系统变慢,自动弹出广告,强行锁定用户的IE首页等等。
世界前十位的病毒是哪些
1999年3月6日,一个名为“美丽杀”的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播,造成网络阻塞,甚至瘫痪。并且,这种病毒在传播过程中,还会造成泄密。在美国,白宫、微软和Intel等政府部门和一些大公司,为了避免更大的损失,紧急关闭了网络服务器,检查、清除“美丽杀”病毒。由于“美丽杀”病毒危害美国政府和大型企业的利益,美国联邦调查局(FBI)迅速行动。经过四、 五天的技术侦查,将病毒制造者史密斯抓获。但是“美丽杀”病毒已致使300多家大型公司的服务器瘫痪, 这些公司的业务依赖于计算机网络,服务器瘫痪后造成公司正常业务停顿,损失巨大。并且,随后“美丽杀”病毒的源代码在互联网上公布,功能类似于“美丽杀”的其他病毒或蠕虫接连出台。如:PaPa,copycat等。然而,这仅仅是计算机病毒肆虐网络的序曲。
根据国外统计资料,今年世界流行计算机病毒的前十位,主要有以下几种:
在这十种病毒种,其中通过网络主动传播的病毒占了七种,另外两种宏病毒可以感染人们编辑的文档,然后通过收发邮件进行传播,PE_CIH可以通过介质、网络下载进行传播。下面我们着重分析一下七种主动通过网络传播的计算机病毒。
该蠕虫是在1999年10月份发现的。它由三部分组成:HTA 文件 (HTML 应用程序), REG 文件和BAT 文件(MS_DOS批处理文件)。该蠕虫使用MS Outlook Express,通过邮件进行传播。
这种蠕虫首先将原有的AUTOEXEC.BAT复制为 AE.KAK,然后AUTOEXEC.BAT被修改并覆盖了KAK.HTA文件。系统的注册表也将被修改为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cAg0u = "C:\WINDOWS\SYSTEM\(name).hta"
其中,(name)是随机生成的八个字母的文件名。 这样,可以保证蠕虫在每次Windows启动时能够得以运行。它在每月一日下午六点时显示这样一条信息:"Kagou-Anti-Kro$oft says not today!"
这种蠕虫最早在1999年6月时,在欧洲中部广泛流行,在今年三月时,又再次爆发。它会每隔30分钟,将自身命名为'Pretty Park.Exe',然后作为邮件的附件发送给邮件地址薄中的所有人。文件的图标使用著名的名为“南方公园”中的卡通形象。
另外,该蠕虫还具有后门程序的功能,它会将感染此蠕虫的系统的信息发送给一些IRC服务器,如:系统配置信息、登录密码和用户名、电话号码以及ICQ 号码等。这些IRC服务器列表如下:
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
同时,它还可以远程控制被感染的系统,如:创建/删除目录、上载/下载文件和删除或执行文件。
这也是一个蠕虫病毒,它也称作“Happy99”。当“Happy99.EXE”被运行时,它将在Windows\System目录下生成一个名为SKA.EXE.的文件。同时,它会修改注册表。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
这样可以保证每次Windows启动时,该蠕虫可以被激活。当蠕虫运行时,将显示"Happy New Year 1999!!",并显示放焰火。该蠕虫将Happy99.EXE作为邮件附件进行传播。
当该病毒运行后,它自动给邮件地址列表中的所有的地址发送邮件,并将自身作为邮件的附件。同时,该病毒感染力极强,可寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标。该病毒感染扩展名为"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二种类型文件。当病毒找到有扩展名为"js", "jse", "css", "wsh", "sct","hta"文件时,病毒将覆盖原文件,并将文件后缀改为"vbs";当感染扩展名为"vbs", "vbe"的文件时,原文件将被病毒代码覆盖;当感染扩展名为"jpg", "jpeg"的文件时,用病毒代码覆盖文件原来的内容,并将后缀加上.vbs后缀,随后毁掉宿主文件,破坏了这些数据文件原始内容。扩展名为"mp3"和"mp2"的文件,其属性被改为隐含文件,然后创建病毒文件,其文件名为以原始文件名添加后缀.vbs作为新的文件名,例如:原始文件为jianyan.mp3,该文件被感染后,jianyan.mp3的文件属性改为隐含文件,然后生成病毒文件jianyan.mp3.vbs。但是,这十二种后缀的文件如果在磁盘的根目录下,则不会遭受破坏。
当打开染有该病毒的Word文档时,它首先感染模版文件Normal.dot。此后,新创建的文档和修改编辑的文档都会感染此病毒。该病毒将把自身作为附件自动发给邮件地址列表中前五十个地址。
这是同时具有病毒、蠕虫和后门程序特点的程序。它把自己作为邮件附件,附件的名称通常为:I_am_sorry_doc.pif,或是zipped_files.exe,然后通过邮件传播,它还可以传染windows目录下的32位EXE文件和DLL文件。
TROJ_QAZ.A具有蠕虫和后门程序的特点。它是在今年七八月份发现的。当它运行时,将修改注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
startIE = "Notepad.exe qazwsx.hsq"
这样,可以保证每次随Windows 启动,然后可以通过网络共享进行传播。它将欲传染的系统中的Notepad.exe改为note.com然后将自身拷贝为Notepad.exe。当用户使用记事本程序时,该蠕虫将被激活。它可以允许远程用户控制感染此蠕虫的系统。并可以想某一特定地址发送信息。
从当前流行的前十位计算机病毒来看,其中七个病毒都可以利用邮件系统和网络进行传播。W97M_ETHAN.A和 O97M_TRISTATE是宏病毒,它们虽然不能主动通过网络传播,但是,我们很多人使用Office系统创建和编辑文档,然后通过电子邮件交换信息。因此,宏病毒也是通过邮件进行传播的。所以,前十种病毒中,有九种是可以通过网络传播的。
由于病毒主要通过网络传播,因此,一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。如“爱虫”病毒在一、两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪。
“爱虫”、“美丽杀”以及CIH等病毒都给世界计算机信息系统和网络带来灾难性的破坏。有的造成网络拥塞,甚至瘫痪;有的造成重要数据丢失;还有的造成计算机内储存的机密信息被窃取;甚至还有的计算机信息系统和网络被人控制。
目前,很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒,“美丽杀”是宏病毒。因此,它们容易编写,并且很容易被修改,生成很多病毒变种。“爱虫”病毒在十几天中,出现三十多种变种。“美丽杀”
病毒也生成三、四种变种,并且此后很多宏病毒都是了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致。只是某些代码作了改变。
利用网络传播、破坏的计算机病毒,一旦在网络中传播、蔓延,很难控制。往往准备采取防护措施时侯,可能已经遭受病毒的侵袭。除非关闭网络服务,但是这样做很难被人接受,同时关闭网络服务可能会蒙受更大的损失。
“美丽杀”病毒最早在99年三月份爆发,人们花了很多精力和财力控制住了它。但是,今年在美国它又死灰复燃,再一次形成疫情,造成破坏。之所以出现这种情况,一是由于人们放松了警惕性,新投入使用系统未安装防病毒系统;再者是使用了保存旧的染病毒文档,激活了病毒再次流行。
计算机病毒的编制技术随着网络技术的普及和发展也在不断提高和变化。过去病毒最大的特点是能够复制自身给其他的程序。现在,计算机病毒具有了蠕虫的特点,可以利用网络进行传播,如:利用E-mail。同时,有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。呈现出计算机病毒功能的多样化,因而,更具有危害性。
我国在1994年颁布实施了《中华人民共和国信息系统安全保护条例》和1997年出台的新《刑法》中增加了有关对制作、传播计算机病毒进行处罚的条款。2000年5月,公安部颁布实施了《计算机病毒防治管理办法》,进一步加强了我国对计算机的预防和控制工作。同时,为了保证计算机病毒防治产品的质量,保护计算机用户的安全,公安部建立了计算机病毒防治产品检验中心,在96年颁布执行了中华人民共和国公共安全行业标准GA 135-1996《DOS环境下计算机病毒的检测方法》和GA 243-2000《计算机病毒防治产品评级准则》。我们的开展病毒防治工作要严格遵循这些标准和法规,这样才能有效地保障我国的计算机病毒防治水平。
根据计算机病毒的特点,和多年病毒防治工作的经验来看,从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。我们目前面临的计算机病毒的攻击事件不但没有减少,而是日益增多,并且,病毒的种类越来越多,破坏方式日趋多样化。每出现一种新病毒,就要有一些用户成为病毒的受害者。面对此种形势,我们不能坐以待毙,而是要寻求一种解决方案,力争将计算机病毒的危害性降至最低。因此,因此,急需建立一种快速的预警机制,能够在最短的时间内发现并捕获病毒,向计算机用户发出警报,提供计算机病毒的防治方案。为遭受计算机病毒攻击、破坏的计算机信息系统提供数据恢复方案,保障我国计算机信息系统和网络的安全。为此,公安部和国家计算机网络与安全管理中心在今年8月份决定,在建立在天津的计算机病毒防治产品检验中心的基础之上,建立国家计算机病毒应急处理中心。该中心是我国计算机应急体系(CERT )中的一部分。国内从事病毒研究的机构和病毒防治产品的开发厂家,以及各省市公共信息网络安全监察部门都是应急体系的成员,CERT遵循的工作原则是“积极预防、及时发现、快速反应、确保恢复”。他们一旦发现计算机病毒,就及时向应急中心报告,对在我国发现的计算机病毒事件进行快速反应和处置,对重大计算机病毒疫情将报告公安部,向社会发布病毒疫情,减少计算机病毒对我国计算机信息系统和网络的破坏。
⑵不要随便使用在别的机器上使用过的可擦写存储介质(如:软盘、硬盘、可擦写光盘等)。
⑷坚持经常性的数据备份工作。这项工作不要因麻烦而忽略,否则后患无穷。
⑹对新购置的机器和软件不要马上投入正式使用,经检测后,试运行一段时间,未发现异常情况再正式运行。
⑻对主引导区、引导扇区、FAT表、根目录表、中断向量表、模板文件Winsock.DLL 、WSOCK32.DLL和Kernek32.DLL等系统重要数据做备份。
⑼定期检查主引导区,引导扇区,中断向量表、文件属性(字节长度、文件生成时间等)、模板文件和注册表等。
⑿在网关、服务器和客户端都要安装使用病毒防火墙,建立立体的病毒防护体系。
⒂安装系统时,不要贪图大而全,要遵守适当的原则,如: 未安装Windows Scripting Host的系统,可以避免“”爱虫”这类脚本语言病毒的侵袭。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
同时,要对Autoexec.bat文件的内容进行检查,防治病毒及黑客程序的侵入。
⒆要将Office提供的安全机制充分利用起来,将宏的报警功能打开。
⒇发现新病毒及时报告国家计算机病毒应急中心和当地公共信息网络安全监察部门。
随着计算机网络的发展,计算机病毒对信息安全的威胁日益严重,我们一方面要掌握对当现的计算机病毒的防范措施,另一方面要加强对未来病毒发展趋势的研究,真正做到防患于未然。目前,随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现。尤其是随着WAP协议的功能日益增强,病毒对手机和无线网络的威胁越来越大。我们要提前做好技术上的贮备,严阵以待,保障我国的信息安全。
还没有评论,来说两句吧...