电脑病毒虫介绍
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。所以今天学习啦小编就跟大家介绍下电脑病毒虫有哪些。
电脑病毒虫:蠕虫病毒
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
在QQ群下载的分享文件打开后会跳转到色情网站。这是流行的QQ群蠕虫病毒,不仅会感染PC,安卓手机甚至未越狱的iPhone和iPad也无法幸免。
形成原因
漏洞攻击
利用操作系统和应用程序的漏洞主动进行攻击
此类病毒主要是“红色代码”和“尼姆亚”,以及依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
方式多样
如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
新技术
与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
恶意行为与查杀
恶意行为
样本会在QQ群共享文件中上传诱导性的网站链接。如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。在QQ群下载的分享文件打开后会跳转到色情网站。不仅会感染PC,安卓手机甚至未越狱的iPhone和iPad也无法幸免[3] 。
安全专家分析后发现,在PC端,该蠕虫病毒会下载大量流氓软件,试图欺骗网友安装;而在Android手机上则会弹出全屏广告,并在后台偷偷下载色情应用,严重影响手机的正常使用;一向“百毒不侵”的iOS也未能幸免,同样会出现全屏广告,诱导用户下载应用。
这是因为蠕虫会在自身中填充大量的无用数据,用于改变自己的指纹,从而对抗杀毒软件的云查杀策略。
解压出来的可执行文件拥有一个诱惑的名称,并且为了迷惑用户,还会使用一些安全软件常见的信息和数字签名来伪装自己。
当蠕虫运行起来之后,会使用特殊技术手段,尝试获取临时的QQ权限。值得一提的是,虽然QQ已经采用了很多方式来对抗这种非法的访问请求,还给网页加上了验证码等限制,但是此蠕虫会利用打码组件自动识别验证码,在用户还未察觉的情况下绕过这些限制。
当蠕虫拿到临时QQ权限之后,会主动上传色情链接文件到用户QQ群共享空间,等到群里的其他用户成员看到之后点击进入蠕虫诱导下载网站,完成下一次的传播,从而使越来越多的用户中毒。
背景信息
计算机蠕虫(Worm)与病毒、木马等类似,都是在用户不知情的情况下,偷偷执行预期外的恶意行为,以达到破坏电脑环境、窃取用户信息或传播自身等操作[1] 。
从传播方式上来说,病毒和木马需要破坏者进行主动的传播;感染型病毒可以搜索并感染同一台电脑上能够访问到的其它文件。与它们不同的是,蠕虫的主要行为是努力通过各种途径将自身或变种传播到其它电脑终端上,因此可能造成更广泛的危害。
蠕虫的传播方式有:通过操作系统漏洞传播、通过电子邮件传播、通过网络攻击传播、通过移动设备进行传播、通过即时通讯等社交网络传播。
除此之外,蠕虫通常还会在传播的同时执行一些其它的恶意行为,以达到自己的目的。
查杀
哈勃文件分析系统能够对该类样本进行安全警示。
腾讯电脑管家能对该类样本准确识别和查杀
黑客技术
与黑客技术相结合,潜在的威胁和损失更大
以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,可以分为两种,即软件上的缺陷和人为的缺陷。软件上的缺陷,如远程溢出、微软IE和Outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断地升级软件。而人为
的缺陷,主要指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会抱着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而对个人用户而言,主要是防范第二种缺陷。
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装IIS(微软的因特网服务器程序,可以允许在网上提供web服务)或者是庞大的数据库系统的。因此,上述病毒并不会直接攻击个人用户的电脑(当然能够间接的通过网络产生影响)。但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒。对于个人用户而言,威胁大的蠕虫病毒采取的传播方式,一般为电子邮件(Email)以及恶意网页等等。
对于利用电子邮件传播的蠕虫病毒来说,通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。对于恶意网页,常常采取vbscript和javascript编程的形式,由于编程方式十分的简单,所以在网上非常的流行。
Vbscript是由微软操作系统的wsh(WindowsScriptingHostWindows脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行。更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。
电脑病毒虫:爱虫病毒
2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Outlook电子邮件系统传播的,邮件的主题为“I LOVE YOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 “我爱你”病毒,又称“爱虫”病毒,是一种蠕虫病毒,它与1999年的梅丽莎病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。
背景资料
由于是通过电子邮件系统传播,“我爱你”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。
据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。目前,“爱虫”仍在迅速扩散之中,其危害性将继续扩大。
变种
在疯狂的“爱虫”病毒被发现当天不久,冠群金辰的全球病毒监测网发现,该病毒为了诱惑更多的网络用户上当,现又生成另外一种变型病毒,带有这种病毒的电子邮件主题词中往往带有“笑话”一词,以引诱用户打开邮件。预计,在未来几天之内“我爱你”病毒还会生成更多种类的变型病毒。
此次被冠群金辰公司发现的这种新变型除了在电子邮件的主题词中写有“笑话”一词以外,其附件中还带有一个名为“特别可笑”的文件夹。为此,冠群金辰特提醒广大网络用户千万不要打开任何带有上述标志的电子邮件并应立即将之删除。同时,冠群金辰提醒计算机用户要及时升级KILL反病毒软件,因为KILL最新病毒库版本已可查杀此病毒。
细节分析
VBS/LoveLetter.A蠕虫
VBS/LoveLetter.A 蠕虫的特征
VBS/LoveLetter.A 是一个基于 e-mail 的VBS(Visual Basic Script)蠕虫,它以一个电子邮件的附件到达您的邮箱,邮件的主题是 ILOVEYOU(全大写,无空格)。
e-mail 的正文:
请尽快查收来自我的邮件附件的LOVELETTER。
e-mail 带有名为 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS扩展名是否显示,依赖于系统的设置。
如果您收到了一封与以上所述相符的e-mail,您不要打开邮件的附件,并立即删除e-mail。
LoveLetter蠕虫通过产生如上所述的e-mail 传播,蠕虫自身作为邮件的附件,且发送给在Outlook 通讯簿中的所有收件人。在大的机构中,产生的大量e-mail 可能会使电子邮件服务器超载,处于瘫痪状态。
LoveLetter蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和Windows NT 4.0以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。蠕虫使用不同的名字将自身复制到多重子目录中:
在Windows目录中的文件名是Win32DLL.vbs,在\Windows\system目录中的文件名为MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter蠕虫修改注册表信息,以便它在下次启动时能运行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:\WINDOWS\SYSTEM\MSKernel32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win
32DLL=C:\WINDOWS\Win32DLL.vbs
蠕虫还设置缺省的IE(Internet Explorer)主页,下载WIN_BUGFIX.exe 文件的一个副本,该文件看起来是一个“后门服务器”(backdoor server)。该文件在Web上真实的位置目前是关闭的。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32
LoveLetter蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活,蠕虫将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,LoveLetter蠕虫将产生一个HTML文件,将自身发送到IRC通道中。
预防
爱虫病毒的厉害之处在于,它能够通过Microsoft Outlook自动向被感染者地址簿中所有邮件发送病毒,造成网络系统崩溃。此病毒与去年曾一度闹的人心惶惶的美丽杀手(即Melissa,梅丽莎病毒)病毒有类似的传播手段。相比较而言,此病毒的感染性更强,它可寻找本地驱动器和映射驱动器,并在系统所有目录和子目录中搜索可以感染的目标。这也是此病毒能够在美丽杀手爆发一年后,再次造成全球大面积网络瘫痪的一个重要原因。
冠群金辰认为21世纪网络的发展为企业和个人孕育着无限的商机,但是,伴随网络接踵而来的黑客大肆攻击网站事件、蠕虫病毒导致严重网络瘫痪事件,已经不断向人们敲响了网络安全的警钟。据冠群金辰对当前病毒传播手段的统计表明,企业当前面临的网络不安全因素主要源于邮件系统;而对个人用户构成最大、最多威胁的病毒也多通过邮件、网络进行传播,以“美丽杀手”“ZIP蠕虫”“爱虫”等大量通过互联网邮件系统自动的病毒呈现出爆发频率加快的态势。因此,作为一个反毒厂家目前要作到的就是从企业内部的每一个可能传播病毒的计算机和服务器进行防护,特别值得指出的是,针对邮件系统的安全防护已经成为企业目前必须解决网络的安全问题。并且企业级的网络安全产品必须具备优秀先进的实时防护技术,全平台防护技术,同时安全产品应针对病毒、蠕虫这些频繁出现的不安全因素提供病毒快速捕捉及病毒库升级功能,即具备全球病毒监测及全国服务网的能力。
针对目前企业受到邮件病毒爆发的威胁的情况,冠群金辰推出了一系列专门针对企业用户的套装组合,在此套装组合中,冠群金辰公司将的KILL for Microsoft Exchange和KILL for Lotus Notes两种唯一通过公安部评测的邮件群件防护软件与KILL网络版的服务器端产品和客户端产品无缝集成在一起,为用户提供先进的病毒检测技术、通过对服务器、邮件服务器、客户端的3位一体全面防护,从而达到自动发现,自动报警,自动清除所有通过网络传播的病毒的功能,时时刻刻全方位保护用户的邮件及文件系统,确保用户不会受到“爱虫”一类病毒困扰。企业的网络将能够真正构架起安全的楼宇。