http://www.beareyes.com.cn/2/lib/200707/09/20070709279.htm&cid=1114290718&ei=GveRRvaaNJGIqwO_3qzWCw
2007上半年病毒疫情及互聯網安全報告
2007年上半年,電腦病毒異常活躍,木馬、蠕蟲、駭客後門等輪番攻擊互聯網,從熊貓燒香、灰鴿子到蠕蟲艾妮、AV終結者,重大惡性病毒頻繁發作,危害程度也在逐步加強,互聯網安全面臨的威脅更加嚴峻。
一、2007年上半年中國電腦病毒疫情及互聯網安全總體狀況分析
2007年上半年,電腦病毒延續了06年以來的高速增長勢頭,金山毒霸共截獲新增病毒樣本總計111,474種,與去年同期增加了23%。其中木馬病毒新增數占總病毒新增數的68.71%,高達76593種;AV終結者病毒因其危害程度以及感染率均名列榜首,所以成為名副其實的2007年上半年“毒”王。
在上半年新增的木馬中,盜號木馬是最嚴重的一類木馬,占到木馬總數的76.04%,高達58245種。而蠕蟲、下載木馬、腳本漏洞病毒幾乎都是為盜號木馬來服務的,其目的就是通過自身傳播能力、攻擊能力,將自身做為載體將盜號木馬安裝到使用者系統中。
此外,惡意軟體在近年來嚴打中和各大廠商的正規化動作後,已經開始慢慢萎縮,因此只占到3.51%,常見的一些惡意軟體也主要是服務於色情網站和投票網站。駭客後門病毒仍是互聯網最大的隱患之一,也是駭客們互相爭奪的資源之一,誰用駭客後門控制的“肉雞”越多,能獲得的經濟利益也越大,更有些作者將此類病毒在互聯網中公開叫賣,這也是駭客後門病毒大量新增的原因之一。
二、2007年上半年電腦病毒/木馬特點分析
1、 互聯網進入木馬/病毒經濟時代
自2006年起,偷、騙、搶就已成為資訊網路安全的三大威脅。而盜號木馬、駭客後門病毒已經成為大多數職業病毒作者生財工具。木馬/病毒背後的巨大的灰色產業鏈給整個互聯網帶來了更加嚴峻的考驗。不管是網銀中真實的錢,還是虛擬財產,製造木馬、傳播木馬、盜竊帳戶資訊、協力廠商平臺銷贓、洗錢,分工明確,形成了一個非常完善的流水性作業的程式。
以“灰鴿子”木馬為例,據不完全統計,僅僅“灰鴿子”一種後門所帶來的直接售賣價值就達2000萬以上。木馬的製造者本身並不參與“賺錢”,病毒編寫完畢後,大量的“大蝦”開始招募“徒弟”,教授木馬病毒控制技術和盜號技術,收取“培訓費”,之後往往將“徒弟”發展為下線(也就是其代理商或分銷商),以輔助完成其他牟利活動。“灰色產業鏈”可能將病毒製作引領為一種產業。下圖為木馬產業鏈的示意圖,可充分說明“灰色產業鏈”的運作過程:
2、網頁掛馬與ARP欺騙危害加劇
網頁掛馬問題在2007年上半年已經出現了爆炸式的增長。據中國工程院院士、資訊網路與資訊安全專家方濱興在《網路與資訊安全》專題講座中介紹,國家資訊安全中心對今年前5個月大陸網站統計,駭客成功攻擊次數有34331次,為歷年最高,而湖南省一個地區被駭客攻擊的網站就多達30餘家。網站的防護能力不足是網頁掛馬頻頻出現的重要原因之一。
ARP欺騙技術在今年得到進一步成熟。早期的ARP欺騙用於惡作劇,在局域網中控制某台電腦不能上網等現象,發展到嗅探局域網中流傳的機密資訊,到今天的輔助網頁掛馬,可以讓一個都會區網路受到網頁掛馬的攻擊。其現象是,如果某個都會區網路的閘道受到了ARP欺騙的攻擊,那麼在此都會區網路中所有的用戶在訪問任何網頁,都會發現這些網頁都被插入了掛馬的腳本。下圖是受到攻擊後訪問正常頁面時的圖示:
請注意Google的主頁並沒有被黑或被掛馬,出現的原因主要是都會區網路中的閘道受到了ARP欺騙的攻擊。此種技術的要點就是感染一台系統就可導致所用用戶受到網頁掛馬的攻擊。
面對網頁掛馬的危害極劇加重,金山毒霸研發部潛心研究,已經獲得階段性成果,將在七月中發佈一個專門針對網頁掛馬的網頁防掛馬工具,以期減少掛馬攻擊對用戶的侵害。
3、“0Day漏洞”讓微軟防不勝防
上半年利用“0Day漏洞”進行傳播的病毒頻繁出現,以“艾妮”為例,利用微軟漏洞進行傳播,對包括Vista在內的Windows 所有用戶造成嚴重威脅,成為首個利用“0Day漏洞”傳播,造成了大面積感染的的病毒。
“0Day漏洞”是指微軟官方未發現或未發佈修補補丁的漏洞。早在去年就出現過多起針對微軟office 的“0Day漏洞”的病毒。由於這些漏洞的自身限制未能造成大面積的用戶受害,直到“ANI漏洞”的出現。“0Day漏洞”所帶來的危害遠遠超過普通系統漏洞。用戶沒有辦法在第一時間尋找最有效的解決方法,一般只能採取避讓或禁用系統功能的方法來減少漏洞帶來的危害。“0Day漏洞”對安全界提出了更高的安全需求,更是軟體發展者必須重視的軟體品質問題。
2007年,金山毒霸結合流行蠕蟲的傳播特點,在反病毒工程師的集體努力下,成功找到了一個抵禦蠕蟲病毒的最佳解決方案——流行蠕蟲免疫功能。面對熊貓燒香等惡性蠕蟲的猛烈攻擊,金山毒霸以實用性的技術贏得了用戶的好評。
針對利用微軟“0Day”漏洞傳播的“艾妮”病毒,金山毒霸搶先推出“ANI漏洞免疫”功能,及時有效的在毒霸使用者群中阻止了病毒的流行。“ANI漏洞”與網頁掛馬配合,直到補丁發佈以後,仍然在互聯網中肆虐。利用沒有補丁的漏洞,將是高級病毒發展的重要趨勢。
4、病毒/木馬瘋狂反撲,病毒/木馬商業化運作出現團隊化協同方式。
伴隨著安全廠商對病毒的剿殺,病毒製作者開始想方設法逃避殺毒軟體的追殺,甚至從技術的角度對殺毒軟體進行攻擊。
以“AV終結者”為例,該病毒最大的特點就是採用多種方式對抗最流行的安全軟體,對反病毒軟體發起了瘋狂的反撲,同時也充分體現了病毒/木馬商業化、團隊協作的跡象。
首先,傳播病毒。使用駭客技術攻擊網站、閘道伺服器,致使大量用戶遭遇網頁掛馬的攻擊;或是利用U盤去感染一些企業的局域網、網吧或社區寬頻;或是利用現有的病毒技術——蠕蟲傳播、檔感染作為載體來安裝“AV終結者”,以達到最終目的——提高病毒的感染量。
然後,利用“AV終結者”終止所有反病毒軟體。致使使用者電腦的安全系統遭遇徹底破壞,而後開始大規模的下載盜號木馬,並能不斷的更新升級自己。這個團隊的另一部份人採用當今最流行的互聯網技術,只需在服務端做一些配置的改動,就可讓病毒自動下載任意的程式(病毒/木馬)。
最後,通過盜號木馬盜取使用者的網路財產,獲得經濟利益。如在“魔獸世界”中的一個貨幣單位G,就價值人民幣0.07元,多數高級玩家已經獲得幾十萬G的成果,一旦被盜可能就是上千元的經濟損失。
5、病毒的變種數量已經成為衡量其危害性的新標準。
單一病毒感染的電腦數量不再是衡量其危害性的標準值,頻繁生成的變種已成為加速病毒傳播的有效手段。
正如2006年末所預計的那樣,2007年出現了大量新(變種)病毒。現在的流行病毒製作者不再寄期望於某一種或某一類病毒進行大面積傳播和感染,而是依靠其變種數量,通過更多的傳播手段,更多的參與者,採取“廣撒網多捕魚”的戰術,將數量眾多的病毒感染到使用者系統中。每個病毒變種能有上百位用戶感染,它就已經獲得了成功。連續兩年來的大面積病毒數量充分的說明了這一點。
十大病毒簡介
1、AV終結者
一個專門與殺毒軟體對抗,破壞使用者電腦的安全防護系統,並在使用者電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒。
病毒碼:殺毒軟體不能正常運行,IE搜索與“殺毒”相關的關鍵字,流覽器窗口會被關閉。病毒還採用映射劫持、破壞系統安全模式、阻止顯示隱藏檔、關閉windows安全中心和Windows防火牆、刪除殺毒軟體註冊表記錄等技術手段對抗安全軟體。病毒最終目的是下載大量盜號木馬和後門程式。AV終結者病毒指的是一批具備這些特徵的病毒、木馬和蠕蟲的集合。
2、熊貓燒香
一個讓線民身受其害,極為囂張的惡性蠕蟲病毒。伴隨著病毒作者的落網,又引發了線民對病毒背後黑色產業鏈的討論。
病毒碼:“熊貓燒香”蠕蟲不但可以對使用者系統進行破壞,導致大量應用軟體無法使用,而且還可刪除副檔名為gho的所有檔,造成使用者的系統備份檔案丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟體進程,大大降低使用者系統的安全性。
3、灰鴿子
這是一個“中國製造”的隱蔽性極強的木馬,連續數年被反病毒廠商列為年度十大病毒。用戶一旦被入侵,電腦將淪為肉雞,任人宰割。
病毒碼:使用遠端注入、Ring3級Rookit等手段達到隱藏自身的目的。一般它會被人蓄意捆綁到一些所謂的免費軟體中,並放到互聯網上,誘騙用戶下載。因為其具有很強的隱蔽性,所以用戶一旦從不知名網站下載並誤運行了這些軟體,機器就會被控制,而且很難發覺。攻擊者可以對感染機器進行多種任務操作,如檔操作、註冊表操作、強行視頻等等。
4、艾妮
“艾妮”病毒集熊貓燒香、維金兩大病毒危害於一身,傳播性與破壞性極強,而且利用微軟Oday漏洞傳播,大量用戶身受其害。
病毒碼:艾妮是一個Win32平臺下的感染型蠕蟲,可感染本地磁片、抽取式磁碟及共用目錄中大小在10K---10M之間的所有.exe文件,感染副檔名為.ASP、.JSP、PHP、HTM、ASPX、HTML的指令檔,並可連接網路下載其他病毒。
5、QQ尾巴
QQ尾巴自誕生以來衍生出大量的變種,某些變種會添加到起始項,修改檔關聯,禁用進程管理器,關閉大量的安全軟體,對使用者系統安全性能帶來極大威脅。
病毒碼:該病毒是一個利用了IE漏洞在一些知名度不甚高的網站首頁上嵌入了一段惡意程式碼,在用戶使用QQ向好友發送資訊的時候,該木馬程式會自動在發送的消息末尾插入一段廣告詞,誘騙用戶點擊,從而達到侵入使用者系統,進而借助QQ進行垃圾資訊發送的目的。該病毒每隔幾分鐘就會發送一次欺騙消息,嚴重干擾了使用者正常的資訊傳遞。而該資訊是隱藏的,發送方並不知道。
6、魔獸木馬
一類盜取“魔獸世界”遊戲帳號和密碼的木馬。
病毒碼:運行後,會把自己拷貝到windows下並添加登錄開機項。病毒會不斷的尋找WOW的遊戲登錄,一但發現,通過鉤子讀取用戶輸入的遊戲帳號與密碼,並把它們發送到木馬種植者的郵箱中去;此外,它還會記錄並發送使用者在遊戲中的活動情況。
7、征途木馬
一類盜取“征途”遊戲帳號和密碼的木馬。
病毒碼:病毒運行時會監控征途遊戲登陸視窗,並且記錄鍵盤資訊,把所竊取的資訊通過其自身所帶的郵件引擎發送到駭客指定郵箱中。
8、維金變種
一個讓企業使用者頭疼的蠕蟲病毒,集成“可執行檔感染”、“網路感染”、“下載網路木馬及其它病毒”的複合型病毒,若使用者不幸感染該病毒,將會面臨系統癱瘓、網銀、網遊帳號被盜、重要資訊洩漏等多重威脅。
病毒碼:病毒將自身注入到使用者電腦的IE進程裡,同時終止多個殺毒軟體的監控進程,並連接到指定的惡意網站,下載盜號木馬或者其他感染型病毒,進一步侵害使用者的電腦系統,不但導致使用者的系統硬碟的資料和資料檔案被損壞,而且有可能出現使用者的電腦資料外泄和網路虛擬財產被盜等現象。
9、網遊盜號木馬
一個盜取網路遊戲的遊戲帳號的木馬病毒。該病毒跟一般遊戲盜號木馬相似,它會潛伏在受感染的電腦系統中,伺機搜尋並注入遊戲進程,竊取有效資訊,並將其發送給木馬種植者,造成用戶的虛擬財產的損失。此外,它還能終止特定的安全軟體的監控進程和服務,導致電腦的安全性能下降。
病毒碼:該病毒運行後,會自動釋放upxdnd.exe和upxdnd.dll病毒檔,修改註冊表,實現隨開機自動啟動。終止Twister.exe,FilMsg.exe和RavMon.exe等安全軟體的監控進程。
10、羅姆
一個導致大量安全軟體運行失敗,即便是將病毒解決掉以後,還是會發現殺毒軟體不能運行,下載大量盜號木馬到使用者電腦來盜取使用者的帳號資訊的病毒。
病毒碼:釋放病毒檔並創建註冊表項來使病毒檔隨系統而啟動;嘗試刪除以下註冊表項來防止其它病毒的干擾;將病毒檔romdrivers.dll注入到explorer進程中,然後通過explorer來連接網路進行病毒自更新,下載大量盜號木馬到使用者電腦來盜取使用者的帳號資訊;發送大量的ARP欺騙資料包,嚴重影響局域網,造成局域網網路阻塞並導致企業網路中斷。
2007上半年病毒疫情及互聯網安全報告
2007年上半年,電腦病毒異常活躍,木馬、蠕蟲、駭客後門等輪番攻擊互聯網,從熊貓燒香、灰鴿子到蠕蟲艾妮、AV終結者,重大惡性病毒頻繁發作,危害程度也在逐步加強,互聯網安全面臨的威脅更加嚴峻。
一、2007年上半年中國電腦病毒疫情及互聯網安全總體狀況分析
2007年上半年,電腦病毒延續了06年以來的高速增長勢頭,金山毒霸共截獲新增病毒樣本總計111,474種,與去年同期增加了23%。其中木馬病毒新增數占總病毒新增數的68.71%,高達76593種;AV終結者病毒因其危害程度以及感染率均名列榜首,所以成為名副其實的2007年上半年“毒”王。
在上半年新增的木馬中,盜號木馬是最嚴重的一類木馬,占到木馬總數的76.04%,高達58245種。而蠕蟲、下載木馬、腳本漏洞病毒幾乎都是為盜號木馬來服務的,其目的就是通過自身傳播能力、攻擊能力,將自身做為載體將盜號木馬安裝到使用者系統中。
此外,惡意軟體在近年來嚴打中和各大廠商的正規化動作後,已經開始慢慢萎縮,因此只占到3.51%,常見的一些惡意軟體也主要是服務於色情網站和投票網站。駭客後門病毒仍是互聯網最大的隱患之一,也是駭客們互相爭奪的資源之一,誰用駭客後門控制的“肉雞”越多,能獲得的經濟利益也越大,更有些作者將此類病毒在互聯網中公開叫賣,這也是駭客後門病毒大量新增的原因之一。
二、2007年上半年電腦病毒/木馬特點分析
1、 互聯網進入木馬/病毒經濟時代
自2006年起,偷、騙、搶就已成為資訊網路安全的三大威脅。而盜號木馬、駭客後門病毒已經成為大多數職業病毒作者生財工具。木馬/病毒背後的巨大的灰色產業鏈給整個互聯網帶來了更加嚴峻的考驗。不管是網銀中真實的錢,還是虛擬財產,製造木馬、傳播木馬、盜竊帳戶資訊、協力廠商平臺銷贓、洗錢,分工明確,形成了一個非常完善的流水性作業的程式。
以“灰鴿子”木馬為例,據不完全統計,僅僅“灰鴿子”一種後門所帶來的直接售賣價值就達2000萬以上。木馬的製造者本身並不參與“賺錢”,病毒編寫完畢後,大量的“大蝦”開始招募“徒弟”,教授木馬病毒控制技術和盜號技術,收取“培訓費”,之後往往將“徒弟”發展為下線(也就是其代理商或分銷商),以輔助完成其他牟利活動。“灰色產業鏈”可能將病毒製作引領為一種產業。下圖為木馬產業鏈的示意圖,可充分說明“灰色產業鏈”的運作過程:
2、網頁掛馬與ARP欺騙危害加劇
網頁掛馬問題在2007年上半年已經出現了爆炸式的增長。據中國工程院院士、資訊網路與資訊安全專家方濱興在《網路與資訊安全》專題講座中介紹,國家資訊安全中心對今年前5個月大陸網站統計,駭客成功攻擊次數有34331次,為歷年最高,而湖南省一個地區被駭客攻擊的網站就多達30餘家。網站的防護能力不足是網頁掛馬頻頻出現的重要原因之一。
ARP欺騙技術在今年得到進一步成熟。早期的ARP欺騙用於惡作劇,在局域網中控制某台電腦不能上網等現象,發展到嗅探局域網中流傳的機密資訊,到今天的輔助網頁掛馬,可以讓一個都會區網路受到網頁掛馬的攻擊。其現象是,如果某個都會區網路的閘道受到了ARP欺騙的攻擊,那麼在此都會區網路中所有的用戶在訪問任何網頁,都會發現這些網頁都被插入了掛馬的腳本。下圖是受到攻擊後訪問正常頁面時的圖示:
請注意Google的主頁並沒有被黑或被掛馬,出現的原因主要是都會區網路中的閘道受到了ARP欺騙的攻擊。此種技術的要點就是感染一台系統就可導致所用用戶受到網頁掛馬的攻擊。
面對網頁掛馬的危害極劇加重,金山毒霸研發部潛心研究,已經獲得階段性成果,將在七月中發佈一個專門針對網頁掛馬的網頁防掛馬工具,以期減少掛馬攻擊對用戶的侵害。
3、“0Day漏洞”讓微軟防不勝防
上半年利用“0Day漏洞”進行傳播的病毒頻繁出現,以“艾妮”為例,利用微軟漏洞進行傳播,對包括Vista在內的Windows 所有用戶造成嚴重威脅,成為首個利用“0Day漏洞”傳播,造成了大面積感染的的病毒。
“0Day漏洞”是指微軟官方未發現或未發佈修補補丁的漏洞。早在去年就出現過多起針對微軟office 的“0Day漏洞”的病毒。由於這些漏洞的自身限制未能造成大面積的用戶受害,直到“ANI漏洞”的出現。“0Day漏洞”所帶來的危害遠遠超過普通系統漏洞。用戶沒有辦法在第一時間尋找最有效的解決方法,一般只能採取避讓或禁用系統功能的方法來減少漏洞帶來的危害。“0Day漏洞”對安全界提出了更高的安全需求,更是軟體發展者必須重視的軟體品質問題。
2007年,金山毒霸結合流行蠕蟲的傳播特點,在反病毒工程師的集體努力下,成功找到了一個抵禦蠕蟲病毒的最佳解決方案——流行蠕蟲免疫功能。面對熊貓燒香等惡性蠕蟲的猛烈攻擊,金山毒霸以實用性的技術贏得了用戶的好評。
針對利用微軟“0Day”漏洞傳播的“艾妮”病毒,金山毒霸搶先推出“ANI漏洞免疫”功能,及時有效的在毒霸使用者群中阻止了病毒的流行。“ANI漏洞”與網頁掛馬配合,直到補丁發佈以後,仍然在互聯網中肆虐。利用沒有補丁的漏洞,將是高級病毒發展的重要趨勢。
4、病毒/木馬瘋狂反撲,病毒/木馬商業化運作出現團隊化協同方式。
伴隨著安全廠商對病毒的剿殺,病毒製作者開始想方設法逃避殺毒軟體的追殺,甚至從技術的角度對殺毒軟體進行攻擊。
以“AV終結者”為例,該病毒最大的特點就是採用多種方式對抗最流行的安全軟體,對反病毒軟體發起了瘋狂的反撲,同時也充分體現了病毒/木馬商業化、團隊協作的跡象。
首先,傳播病毒。使用駭客技術攻擊網站、閘道伺服器,致使大量用戶遭遇網頁掛馬的攻擊;或是利用U盤去感染一些企業的局域網、網吧或社區寬頻;或是利用現有的病毒技術——蠕蟲傳播、檔感染作為載體來安裝“AV終結者”,以達到最終目的——提高病毒的感染量。
然後,利用“AV終結者”終止所有反病毒軟體。致使使用者電腦的安全系統遭遇徹底破壞,而後開始大規模的下載盜號木馬,並能不斷的更新升級自己。這個團隊的另一部份人採用當今最流行的互聯網技術,只需在服務端做一些配置的改動,就可讓病毒自動下載任意的程式(病毒/木馬)。
最後,通過盜號木馬盜取使用者的網路財產,獲得經濟利益。如在“魔獸世界”中的一個貨幣單位G,就價值人民幣0.07元,多數高級玩家已經獲得幾十萬G的成果,一旦被盜可能就是上千元的經濟損失。
5、病毒的變種數量已經成為衡量其危害性的新標準。
單一病毒感染的電腦數量不再是衡量其危害性的標準值,頻繁生成的變種已成為加速病毒傳播的有效手段。
正如2006年末所預計的那樣,2007年出現了大量新(變種)病毒。現在的流行病毒製作者不再寄期望於某一種或某一類病毒進行大面積傳播和感染,而是依靠其變種數量,通過更多的傳播手段,更多的參與者,採取“廣撒網多捕魚”的戰術,將數量眾多的病毒感染到使用者系統中。每個病毒變種能有上百位用戶感染,它就已經獲得了成功。連續兩年來的大面積病毒數量充分的說明了這一點。
十大病毒簡介
1、AV終結者
一個專門與殺毒軟體對抗,破壞使用者電腦的安全防護系統,並在使用者電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒。
病毒碼:殺毒軟體不能正常運行,IE搜索與“殺毒”相關的關鍵字,流覽器窗口會被關閉。病毒還採用映射劫持、破壞系統安全模式、阻止顯示隱藏檔、關閉windows安全中心和Windows防火牆、刪除殺毒軟體註冊表記錄等技術手段對抗安全軟體。病毒最終目的是下載大量盜號木馬和後門程式。AV終結者病毒指的是一批具備這些特徵的病毒、木馬和蠕蟲的集合。
2、熊貓燒香
一個讓線民身受其害,極為囂張的惡性蠕蟲病毒。伴隨著病毒作者的落網,又引發了線民對病毒背後黑色產業鏈的討論。
病毒碼:“熊貓燒香”蠕蟲不但可以對使用者系統進行破壞,導致大量應用軟體無法使用,而且還可刪除副檔名為gho的所有檔,造成使用者的系統備份檔案丟失,從而無法進行系統恢復;同時該病毒還能終止大量反病毒軟體進程,大大降低使用者系統的安全性。
3、灰鴿子
這是一個“中國製造”的隱蔽性極強的木馬,連續數年被反病毒廠商列為年度十大病毒。用戶一旦被入侵,電腦將淪為肉雞,任人宰割。
病毒碼:使用遠端注入、Ring3級Rookit等手段達到隱藏自身的目的。一般它會被人蓄意捆綁到一些所謂的免費軟體中,並放到互聯網上,誘騙用戶下載。因為其具有很強的隱蔽性,所以用戶一旦從不知名網站下載並誤運行了這些軟體,機器就會被控制,而且很難發覺。攻擊者可以對感染機器進行多種任務操作,如檔操作、註冊表操作、強行視頻等等。
4、艾妮
“艾妮”病毒集熊貓燒香、維金兩大病毒危害於一身,傳播性與破壞性極強,而且利用微軟Oday漏洞傳播,大量用戶身受其害。
病毒碼:艾妮是一個Win32平臺下的感染型蠕蟲,可感染本地磁片、抽取式磁碟及共用目錄中大小在10K---10M之間的所有.exe文件,感染副檔名為.ASP、.JSP、PHP、HTM、ASPX、HTML的指令檔,並可連接網路下載其他病毒。
5、QQ尾巴
QQ尾巴自誕生以來衍生出大量的變種,某些變種會添加到起始項,修改檔關聯,禁用進程管理器,關閉大量的安全軟體,對使用者系統安全性能帶來極大威脅。
病毒碼:該病毒是一個利用了IE漏洞在一些知名度不甚高的網站首頁上嵌入了一段惡意程式碼,在用戶使用QQ向好友發送資訊的時候,該木馬程式會自動在發送的消息末尾插入一段廣告詞,誘騙用戶點擊,從而達到侵入使用者系統,進而借助QQ進行垃圾資訊發送的目的。該病毒每隔幾分鐘就會發送一次欺騙消息,嚴重干擾了使用者正常的資訊傳遞。而該資訊是隱藏的,發送方並不知道。
6、魔獸木馬
一類盜取“魔獸世界”遊戲帳號和密碼的木馬。
病毒碼:運行後,會把自己拷貝到windows下並添加登錄開機項。病毒會不斷的尋找WOW的遊戲登錄,一但發現,通過鉤子讀取用戶輸入的遊戲帳號與密碼,並把它們發送到木馬種植者的郵箱中去;此外,它還會記錄並發送使用者在遊戲中的活動情況。
7、征途木馬
一類盜取“征途”遊戲帳號和密碼的木馬。
病毒碼:病毒運行時會監控征途遊戲登陸視窗,並且記錄鍵盤資訊,把所竊取的資訊通過其自身所帶的郵件引擎發送到駭客指定郵箱中。
8、維金變種
一個讓企業使用者頭疼的蠕蟲病毒,集成“可執行檔感染”、“網路感染”、“下載網路木馬及其它病毒”的複合型病毒,若使用者不幸感染該病毒,將會面臨系統癱瘓、網銀、網遊帳號被盜、重要資訊洩漏等多重威脅。
病毒碼:病毒將自身注入到使用者電腦的IE進程裡,同時終止多個殺毒軟體的監控進程,並連接到指定的惡意網站,下載盜號木馬或者其他感染型病毒,進一步侵害使用者的電腦系統,不但導致使用者的系統硬碟的資料和資料檔案被損壞,而且有可能出現使用者的電腦資料外泄和網路虛擬財產被盜等現象。
9、網遊盜號木馬
一個盜取網路遊戲的遊戲帳號的木馬病毒。該病毒跟一般遊戲盜號木馬相似,它會潛伏在受感染的電腦系統中,伺機搜尋並注入遊戲進程,竊取有效資訊,並將其發送給木馬種植者,造成用戶的虛擬財產的損失。此外,它還能終止特定的安全軟體的監控進程和服務,導致電腦的安全性能下降。
病毒碼:該病毒運行後,會自動釋放upxdnd.exe和upxdnd.dll病毒檔,修改註冊表,實現隨開機自動啟動。終止Twister.exe,FilMsg.exe和RavMon.exe等安全軟體的監控進程。
10、羅姆
一個導致大量安全軟體運行失敗,即便是將病毒解決掉以後,還是會發現殺毒軟體不能運行,下載大量盜號木馬到使用者電腦來盜取使用者的帳號資訊的病毒。
病毒碼:釋放病毒檔並創建註冊表項來使病毒檔隨系統而啟動;嘗試刪除以下註冊表項來防止其它病毒的干擾;將病毒檔romdrivers.dll注入到explorer進程中,然後通過explorer來連接網路進行病毒自更新,下載大量盜號木馬到使用者電腦來盜取使用者的帳號資訊;發送大量的ARP欺騙資料包,嚴重影響局域網,造成局域網網路阻塞並導致企業網路中斷。
資訊安全 (4)
