病毒寄身方式何其多

  • 来源: IT168 作者: sevenleaf   2010-05-17/16:07
  •       病毒,虽用肉眼难以辨认,但其让人听而变色。病毒体积非常微小,结构及其简单的生命形式,但它同所有生物一样,具有遗传、变异、进化的能力,具有高度的寄生性。看到病毒我们自然会想到黑太阳731部队,也会想到细菌炸弹,更会想到Elk Cloner、莫里斯蠕虫、甚至是熊猫烧香。

          计算机病毒指一种恶意计算机代码,可以破坏系统程序,占用空间,盗取账号密码。但是随着互联网不断普及以及网络终端的多样化,病毒这个臭名昭著的坏小子,已经从安全人的“眼中钉”变成一个无所不在、无所不能的“钢铁侠”。

          病毒是一个臭名昭著的“80后”

          世界上第一台电脑ENIAC(爱尼阿克)于1946年2月14日在美国宾夕法尼亚大学诞生,现在已经有55年的历史。

          世界上第一个网络ARPANet是在1969年有美国国防部高级研究计划署(ARPA)建立,距今已经有42年的历史。

          而世界上已知的第一个电脑病毒Elk Cloner诞生于1982年,将近有三十年的历史。Elk Cloner第一次出现在苹果电脑中,这个由Rich Skrenta编写的恶作剧程序。当Elk Cloner发作时,电脑屏幕上会现出这么一段富有诗意的韵文:

          It will get on all your disks

          It will infiltrate your chips

          Yes, it's Cloner!

          It will stick to you like glue

          It will modify RAM too

          Send in the Cloner!

          说到病毒,就不得不提寄生宿主计算机,同样说到计算机更离不开将其作用升华的互联网。从世界上第一台电脑诞生到第一个网络建立用了23年的漫长岁月,而从第一个网络到第一个病毒诞生仅用了13年的时间。

          作为“80后”的病毒,在其发展不到30年的历程中,其表现形式千奇百怪、寄主也呈现出无孔不入的境界。随着互联网的不断普及、移动终端的形式多样,病毒的大规模感染已经成为常态,每年我们都能听到各种新的威胁,例如耗尽您的银行账户,带动百万台PC实行拒绝服务等等。计算机病毒一直在继续演变,安全产品需要有更聪明的办法来处理威胁。

          .exe可执行文件病毒依旧火热

          可执行程序一种可在操作系统存储空间中浮动定位的可执行程序。MS-DOS和MS-Windows下,此类文件扩展名为.exe,Windows操作系统中的二进制可执行文件,可执行文件分两种一种是后辍名为.com另一种就是.exe。exe 文件比较复杂,每个exe文件都包含一个文件头和一个可重定位程序映象。

          在这个Windows操作系统依旧火热的年代,可执行文件.exe成为安装程序的代名词,随着移动设备的不断普及,.exe同样也成为黑客关注的目标。下面的这种情况也许好多人都有所经历,一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中**是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当插入U盘后,它会把原文件夹隐藏,同时建立同名的exe文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。

          病毒名称:Worm.Win32.AutoRun.soq

          病毒类型:蠕虫类

          危害级别:3

          感染平台:Windows

          病毒行为:

          1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面

          2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R

          注册表值:XP-290F2C69(后8位随机)

          类型:REG_SZ

          值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)

          3、添加以下启动项,实现病毒自启动:

          “…\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“.lnk”指向病毒文件。

          4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:

          %Windir%\System32\winvcreg.exe

          %Windir%\System32\2080.EXE (名称随机)

          5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒,以达到病毒随移动磁盘传播的目的。

          这是一个非常典型的.exe病毒中毒过程与表现形式,俗话说:“树大招风”,庞大的Windows操作系统成就了.exe普及,.exe的普及致使病毒的肆意潜伏。安装必要的防护与查杀软件是应对这些“普及型”病毒的良方。

          白领爱上PDF 病毒成为“小三”

          PDF全称为可移植文档格式(Portable Document Format),是一种电子文件格式。PDF文件格式的最大特点是支持跨平台多媒体集成信息出版和发布,尤其是提供对网络信息发布的支持。这一优势性能使PDF成为在Internet上进行电子文档发行和数字化信息传播的理想文档格式,同时也成为企业白领最喜欢用的文件格式之一。PDF格式文件目前已成为数字化信息事实上的一个工业标准,越来越多的电子图书、产品说明、公司文告、网络资料、电子邮件开始使用PDF格式文件。

          基于纸版书质感、不依赖操作系统、易于储存传输等特点,PDF文件被广泛应用,因为其用户量大,早就成为黑客攻击的对象。早在2001年就曾发现一种叫做“桃色”(Peachy)的病毒可以利用PDF进行传播。只是因为它只会在生成PDF文件的软件Acrobat Distiller中出现,使用 Acrobat Reader阅读器的用户无须担心被传染而使多数人忘记了PDF的危险性。然而日前Acrobat Systems公司发出警告,在Windows、Mac OS X以及Unix版本的Acrobat软件中又新发现两个极度危险的安全漏洞。安全专家表示,这些Bug允许黑客通过散布在E-mail上的PDF文件,在用户系统执行恶意代码。利用该漏洞,黑客可以特别制作一个PDF文件放在网站上,当用户在浏览器中直接打开该文件时,可以在用户机器上执行任意代码。
     

          病毒不会放弃火辣辣的视频

          恶意程序感染计算机有多种途径,例如通过电子邮件、网页挂马、移动存储设备等。但是,大部分这些感染途径中都包括一个共同点,即诱骗用户点击或运行某个文件。近日,一个下载器木马采用了上述典型的感染手段。这种名为“诱惑视频”的下载器木马(Trojan-Dropper.Win32.Flystud.abo)会将自身伪装成一个颇具吸引力的视频文件,诱使用户点击运行,从而感染用户计算机。

          “诱惑视频”下载器木马本身为一个可执行文件,文件大小为35.4M,但其图标却显示为视频文件,欺骗性很强。如下图所示:

          此木马采用易语言编写。一旦计算机用户放松警惕,点击运行了此文件,确实会播放一段视频。但是,用户不知道的是,它还会在后台偷偷释放并运行多个恶意程序,释放位置为WINRAR文件夹下。如下图所示:

          其中,木马释放的释放的run.exe文件经卡巴斯基反病毒软件检测为Trojan.Win32.FlyStudio.vk木马,而svchost.exe则为Trojan.Win32.PopUpper.bh木马。这些恶意程序常驻系统内存,为计算机带来很大的危害。下图为正在运行的木马进程:

          不仅如此,此木马还会在创建启动项,随系统自动启动。并且自动连接远程服务器,下载更多恶意程序到受感染计算机,伺机窃取用户的机密信息,发送给远程黑客。

          养成良好的计算机使用习惯,不要轻易打开来历不明的文件。升级反病毒数据库,及时进行查杀,避免感染造成损失,这是我们日常行为中很容易培养的好习惯。
     

          图片不再纯洁! 图片也会捆绑恶意程序

          有一种名为“图片伪装者”(Trojan-PSW.Win32.LdPinch.fi)的恶意程序非常具有代表性。“图片伪装者”本身是一个可执行程序,但是会伪装成一个普通的图片文件。用户如果不慎点击运行就会激活病毒并被此病毒感染,此时被感染的计算机就会在前台显示一个图片。“图片伪装者”被用户运行后,它会将自身拷贝到计算机,同时还释放其他两种恶意程序。其中一个名为Trojan-Dropper.Win32.Pincher.hp,是一种下载器木马,会下载大量其他恶意程序到被感染的计算机中。另一个则为Email-Worm.Win32.Monikey.j,是一种电子邮件蠕虫,它会通过被感染计算机中的邮件系统将“图片伪装者”发送给其他联系人,造成规模更大的感染。此外,“图片伪装者”还会关闭和终止系统上安装的除卡巴斯基安全软件以外的其他反病毒软件。从而最终实现,盗取被感染计算机上的用户隐私信息并发送给远程操控该病毒的黑客。

          后记

          因为Windows用户庞大,病毒盯上了exe文件;因为PDF与图片的应用之广,黑客抓住了PDF与图片文件;因为视频的传播之快,病毒沾上了视频。随着企业应用不断深化,设备的不断多样化,病毒寄生的方式也会有所改变与拓展。这是一个好的社会,也是一个不好的社会,黑客与安全同行,漏洞与攻击同在,貌似呈现此消彼长的过程,但是这个过程正在推动软件趋于完善。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多