1. 截止到現在國內出現的一些計算機病毒!
CIH病毒,以前很出名的一款病毒,是台灣的一個學生編寫的程序,被人利用做成病毒,這個病毒是迄今為止最強的病毒,從此之後從沒有超越的,破壞硬碟的病毒。
沖擊波,然windows 倒計時重啟。 威金,包括熊貓燒香......
切忌:灰鴿子,QQ阿拉大盜這些不屬於病毒,屬於木馬。一定要搞清楚病毒的定位。
下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的Windows操作系統):
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網路的特性。比如沖擊波(阻塞網路),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏,然後向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程式控制制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整灶脊合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網路游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網路梟雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)——可不是我們的老大代碼兄哦 ^_^。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這里單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴,橋辯尺格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。
6、後門病毒
後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網路傳播,給系統開後門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。
7、病毒種植程序病毒
這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞敏高性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等
2. 我國出現計算機病毒是哪一年
我國第一例計算機病毒出現在1988年。我國的首例計算機病毒是小球病毒,當系統時鍾處於半點或整點,系統又正在進行讀盤操作時,該病毒就會發作,在屏幕上出現一個小球,不停地跳動。
我國的第一台電子計算機誕生於緩模梁1958年,我國的第一個計算機技術研究所於1957年開始籌建擾運。
1958年8月1 日中科院研製的數字電子計算機可以表演短程序運行,這標志我國第一台電子計算機誕生。
2002年8月10日,我國成功製造出首枚高性能碼早通用cpu——龍芯一號,打破了中國將近二十年的無「芯」歷史。
3. 電腦病毒的歷史
大家對電腦病毒的歷史了解多少呢?深刻地認識病毒,是提高我們的安全意識,所以,我為大家講解下。下面是我為你整理相關的內容,希望大家喜歡!
電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義。該年,Rich Skerta 撰寫了一個名為"Elk Cloner"的電腦程式,使其成為了電腦病毒史上第一種感染個人電腦(Apple II )的電腦病毒,它以軟磁碟作傳播媒介,破壞程度可說是相當輕微,受感染電腦只會在螢光幕上顯示一段小小的詩句:
"It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
1984 ― 電腦病毒正式被定義
Fred Cohen於一九八四發表了一篇名為"電腦病毒 ― 理論與悶襲此實驗(Computer Viruses ― Theory and Experiments)"的文章,當中除了為"電腦病毒"一詞下了明確的定義外,也描述了他與其他專家對電腦病毒研究的實驗成果。
1986 ― 首種廣泛傳播於MS-DOS 個人電腦系統的電腦病毒
首宗惡意並廣泛傳播的電腦病毒始於一九八六年,該種電腦病毒名為"腦(Brain) ",由兩位巴基斯坦籍的兄弟所編寫,能破壞電腦的起動區(boot-sector),亦被視為第一隻能透過自我隱藏來逃避偵測的病毒。
1987 ― 檔案感染型病毒 (Lehigh 和 聖誕蟲 Christmas Worm)
一九八七年,Lehigh 病毒於美國Lehigh 大學被發現,是首隻檔案感染型病毒(File infectors)。檔案感染型病毒主要通過感染 .COM 檔案和 .EXE檔案,來破壞資料、損毀檔案配置表(FAT)或在染毒檔案執行的過程中感染其它程螞迅式。
1988 ― 首種Macintosh 電腦病毒的出現以及CERT組織的成立
第一種襲擊麥金塔(Macintosh)電腦的病毒 MacMag在這年出現,而"互聯網蟲"(Internet Worm) 亦引起了第一波的互聯網危機。同年,世界第一隊電腦保安事故應變隊伍(Computer Security Response Team)成立並不斷發展,也就演變成為今天著名的電腦保安事故應變隊伍協調中心(CERTR Coordination Center ,簡稱CERTR/CC)。
1990 ― 首個病毒交流布告欄上線和防毒產品禪判的出現
首個病毒交流布告欄(Virus Exchange Bulle:
tin Board Service, 簡稱VX BBS)於保加利亞上線,藉以給病毒編程者交換病毒程式碼及心得。同年,防毒產品如McAfee Scan等開始粉墨登場。
1995 ― 巨集病毒的出現
在windows 95 作業平台初出現時,運行於DOS作業系統的電腦病毒仍然是電腦病毒的主流,而這些以DOS為本的病毒往往未能復制到windows 95 作業平台上運行。不過,正當電腦用家以為可以松一口氣的時候,於一九九五年年底,首種運行於 MS-Word工作環境的巨集病毒(Macro Virus),也正式面世。
1996 ― Windows 95 繼續成為襲擊目標, Linux 作業平台也不能倖免
這年,巨集病毒Laroux成為首隻侵襲MS Excel 檔案的巨集病毒。而Staog 則是首隻襲擊Linux 作業平台的電腦病毒。
1998 - Back Orifice
Back Orifice 讓駭客透過互聯網在未授權的情況下遙距操控另一部電腦,此病毒的命名也開了微軟旗下的Microsoft's Back Office產品一個玩笑。
1999 ― 梅莉莎 (Melissa) 及 CIH 病毒
梅莉莎為首種混合型的巨集病毒 —它透過襲擊MS Word作台階,再利用MS Outlook及Outlook Express內的地址簿,將病毒透過電子郵件廣泛傳播。該年四月,CIH 病毒爆發,全球超過6000萬台電腦被破壞。
2000 ― 拒絕服務 (Denial of Service) 和戀愛郵件 (Love Letters) "I Love You"
是次拒絕服務襲擊規模很大,致使雅虎、亞馬遜書店等主要網站服務癱瘓。同年,附著"I Love You"電郵傳播的Visual Basic 腳本病毒檔更被廣泛傳播,終令不少電腦用戶明白到小心處理可疑電郵的重要性。該年八月,首隻運行於Palm 作業系統的木馬(Trojan) 程式―"自由破解(Liberty Crack)",也終於出現了。這個木馬程式以破解Liberty (一個運行於Palm 作業系統的Game boy 模擬器)作誘餌,致使用戶在無意中把這病毒透過紅外線資料交換或以電郵的形式在無線網中把病毒傳播。
2002 ― 強勁多變的混合式病毒: 求職信(Klez) 及 FunLove
"求職信"是典型的混合式病毒,它除了會像傳統病毒般感染電腦檔案外,同時亦擁有蠕蟲(worm) 及木馬程式的特徵。它利用了微軟郵件系統自動運行附件的安全漏洞,藉著耗費大量的系統資源,造成電腦運行緩慢直至癱瘓。該病毒除了以電子郵件作傳播途徑外,也可透過網路傳輸和電腦硬碟共享把病毒散播。
自一九九九年開始,Funlove 病毒已為伺服器及個人電腦帶來很大的煩腦,受害者中不乏著名企業。一旦被其感染,電腦便處於帶毒運行狀態,它會在創建一個背景工作線程,搜索所有本地驅動器和可寫入的網路資源,繼而在網路中完全共享的文件中迅速地傳播。
2003 ― 沖擊波 (Blaster) and 大無極 (SOBIG)
"沖擊波"病毒於八月開始爆發,它利用了微軟作業系統Windows 2000 及Windows XP的保安漏洞,取得完整的使用者許可權在目標電腦上執行任何的程式碼,並透過互聯網,繼續攻擊網路上仍存有此漏洞的電腦。由於防毒軟體也不能過濾這種病毒,病毒迅速蔓延至多個國家,造成大批電腦癱瘓和網路連接速度減慢。
繼"沖擊波"病毒之後,第六代的"大無極"電腦病毒(SOBIG.F)肆虐,並透過電子郵件擴散。該"大無極" 病毒不但會偽造寄件人身分,還會根據電腦通訊錄內的資料,發出大量以 ‘Thank you!', ‘Re: Approved' 等為主旨的電郵外,此外,它也可以驅使染毒的電腦自動下載某些網頁,使編寫病毒的作者有機會竊取電腦用戶的個人及商業資料。
2004― 悲慘命運(MyDoom)、網路天空(NetSky)及震盪波(Sasser)
"悲慘命運"病毒於一月下旬出現,它利用電子郵件作傳播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作電郵主旨,誘使用戶開啟帶有病毒的附件檔。受感染的電腦除會自動轉寄病毒電郵外,還會令電腦系統開啟一道後門,供駭客用作攻擊網路的仲介。它還會對一些著名網站(如SCO及微軟)作分散式拒絕服務攻擊 (Distributed Denial of Service, DDoS),其變種更阻止染毒電腦訪問一些著名的防毒軟體廠商網站。由於它可在三十秒內寄出高達一百封電子郵件,令許多大型企業的電子郵件服務被迫中斷,在電腦病毒史上,其傳播速度創下了新紀錄。
防毒公司都會以A、B、C等英文字母作為同一隻病毒變種的命名。網路天空(NetSky)這種病毒,被評為史上變種速度最快的病毒,因為它自二月中旬出現以來,在短短的兩個月內,其變種的命名已經用盡了26個英文字母,接踵而至的是以雙碼英文字母名稱如NetSky.AB。它透過電子郵件作大量傳播,當收件人運行了帶著病毒的附件後,病毒程式會自動掃瞄電腦硬碟及網路磁碟機來搜集電郵地址,透過自身的電郵發送引擎,轉發偽冒寄件者的病毒電郵,而且病毒電郵的主旨、內文及附件檔案名稱都是多變的。
"震盪波"病毒與較早前出現的沖擊波病毒雷同,都是針對微軟視窗作業系統的保安漏洞,也不需依賴電子郵件作傳播媒介。它利用系統內的緩沖溢位漏洞,導致電腦連續地重新開機並不斷感染互聯網上其他電腦。以短短18天的時間,它取代了沖擊波,創下了修補程式公布後最短攻擊周期紀錄
現在人都知道有電腦病毒,不過,你真正地了解它嗎?希望本文能夠讓你更深刻地認識病毒,提高我們的安全意識。
4. 計算機病毒的發展史
電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義。該年,Rich Skerta 撰寫了一個名為"Elk Cloner"的電腦程式,使其成為了電腦病毒史上第一種感染個人電腦(Apple II )的電腦病毒,它以軟磁碟作傳播媒介,破壞程度可說是相當輕微,受感染電腦只會在螢光幕上顯示一段小小的詩句:
"It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
1984 ― 電腦病毒正式被定義
Fred Cohen於一九八四發表了一篇名為"電腦病毒 ― 理論與實驗(Computer Viruses ― Theory and Experiments)"的文章,當中除了為"電腦病毒"一詞下了明確的定義外猜顫,也描述了他與其他專家對電腦病毒研究的實驗成果。
1986 ― 首種廣泛傳播於MS-DOS 個人電腦系統的電腦病毒
首宗惡意並廣泛傳播的電腦病毒始於一九八六年,該種電腦病毒名為"腦(Brain) ",由兩位巴基斯坦籍的兄弟所編寫穗悔敗,能破壞電腦的起動區(boot-sector),亦被視為第一隻能透過自我隱藏來逃避偵測的病毒。
1987 ― 檔案感染型病毒 (Lehigh 和 聖誕蟲 Christmas Worm)
一九八七年,Lehigh 病毒於美國Lehigh 大學被發現,是首隻檔案感染型病毒(File infectors)。檔案感染型病毒主要通過感染 .COM 檔案和 .EXE檔案,來破壞資料、損毀檔案配置表(FAT)或在染毒檔案執行的過程中感染其它程式。
1988 ― 首種Macintosh 電腦病毒的出現以及CERT組織的成立
第一種襲擊麥金塔(Macintosh)電腦的病毒 MacMag在這年出現,而"互聯網蟲"(Internet Worm) 亦引起了第一波的互聯網危機。同年,世界第一隊電腦保安事故應變隊伍(Computer Security Response Team)成立並不斷前毀發展,也就演變成為今天著名的電腦保安事故應變隊伍協調中心(CERTR Coordination Center ,簡稱CERTR/CC)。
1990 ― 首個病毒交流布告欄上線和防毒產品的出現
首個病毒交流布告欄(Virus Exchange Bulletin Board Service, 簡稱VX BBS)於保加利亞上線,藉以給病毒編程者交換病毒程式碼及心得。同年,防毒產品如McAfee Scan等開始粉墨登場。
1995 ― 巨集病毒的出現
在windows 95 作業平台初出現時,運行於DOS作業系統的電腦病毒仍然是電腦病毒的主流,而這些以DOS為本的病毒往往未能復制到windows 95 作業平台上運行。不過,正當電腦用家以為可以松一口氣的時候,於一九九五年年底,首種運行於 MS-Word工作環境的巨集病毒(Macro Virus),也正式面世。
1996 ― Windows 95 繼續成為襲擊目標, Linux 作業平台也不能倖免
這年,巨集病毒Laroux成為首隻侵襲MS Excel 檔案的巨集病毒。而Staog 則是首隻襲擊Linux 作業平台的電腦病毒。
1998 - Back Orifice
Back Orifice 讓駭客透過互聯網在未授權的情況下遙距操控另一部電腦,此病毒的命名也開了微軟旗下的Microsoft's Back Office產品一個玩笑。
1999 ― 梅莉莎 (Melissa) 及 CIH 病毒
梅莉莎為首種混合型的巨集病毒 —它透過襲擊MS Word作台階,再利用MS Outlook及Outlook Express內的地址簿,將病毒透過電子郵件廣泛傳播。該年四月,CIH 病毒爆發,全球超過6000萬台電腦被破壞。
2000 ― 拒絕服務 (Denial of Service) 和戀愛郵件 (Love Letters) "I Love You"
是次拒絕服務襲擊規模很大,致使雅虎、亞馬遜書店等主要網站服務癱瘓。同年,附著"I Love You"電郵傳播的Visual Basic 腳本病毒檔更被廣泛傳播,終令不少電腦用戶明白到小心處理可疑電郵的重要性。該年八月,首隻運行於Palm 作業系統的木馬(Trojan) 程式―"自由破解(Liberty Crack)",也終於出現了。這個木馬程式以破解Liberty (一個運行於Palm 作業系統的Game boy 模擬器)作誘餌,致使用戶在無意中把這病毒透過紅外線資料交換或以電郵的形式在無線網中把病毒傳播。
2002 ― 強勁多變的混合式病毒: 求職信(Klez) 及 FunLove
"求職信"是典型的混合式病毒,它除了會像傳統病毒般感染電腦檔案外,同時亦擁有蠕蟲(worm) 及木馬程式的特徵。它利用了微軟郵件系統自動運行附件的安全漏洞,藉著耗費大量的系統資源,造成電腦運行緩慢直至癱瘓。該病毒除了以電子郵件作傳播途徑外,也可透過網路傳輸和電腦硬碟共享把病毒散播。
自一九九九年開始,Funlove 病毒已為伺服器及個人電腦帶來很大的煩腦,受害者中不乏著名企業。一旦被其感染,電腦便處於帶毒運行狀態,它會在創建一個背景工作線程,搜索所有本地驅動器和可寫入的網路資源,繼而在網路中完全共享的文件中迅速地傳播。
2003 ― 沖擊波 (Blaster) and 大無極 (SOBIG)
"沖擊波"病毒於八月開始爆發,它利用了微軟作業系統Windows 2000 及Windows XP的保安漏洞,取得完整的使用者許可權在目標電腦上執行任何的程式碼,並透過互聯網,繼續攻擊網路上仍存有此漏洞的電腦。由於防毒軟體也不能過濾這種病毒,病毒迅速蔓延至多個國家,造成大批電腦癱瘓和網路連接速度減慢。
繼"沖擊波"病毒之後,第六代的"大無極"電腦病毒(SOBIG.F)肆虐,並透過電子郵件擴散。該"大無極" 病毒不但會偽造寄件人身分,還會根據電腦通訊錄內的資料,發出大量以 『Thank you!', 『Re: Approved' 等為主旨的電郵外,此外,它也可以驅使染毒的電腦自動下載某些網頁,使編寫病毒的作者有機會竊取電腦用戶的個人及商業資料。
2004― 悲慘命運(MyDoom)、網路天空(NetSky)及震盪波(Sasser)
"悲慘命運"病毒於一月下旬出現,它利用電子郵件作傳播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作電郵主旨,誘使用戶開啟帶有病毒的附件檔。受感染的電腦除會自動轉寄病毒電郵外,還會令電腦系統開啟一道後門,供駭客用作攻擊網路的仲介。它還會對一些著名網站(如SCO及微軟)作分散式拒絕服務攻擊 (Distributed Denial of Service, DDoS),其變種更阻止染毒電腦訪問一些著名的防毒軟體廠商網站。由於它可在三十秒內寄出高達一百封電子郵件,令許多大型企業的電子郵件服務被迫中斷,在電腦病毒史上,其傳播速度創下了新紀錄。
防毒公司都會以A、B、C等英文字母作為同一隻病毒變種的命名。網路天空(NetSky)這種病毒,被評為史上變種速度最快的病毒,因為它自二月中旬出現以來,在短短的兩個月內,其變種的命名已經用盡了26個英文字母,接踵而至的是以雙碼英文字母名稱如NetSky.AB。它透過電子郵件作大量傳播,當收件人運行了帶著病毒的附件後,病毒程式會自動掃瞄電腦硬碟及網路磁碟機來搜集電郵地址,透過自身的電郵發送引擎,轉發偽冒寄件者的病毒電郵,而且病毒電郵的主旨、內文及附件檔案名稱都是多變的。
"震盪波"病毒與較早前出現的沖擊波病毒雷同,都是針對微軟視窗作業系統的保安漏洞,也不需依賴電子郵件作傳播媒介。它利用系統內的緩沖溢位漏洞,導致電腦連續地重新開機並不斷感染互聯網上其他電腦。以短短18天的時間,它取代了沖擊波,創下了修補程式公布後最短攻擊周期紀錄
現在人都知道有電腦病毒,不過,你真正地了解它嗎?希望本文能夠讓你更深刻地認識病毒,提高我們的安全意識。
一、病毒的定義
電腦病毒與醫學上的「病毒」不同,它不是天然存在的,是某些人利用電腦軟、硬體所固有的脆弱性,編制具有特殊功能的程序。由於它與生物醫學上的「病毒」同樣有傳染和破壞的特性,因此這一名詞是由生物醫學上的「病毒」概念引申而來。
從廣義上定義,凡能夠引起電腦故障,破壞電腦數據的程序統稱為電腦病毒。依據此定義,諸如邏輯炸彈,蠕蟲等均可稱為電腦病毒。在國內,專家和研究者對電腦病毒也做過不盡相同的定義,但一直沒有公認的明確定義。
二、病毒的命名
病毒的命名沒有固定的方法,有的按病毒第一次出現的地點來命名,如「ZHENJIANG_JES」其樣本最先來自鎮江某用戶。也有的按病毒中出現的人名或特徵字元,如「ZHANGFANG—1535」,「DISK KILLER」, 「上海一號」。有的按病毒發作時的症狀命名,如「火炬」,「蠕蟲」。當然,也有按病毒發作的時間來命名的,如「NOVEMBER 9TH」在11月9日發作。有些名稱包含病毒代碼的長度,如「PIXEL.xxx」系列,「 KO.xxx」等體。
三、電腦病毒的發展趨勢
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。同時,操作系統進行升級時,病毒也會調整為新的方式,產生新的病毒技術。總的說來,病毒可以分為以下幾個發展階段:
1.DOS引導階段
1987年,電腦病毒主要是引導型病毒,具有代表性的是「小球」和「石頭」病毒。由於,那時的電腦硬體較少,功能簡單,一般需要通過軟盤啟動後使用。而引導型病毒正是利用了軟盤的啟動原理工作,修改系統啟動扇區,在電腦啟動時首先取得控制權,減少系統內存,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播。
2.DOS可執行階段
1989年,可執行文件型病毒出現,它們利用DOS系統載入執行文件的機制工作,如「耶路撒冷」,「星期天」等病毒。可執行型病毒的病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。1990年,發展為復合型病毒,可感染COM和EXE 文件。
3.伴隨體型階段
1992年,伴隨型病毒出現,它們利用DOS載入文件的優先順序進行工作。具有代表性的是「金蟬」病毒,它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體;它感染COM文件時,改為原來的COM 文件為同名的EXE文件,在產生一個原名的伴隨體,文件擴展名為COM。這樣,在DOS載入文件時,病毒會取得控制權,優先執行自己的代碼。該類病毒並不改變原來的文件內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可,非常容易。其典型代表的是「海盜旗」病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。
4.變形階段
1994年,匯編語言得到了長足的發展。要實現同一功能,通過匯編語言可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。而典型的多形病毒—幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如「一半」病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼演算法,一種病毒往往要兩段以上的子程序方能解除。
5.變種階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關命令,也不影響運算的結果。這樣,某些解碼演算法可以由生成器生成不同的變種。其代表作品—「病毒製造機」VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時不能使用傳統的特徵識別法,而需要在宏觀上分析命令,解碼後查解病毒,大大提高了復雜程度。
6.網路、蠕蟲階段
1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進。在Windows操作系統中,「蠕蟲」是典型的代表,它不佔用除內存以外的任何資源,不修改磁碟文件,利用網路功能搜索網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啟動文件中存在。
7.窗口階段
1996年,隨著Windows的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的急智更為復雜,它們利用保護模式和API調用介面工作,解除方法也比較復雜。
8.宏病毒階段
1996年,隨著MS Office功能的增強及盛行,使用Word宏語言也可以編制病毒,這種病毒使用類Basic 語言,編寫容易,感染Word文件文件。由於Word文件格式沒有公開,這類病毒查解比較困難。
9.互聯網、感染郵件階段
1997年,隨著網際網路的發展,各種病毒也開始利用網際網路進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,電腦就有可能中毒。
10.爪哇、郵件炸彈階段
1997年,隨著互聯網上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒。還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響網際網路的效率。
四、病毒的演化及發展過程
當前電腦病毒的最新發展趨勢主要可以歸結為以下幾點:
1.病毒在演化
任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟體更難檢測。
2.千奇百怪病毒出現
現在操作系統很多,因此,病毒也瞄準了很多其他平台,不再僅僅局限於Microsoft Windows平台了。
3.越來越隱蔽
一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒採用復雜的密碼技術,在感染宿主程序時,病毒用隨機的演算法對病毒程序加密,然後放入宿主程序中,由於隨機數演算法的結果多達天文數字,所以,放入宿主程序中的病毒程序每次都不相同。這樣,同一種病毒,具有多種形態,每一次感染,病毒的面貌都不相同,猶如一個人能夠「變臉」一樣,檢測和殺除這種病毒非常困難。同時,製造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟體是殺病毒的,而就有人卻在搞專門破壞殺病毒軟體的病毒,一是可以避過殺病毒軟體,二是可以修改殺病毒軟體,使其殺毒功能改變。因此,反病毒還需要很多專家的努力!
5. 電腦病毒大事件有哪些
歷史上呢?危害又有多大?下面由我給你做出詳細的電腦病毒大事件介紹!希望對你有幫助!
電腦病毒大事件NO.1:
「CIH病毒」 爆發年限:1998年6月
CIH病毒1998年是一位名叫陳盈豪的台灣大學生所編寫的,從中國台灣傳入大陸地區的。CIH的載體是一個名為「ICQ中文Ch_at模組」的工具,並以熱門盜版光碟游戲如「古墓奇兵」或Windows95/98為媒介,經網際網路各網站互相轉載,使其迅速傳播。
CIH病毒屬檔案型病毒,其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可執行檔案PE格式,Portable Executable Format,目前的版本不感染DOS以及WIN 3.XNE格式,Windows and OS/2 Windows 3.1 execution File Format下的可執行檔案,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本。
損失估計:全球約5億美元
電腦病毒大事件NO.2 :
「梅利莎Melissa」 爆發年限:1999年3月
梅利莎1999年是通過微軟的Outlook電子郵件軟體判腔,向用戶通訊簿名單中的50位聯絡人傳送郵件來傳播自身。該郵件包含以下這句話:「這就是你請求的文件,不要給別人看」,此外夾帶一個Word文件附件。而單擊這個檔案,就會使病毒感染主機並且重復自我復制。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地報紙的頭版。估計數字顯示,這個Word巨集指令碼病毒感染了全球15%~20%的商用PC。病毒傳播速度之快令英特爾公司Intel、微軟公司Microsoft,下稱微軟、以及其他許多使用Outlook軟體的公司措手不及,防止損害,他們被迫關閉整個電子郵件系統。
損失估計:全球約3億——6億美元
電腦病毒大事件NO.3:
「愛蟲Iloveyou」 爆發年限:2000年
愛蟲2000年是通過Outlook電子郵件系統傳播,郵件主題為「I Love You」,包含附件「Love-Letter-for-you.txt.vbs」。開啟病毒附件後,該病毒會自動向通訊簿中的所有電子郵件地址傳送病毒郵件副本,阻塞郵件伺服器,同時還感染副檔名為.VBS、.HTA、.JPG、.MP3等十二種資料檔案。
新「愛蟲」Vbs.Newlove病毒同愛蟲Vbs.loveletter病毒一樣,通過outlook傳播,開啟病毒郵件附件您會觀察到計算機的硬碟燈狂閃,系統速度顯著變慢,計算機中出現大拆猜量的副檔名為vbs的檔案。所有快捷方式被改變為與系統目錄下wscript.exe建立關聯,進一步消耗系統資旅沖型源,造成系統崩潰。
損失估計:全球超過100億美元
電腦病毒大事件NO.4:
「紅色程式碼CodeRed」 爆發年限:2001年7月
紅色程式碼2001年是一種計算機蠕蟲病毒,能夠通過網路伺服器和網際網路進行傳播。2001年7月13日,紅色程式碼從網路伺服器上傳播開來。它是專門針對執行微軟網際網路資訊服務軟體的網路伺服器來進行攻擊。極具諷刺意味的是,在此之前的六月中旬,微軟曾經發布了一個補丁,來修補這個漏洞。
被它感染後,遭受攻擊的主機所控制的網路站點上會顯示這樣的資訊,隨後病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天,之後它便對某些特定IP地址發起拒絕服務DoS攻擊。不到一周感染了近40萬台伺服器,100萬台計算機受到感染。
損失估計:全球約26億美元
電腦病毒大事件NO.5:
「沖擊波Blaster」 爆發年限:2003年夏季最厲害
沖擊波2003年於2003年8月12日被瑞星全球反病毒監測網率先截獲。病毒執行時會不停地利用IP掃描技術尋找網路上系統為Win2K或XP的計算機,找到後利用D RPC緩沖區漏洞攻擊該系統,一旦成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。
另外該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使使用者無法通過該網站升級系統。在8月16日以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。
損失估計:數百億美元
電腦病毒大事件NO.6 :
「巨無霸Sobig」 爆發年限:2003年8月
巨無霸2003年是通過區域網傳播,查詢區域網上的所有計算機,並試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦執行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查詢電腦硬碟上所有郵件地址,向這些地址傳送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,並將使用者的隱私發到指定的郵箱。
由於郵件內容的一部分是來自於被感染電腦中的資料,因此有可能泄漏使用者的機密檔案,特別是對利用區域網辦公的企事業單位,最好使用網路版防毒軟體以防止重要資料被竊取!
損失估計:50億——100億美元
電腦病毒大事件NO.7:
「MyDoom」 爆發年限:2004年1月
MyDoom2004年是一例比「巨無霸病毒」更厲害的病毒體,在2004年1月26日爆發,在高峰時期,導致網路載入時間減慢50%以上。它會自動生成病毒檔案,修改登錄檔,通過電子郵件進行傳播,並且它還會嘗試從多個URL下載並執行一個後門程式,如下載成功會將其儲存在Windows資料夾中,名稱為win32.exe。該後門程式允許惡意使用者遠端訪問被感染的計算機。
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從登錄檔的相關鍵值下和多種副檔名的檔案中搜集郵件地址,病毒還會按照一些制定的規則自己聲稱郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
損失估計:百億美元
電腦病毒大事件NO.8:
「震盪波Sasser」 爆發年限:2004年4月
震盪波2004年於2004年4月30日爆發,短短的時間內就給全球造成了數千萬美元的損失,也讓所有人記住了04年的4月,該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大使用者及時下載微軟的補丁程式來預防該病毒的侵害。如果在純DOS環境下執行病毒檔案,會顯示出譴責美國大兵的英文語句。
震盪波感染的系統包括Windows 2000、Windows Server 2003和Windows XP,病毒執行後會巧妙的將自身復制為%WinDir%napatch.exe,隨機在網路上搜索機器,向遠端計算機的445埠傳送包含後門程式的非法資料,遠端計算機如果存在MS04-011漏洞,將會自動執行後門程式,打開後門埠9996。
損失估計:5億——10億美元
電腦病毒大事件NO. 9:
「熊貓燒香Nimaya」 爆發年限:2006年
熊貓燒香2006年准確的說是在06年年底開始大規模爆發,以Worm.WhBoy.h為例,由Delphi工具編寫,能夠終止大量的反病毒軟體和防火牆軟體程序,病毒會刪除副檔名為gho的檔案,使使用者無法使用ghost軟體恢復作業系統。「熊貓燒香」感染系統的*.exe、*、*.pif、*.src、*、*.asp檔案,導致使用者一開啟這些網頁檔案,IE自動連線到指定病毒網址中下載病毒。在硬碟各分割槽下生成檔案autorun.inf和setup.exe.病毒還可通過U盤和行動硬碟等進行傳播,並且利用Windows系統的自動播放功能來執行。
「熊貓燒香」還可以修改登錄檔啟動項,被感染的檔案圖示變成「熊貓燒香」的圖案。病毒還可以通過共享資料夾、系統弱口令等多種方式進行傳播。
損失估計:上億美元
電腦病毒大事件NO.10 :
「網游大盜」 爆發年限:2007年
網游大盜2007年是一例專門盜取網路游戲帳號和密碼的病毒,其變種wm是典型品種。英文名為Trojan/PSW.GamePass.jws的「網游大盜」變種jws是「網游大盜」木馬家族最新變種之一,採用VisualC++編寫,並經過加殼處理。「網游大盜」變種jws執行後,會將自我復制到Windows目錄下,自我注冊為「Windows_Down」系統服務,實現開機自啟。
該病毒會盜取包括「魔獸世界」、「完美世界」、「征途」、等多款網遊玩家的帳戶和密碼,並且會下載其它病毒到本地執行。玩家計算機一旦中毒,就可能導致游戲帳號、裝備等丟失。在07年轟動一時,網遊玩家提心吊膽。
損失估計:千萬美元
自從第一個計算機病毒爆發以來,已經過去了20年左右的時間。而就在這20年的時間里,病毒的種類越來越多,破壞力也越來越強。網易數碼今日列舉出的10大病毒是從眾多病毒中挑選出來的病毒之王,當然還有很多其他類的病毒並沒有在我們的專題之列,但這並不代表這些病毒就可以被我們輕易的忘記。
上個世紀80年代上半期,計算機病毒只是存在於實驗室中。盡管也有一些病毒傳播了出去,但絕大多數都被研?a href='' target='_blank'>咳嗽毖細竦乜刂圃諏聳笛槭抑小K婧螅?ldquo;大腦」Brain病毒出現了。1986年年初,人們發現了這種計算機病毒,它是第一個PC病毒,也是能夠自我復制的軟體,並通過5.2英寸的軟盤進行廣泛傳播。按照今天的標准來衡量,Brain的傳播速度幾乎是緩慢地爬行,但是無論如何,它也稱得上是我們目前為之困擾的更有害的病毒、蠕蟲和惡意軟體的鼻祖。
從第一例簡單的程式碼病毒,到今日轟動一時的「熊貓燒香」,無一不給人們的計算機應用敲響了警鍾。根據網易數碼的調查,很多計算機病毒的製作者寫出病毒僅僅是為了好玩,或者是想證明一下自己,但是這些病毒流傳開來之後,帶給人們的損失卻是數以億計。
6. 中國十大網路病毒是什麼
1.代號:爬行者Creeper
感染系統:ARPANET大型機
發現時間:1971年
傳播方式:就是不斷自我復制。
殺傷力:不斷膨脹,將硬碟塞滿
什麼情況:
爬行者可能是人類所知的第一個病毒類程序,或者這個程序基本上都稱不上是病毒程序,更確切的來說,它就是一段惡意代碼。病毒的作者是馬薩諸塞州劍橋市一個企業的員工Bob Thomas ,此人曾參與了互聯網前身「阿帕網」的搭建工作。該程序的出現要歸因於實驗室的一次測試,測試的目的是要了解是否能創造出一種可自我復制的軟體。這個會不斷自我復制,並能夠在最早的互聯網中進行遠程復制的病毒並沒有造成什麼危害,但是它的誕生卻開啟了數字時代整整四十年的噩夢,而且至今揮之不去。
2.代號:MyDoom
感染系統:Windows 98/2000/XP
發現時間:2004年1月
傳播方式:電子郵件。
殺傷力:MyDoom是迄今為止造成經濟損失最大的病毒,385億美元是它肆虐後的代價。當然它也榮登史上傳播速度最快的病毒。
什麼情況:
在MyDoom發作的那幾天,全球至少有三分之一的電腦無法聯網,因為網速實在太慢了。MyDoom用僅一周的時間就感染了全球超過千萬台電腦,2004年的2月份,對於剛剛遭遇過寒冬的IT行業來說,那個月更讓人顫栗的是,全球每12封電子郵件中就至少有1封是帶著MyDoom病毒的郵件。
MyDoom第一個變種發作時通過發送大量的偽造攻擊郵件,導致了SCO公司網站和郵件系統全面談話。有人猜測原因大概與SCO想對Linux收取授權費用有關,隨後MyDoom的第二個變種又將目標瞄向了微軟公司。不過由於微軟的儲備有足夠多的人才,這次攻擊最終被微軟化解掉,但是仍有人抱怨那段時間訪問微軟網站速度很慢,其實或許不是訪問微軟速度很慢,而是在MyDoom的肆虐下,全球都很慢。
微軟和SCO事後聲稱,如果有人能夠告訴他們誰是MyDoom的作者,他們將分別獎勵線人25萬美金。不過FBI和CIA折騰了一番之後都無功而返,就像所有老套的資本主義笑話一樣,他們聲稱病毒製作者在俄羅斯。
3.代號:CIH
感染系統:Windows 95/98
發現時間:1998年9月
傳播方式:從正版到盜版各種EXE文件。
殺傷力:不誇張的說,CIH以其驚人的破壞能力和感染速度,著實教育了當時使用盜版成風的國人,至少很多人都醒悟到要買套正版殺毒軟體,最終它造成全球5億美元的損失,同時也帶動了國內數以億計的殺毒市場。
什麼情況:
你的硬碟是不是在狂轉?電腦開機一片黑屏?被CIH感染的計算機的硬碟會狂轉,隨後所有的電腦中的EXE程序均會遭到破壞與病毒感染,成為新的感染源。接下來CIH會在硬碟主引導區中依次寫垃圾數據,直至硬碟的數據全部被破壞徹底為止,
讓你想恢復數據都無從入手。最終的必殺手段是將電腦主板的BIOS信息全部清除,讓你的電腦徹底癱瘓。
CIH病毒的作者是中國台灣的陳盈豪,在CIH病毒成為一夜成名之後,台灣軍方也注意到陳盈豪,想將他調入台灣電子戰特種部隊,可惜在經過一番體檢之後,台灣軍方醫生認為陳盈豪患有「輕度抑鬱症」,不僅沒有將他調入台灣電子戰特種部隊,反而責令他提前退役。現如今回看當年,陳盈豪被醫生描述為輕度抑鬱症的病症表現只不過是所有網路宅男的標准特徵。
如今陳盈豪在硬體知名廠商技嘉公司工作,有意思的是當年CIH爆發後讓許多電腦用戶人心惶惶,生怕被CIH燒毀了主板BIOS無法挽救,而這是技嘉公司看準了這個噱頭,生產了雙CMOS主板狠賺了一筆。而在中國內地,CIH病毒也改寫了國內殺毒軟體的格局,救活了原來並不出名的瑞星。微軟應該是CIH病毒事件中最郁悶的廠商,Windows 98剛剛發布不久,就被證明了存在一系列重大設計缺陷,讓許多Linux支持者找到了口實。
4.代號:熊貓燒香
感染系統:Windows XP
發現時間:2006年10月16日
傳播方式:埠攻擊和惡意腳本。
殺傷力:國內至少有100萬台電腦受到感染。
什麼情況:
電腦所有可執行文件的圖標全部變成一隻舉著三隻香的胖胖的熊貓,而且所有的可執行文件都無法執行。當你試圖通過Ghost還原的時候,會發現硬碟中的GHO磁碟鏡像文件也被病毒刪除了。立刻殺毒?抱歉,絕大多數你能夠想得起來的殺毒軟體都會被病毒強行終止進程。熊貓燒香還仿照沖擊波等病毒的特點,通過Windows系統共享漏洞和用戶弱口令攻擊感染區域網內的電腦,並同時釋放Autorun.inf感染U盤和移動硬碟。
最後連HTML等網頁格式文件它也沒有放過,熊貓燒香病毒一旦發現網頁文件,就會通過iframe標記將病毒代碼插入到網頁中。而許多網站維護人員會誤將這些帶毒網頁上傳到網站中,造成更大范圍的感染。其實熊貓燒香病毒是一個沒有太多新技術的病毒,只不過病毒作者將之前N種病毒傳播特點都集中在了這一個病毒上,等於將鶴頂紅、敵敵畏、氰化物、砒霜和三聚氰胺等幾十種毒葯混在了一起,自然吃上一口就口吐白沫了。
最絕的是,病毒作者李俊將這個病毒分別買個了120個小黑客,鼓勵教導他們廣撒網多抓雞。李俊自己也購買了伺服器,專門用作病毒更新,創下了一天更新8次的病毒升級記錄,可以堪稱史上最勤奮的病毒作者。當然,這么勤勞最終的結果自然是被抓判刑。
5.代號:I Love You 又名 愛蟲
感染系統:Windows 系統
發現時間:2000年5月30日
傳播方式:電子郵件。
殺傷力:4500萬台電腦遭受感染。
什麼情況:
在那個互聯網剛剛呈現第一股熱潮的時代,那個沒有Facebook沒有Twitter只能夠用Email溝通的時代。當某一天早晨,你收到了一封寫有「I Love You 」標題的電子郵件你會點開嗎?在2000年的那個六一兒童節的前一天,許多寂寞的互聯網Geek和宅男都點開了這樣一封郵件。從此,史上感染力最強的病毒誕生了。愛蟲病毒總共感染了4500萬電腦,比第二名紅色代碼足足多出100多倍。
6.代號:沖擊波
感染系統:Windows 系統
發現時間:2003年8月
傳播方式:電子郵件。
殺傷力:全球80%的Windows系統遭受攻擊
什麼情況:
電腦突然彈框告訴你還有59秒它就要自動重啟了,沒有什麼原因,也沒有什麼理由,隨後就是一遍又一遍的重啟。而內網中很快也會出現其它和你同病相憐的電腦,很快就如同流行性感冒一樣,重啟電腦隨處可以見。隨後未中毒的計算機也會出現訪問網路速度減慢的情況。當高手們告訴你中毒了的時候,並且告訴你需要修補某個Windows補丁時,你卻發現你無法打上這個補丁了,這就是曾經肆虐互聯網的沖擊波病毒。
沖擊波病毒雖然不是第一個利用Windows漏洞傳播的病毒,但是確實第一個造成大面積危害的。特別是中國國內許多用戶的Windows並非正版,因此不能夠使用微軟提供的Windows Update服務,導致了病毒災情的加劇,事後微軟更改了自己的補丁修補策略,蓋茨為此開出了50萬美金的懸賞。而聯邦調查局也的確抓住了一個製作沖擊波病毒變種的倒霉蛋,18歲的Jeffrey Lee Parson,不過他只是一個變種作者,並非沖擊波的原作者。
7.代號:Melissa梅麗莎 又名辛普森一家
感染系統:Windows系統下的Outlook
發現時間:1999年3月26日
傳播方式:電子郵件。
殺傷力:雅虎、美國在線、微軟、朗訊、英特爾和美國多所知名大學網站的伺服器,均因為Melissa病毒泛濫而癱瘓。
什麼情況:
在1999年3月訪問過成人新聞組並下載過一個Word文檔的用戶都沒有留意到,自己的Outlook電子郵件程序開始悄悄地自動給自己地址簿里的好友發送電子郵件了。而且每一封電子郵件都帶著一個名為List.doc的帶毒文件。這可能是網路社會化六度關系SNS最早證明自己是真理的地方。隨著受害者的好友、好友的好友和好友的好友的好友不斷的疊加感染,最終梅麗莎病毒造成了互聯網的大癱瘓。
而梅麗莎病毒的親爹大衛史密斯開發這個病毒的原因竟然是愛上了一個邁阿密的脫衣舞女,他為她著迷,並最終用這個脫衣舞女的名字命名了自己的病毒。他自己最終被判刑20個月。
8.代號:尼姆達
感染系統:Windows 所有32位系統
發現時間:2001年9月18日
傳播方式:FTP、電子郵件、IM軟體、網頁。
殺傷力:造成3.7億元經濟損失
什麼情況:
雖然很多人躲過了紅色代碼的攻擊,但那一年絕大多數用戶沒有逃過尼姆達的攻擊,而原因僅在於紅色代碼只攻擊伺服器系統,而尼姆達則感染所有32位Windows系統,從Windows 95到當時最新的Windows 2000,統統不放過。
而尼姆達病毒當時的感染方式也非常多樣,它可以通過文件感染、電子郵件傳播、系統漏洞、網頁傳播四種方式進行傳播。雖然後來的熊貓燒香病毒的感染手段超越了尼姆達,但是就病毒感染途徑的多樣化而言,尼姆達當時的確是最具與殺傷力的病毒。
9.代號:灰鴿子
感染系統:Windows 系統
發現時間:2001年
傳播方式:多種網路傳播方式
殺傷力:灰鴿子
什麼情況:
中了灰鴿子會出現什麼情況?事實是什麼情況都會出現。灰鴿子能夠記錄你的鍵盤擊鍵記錄,能夠遠程開啟攝像頭,打開麥克風,能夠下載你電腦里的任何文件。幾乎你能夠想到的電腦本機操作,黑客都可以通過灰鴿子遠程式控制制實現。從灰鴿子誕生的2001年到銷聲匿跡的2008年之間,正好遭遇了全民皆黑客的年代,灰鴿子因為操作簡單,上手快,很快的成為當時最泛濫的木馬病毒,近中國國內至少有上千萬台電腦感染過灰鴿子病毒。
有趣的是,灰鴿子的作者最後並沒有像熊貓燒香的李俊一樣,一直用灰鴿子賺錢。在2008年之後該作者轉而開發防火牆,專門用來防護自己的灰鴿子。
10.代號:Stuxnet蠕蟲 超級工廠病毒
感染系統:Windows CE系統
發現時間:2010年6月
傳播方式:U盤
殺傷力:導致伊朗布希爾核電站癱瘓。
什麼情況:
2010年7月份,全球幾大殺毒軟體廠商突然開始分析一個名為Stuxnet的病毒,這個病毒的獨特之處在於,它並不攻擊傳統的Windows系統,而是將目標放在了極小眾、極專業的西門子Win CC工控系統上,這個系統的原型就是廣為人熟知的Windows CE。隨後安全研究員發現,該病毒針對目標非常具體,它會通過U盤感染將自己擺渡到目標工控機中,然後發作。
吊詭的是,第一批發作的Stuxnet蠕蟲的60%都將目標定在了伊朗布希爾核電站的西門子工控系統上,這個核電站正是美國懷疑伊朗製造核武器的基地。美國國家網路安全與通訊整合中心主管邁格克指出,屬木馬程序的Stuxnet一旦找到西門子WinCC裝置,就能接管西門子設施的關鍵操作系統,並在十分之一秒里「封住」設備的操作。而有關安全組織也認為,製造Stuxnet的團體應資金充裕,成員約5到10人,耗費半年籌備。
不過Stuxnet最終不僅開始攻擊伊朗核電站,它甚至開始接二連三的變種,開始攻擊全球的西門子工控系統,連美國自己也成為了受害的倒霉蛋之一。
7. 計算機病毒的歷史經歷幾個階段
計算機病毒的發展階段
1.第一代病毒
第一代病毒的產生年限可以認為在1986-1989年之間,這一期間出現的病毒可以稱之為傳統的病毒,是計算機病毒的萌芽
和滋生時期。由於當時計算機的應用軟體少,而且大多是單機運行環境,因此病毒沒有大量流行,流行病毒的種類也很有限,
病毒的清除工作相對來說較容易。這一階段的計算機病毒具有如下的一些特點:
(1)病毒攻擊的目標比較單一,或者是傳染磁碟引導扇區,或者是傳染可執行文件。
(2)病毒程序主要採取截獲系統中斷向量的方式監視系統的運行狀態,並在一定的條件下對目標進行傳染。
(3)病毒傳染目標以後的特徵比較明顯,如磁碟上出現壞扇區,可執行文件的長度增加、文件建立日期、時間發生變化,
等等。這些特徵容易被人工或源宴灶查毒軟體所發現。
(4)病毒程序不具有自我保護的措施,容易被人們分析和解剖,從而使得人們容易編制相應的消毒軟體。
然而隨著計算機反病毒技術的提高和反病毒產品的不斷涌現,病毒編制者也在不斷地總結自己的編程技巧和經驗, 千方
百計地逃避反病毒產品的分析、檢測和解毒,從而出現了第二代計算機病毒。
2.第二代病毒
第二二代病毒又稱為混合型病毒(又有人稱之為「超級病毒」),其產生的年限雹扮可以認為在1989-1991年之間,它是計算
機病毒由簡單發展到復雜,由單純走向成熟的階段。計算機區域網開始應用與普及,許多單機應用軟體開始轉向網路環境,
應用軟體更加成熟,由於網路系統尚未有安全防護的意識,缺乏在網路環境下病毒防禦的思想准備與方法對策, 給計算機病
毒帶來了第一次流行高峰。這一階段的計算機病毒具有如下特點:
(1)病毒攻擊的目標趨於混合型,即一種病毒既可傳染磁碟引導扇區,又可能傳染可執行文件。
(2)病毒程序不採用明顯地截獲中斷向量的方法監視系統的運行,而採取更為隱蔽的方法駐留內存和傳染目標。
(3)病毒傳染目標後沒有明顯的特徵,如磁碟上不出現壞扇區,可執行文件的長度增加不明顯,不改變被傳染文件原來
的建立日期和時間,等等。
(4)病毒程序往往採取了自我保護措施,如加密技術、反跟蹤技術,製造障礙,增加人們分析和解剖的難度,同時也增
加了軟體檢測、解毒的難度。
(5)出現許多病毒的變種,這些變種病毒較原病毒的傳染性更隱蔽,破壞性更大。
總之,這一時期出現的病毒不僅在數量上急劇地增加,更重要的是病毒從編制的方式、方法, 駐留內存以及對宿主程序
的傳染方式、方法等方面都有了較大的變化。
3.第三代病毒
第三代病毒的產生年限可以認為從1992年開始至1995年,此類病毒稱為「多態性」病毒或「自我變形」病毒, 是最近幾
年來出現的新型的計算機病毒。所謂「多態性」或「自我變形」的含義是指此類病毒在每次傳染目標時, 放人宿主程序中的
病毒程序大部分都是可變的,即在搜集到同一種病毒的多個樣本中,病毒程序的代碼絕大多數是不同的, 這是此類病毒的重
要特點。正是由於這一特點,傳統的利用特徵碼法檢測病毒的產品不能檢測出此類病毒。
據資料介紹祥哪,此類病毒的首創者是Mark Washburn,他並不是病毒的有意製造者,而是一位反病毒的技術專家。 他編寫
的1260病毒就是一種多態性病毒,此病毒1990年1月問世,有極強的傳染力,被傳染的文件被加密,每次傳染時都更換加密密
鑰,而且病毒程序都進行了相當大的改動。他編寫此類病毒的目的是為了研究,他將此類病毒散發給他的同事, 其目的是為
了向他們證明特徵代碼檢測法不是在任何場合下都是有效的。然而,不幸的是, 為研究病毒而發明的此種病毒超出了反病毒
的技術范圍,流入了病毒技術中。 1992年上半年,在保加利亞發現了黑夜復仇者(Dark Avenger)病毒的變種「Mutation
Dark Avenger」。這是世界上最早發現的多態性的實戰病毒, 它可用獨特的加密演算法產生幾乎無限數量的不同形態的同一病
毒。據悉該病毒作者還散布一種名為「多態性發生器」的軟體工具, 利用此工具將普通病毒進行編譯即可使之變為多態性病
毒。
國內在1994年年底已經發現了多態性病毒——「幽靈」病毒,迫使許多反病毒技術部門開發了相應的檢測和消毒產品。
由此可見,第三階段是病毒的成熟發展階段。在這一階段中病毒的發展主要是病毒技術的發展,病毒開始向多維化方向發展,
即傳統病毒傳染的過程與病毒自身運行的時間和空間無關,而新型的計算機病毒則將與病毒自身運行的時間、 空間和宿主程
序緊密相關,這無疑將導致計算機病毒檢則和消除的困難。
4.第四代病毒
90年代中後期,隨著遠程網、遠程訪問服務的開通,病毒流行面更加廣泛,病毒的流行迅速突破地域的限制, 首先通過
廣域網傳播至區域網內,再在區域網內傳播擴散。1996年下半年隨著國內Internet的大量普及,Email的使用,夾雜於 Email
內的WORD宏病毒已成為當前病毒的主流。由於宏病毒編寫簡單、破壞性強、清除繁雜,加上微軟對DOC文檔結構沒有公開,給
直接基於文檔結構清除宏病毒帶來了諸多不便。從某種意義上來講,微軟Word Basic的公開性以及 DOC文檔結構的封閉性,
宏病毒對文檔的破壞已經不僅僅屬於普通病毒的概念,如果放任宏病毒泛濫,不採取強有力的徹底解決方法, 宏病毒對中國
的信息產業將會產生不測的後果。
這一時期的病毒的最大特點是利用Internet作為其主要傳播途徑,因而,病毒傳播快、隱蔽性強、破壞性大。此外, 隨
著Windows95的應用,出現了Windows環境下的病毒。這些都給病毒防治和傳統DOS版殺毒軟體帶來新的挑戰。
誠然,計算機病毒的發展必然會促進計算機反病毒技術的發展,也就是說, 新型病毒的出現向以行為規則判定病毒的預
防產品、以病毒特徵為基礎的檢測產品以及根據計算機病毒傳染宿主程序的方法而消除病毒的產品提出了挑戰, 致使原有的
反病毒技術和產品在新型的計算機病毒面前無能為力。這樣, 勢必使人們認識到現有反病毒產品在對抗新型的計算機病毒方
面的局限性,迫使人們在反病毒的技術和產品上進行新的更新和換代。
到目前為止,反病毒技術已經成為了計算機安全的一種新興的計算機產業或稱反病毒工業。
8. 歷史計算機病毒事件
1、最初"計算機病毒"這一概念的提出可追溯到七十年代美國作家雷恩出版的《P1的青春》一書,書中構思了一種能夠自我復制,利用通信進行傳播的計算機程序,並稱之為計算機病毒。
2、貝爾實驗室的三位年輕程序員也受到馮?諾依曼理論的啟發,發明了"磁芯大戰"游戲。
3、1983 年 11月,在一次國際計算機安全學術會議上,美國學者科恩第一次明確提出計算機病毒的概念,並進行了演示。
4、世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(C-Brain)病毒,編寫該病毒的是一對巴基斯坦兄弟,兩兄弟經營著一家電腦公司,以出售自己編制的電腦軟體為生。
當時,由於當地盜版軟體猖獗,為了防止軟體被任意非法拷貝,也為了追蹤到底有多少人在非法使用他們的軟體,於是在1986年年初,他們編寫了"大腦(Brain)"病毒,又被稱為"巴基斯坦"病毒。
該病毒運行在DOS操作系統下,通過軟盤傳播,只在盜拷軟體時才發作,發作時將盜拷者的硬碟剩餘空間吃掉。
5、1988年11月美國國防部的軍用計算機網路遭受莫里斯病毒襲擊,致使美國Inter網路上6000多計算機感染,直接經濟損失9600萬美元。
莫里斯病毒是由康乃爾大學23歲的羅特?莫里斯製作。
後來出現的各類蠕蟲,都是仿造了莫里斯蠕蟲,以至於人們將該病毒的編制者莫里斯稱為"蠕蟲之父"。
6、1999年 Happy99、美麗殺手(Melissa)等完全通過Inter傳播的病毒的出現標志著Inter病毒將成為病毒新的增長點。
其特點就是利用Inter的優勢,快速進行大規模的傳播,從而使病毒在極短的時間內遍布全球。
7、CIH病毒是繼DOS病毒的第四類新型病毒,CIH這三個字母曾經代表著災難。
1998年8月從台灣傳入大陸,共有三個主要版本:1.2版/1.3版/1.4版,發作時間分別是4月26日、6月26日、每月26日。
該病毒是第一個直接攻擊、破壞硬體的計算機病毒,是迄今為止破壞最為嚴重的病毒。
CIH病毒製造者 陳盈豪 曾有兩次精神科門診記錄,被人們認為是"電腦鬼才"。
8、2000年的5月,通過電子郵件傳播的"愛蟲"病毒迅速在世界各地蔓延,更大規模的發作,造成全世界空前的計算機系統破壞。
I LOVE YOU愛蟲病毒是使用VB Script程序語言編寫的病毒,它主要是通過一封信件標題為"I LOVE YOU"的電子郵件傳播的。
一旦執行附加文件,病毒會獲取Outlook通訊錄的名單,並自動發出"I LOVE YOU"電子郵件,從而數肆導致網路阻塞。
破壞性:愛蟲病毒的傳播會導致網路癱瘓,病毒發作時,還會把*.mp3、*.jpg等10種文件改為*.vbs,並傳染覆蓋這些文件。
與愛蟲病毒相似的網路病毒薯轎轎還有Melissa(美麗殺手病毒)等。
9、著名的"黑色星期五"病毒在逢13號的星期五發作。
10、2001年9月18日出現的Nimda病毒則是病毒演變過程中的另一個里程碑,它首次利用了系統中的漏洞對互聯網發起攻擊,具備了典型的黑客特徵。
它的出現意味著,混合著多種黑客手段的病毒從此誕生。
尼姆達是一種新型的、復雜的、發送大量郵件的蠕蟲病毒,它通過網路進行傳播。
尼姆達病毒總是偽裝成一封主題行空缺的電子郵件展開對計算機的侵襲。
打開這封"來歷不明"的電子郵件,就會發現隨信有一個名為readme.exe(即可執行自述文件)的附件,如果該附件被打開,尼姆達就順利地完成了侵襲電腦的第一步。
接下來,該病毒不斷搜索區域網內共享的網路資源,將病毒文件復制到用戶計算機中,並隨機選擇各種文件作為附件,再按照用戶儲存在計算機里的郵件地址發送病毒,以此完成病毒傳播的一個循環過程。
11、2002年,求職信Klez病毒,郵件病毒,主要影響微軟的Outlook Express用戶。
12、"附件在哪啊?你找到我嗎?放心打開來,這是一個重要文件,可以查殺QQ病毒的專殺工具請查收附件。
"如果你收到一封這樣的電子郵件,千萬不要打開,這是國內第一例中文混合型病毒,會導致電腦里的各種密碼,包括操作系統、網路游戲、電子郵件的各種密碼被竊取。
13、沖擊波,2003年8月11日,沖擊波帆灶席捲全球,利用微軟網路介面RPC漏洞進行傳播,造成眾多電腦中毒,機器不穩定,重啟,死機,部分網路癱瘓,沒打過補丁的WINDOWS操作系統很難逃出它的魔爪。
14、震盪波:具有類似沖擊波的表現形式,感染的系統重新啟動計算機,原因是給蠕蟲病毒導致系統文件lsess.Exe的崩潰。
15、小球病毒,作為Dos時代的老牌病毒,它也是國內流行起來的第一例電腦病毒。
小球病毒可以險惡地控制電腦,使程序運行緩慢甚至無法運行。
特洛伊木馬,一經潛入,後患無窮
據說在海灣戰爭中,美國防部一秘密機構曾對伊拉克的通訊系統進行了有計劃的病毒攻擊,一度使伊拉克的國防通訊陷於癱瘓。
1、MSN小丑(MsnFunny),自動向用戶的msn發送消息和病毒
2、Word文檔殺手:破壞文檔數據,記錄管理員密碼。
3、雛鷹(BBeagle):木馬程序,電子郵件傳播,監測系統時間,2004年2月25日則自動退出。
4、好大(Sobig):1分鍾300封病毒郵件
5、紅色代碼(I-Worm Redcode):感染對象,伺服器,修改伺服器網站網頁
6、藍色代碼(Bluecode):啟動多個進程,系統運行速度非常慢,cpu佔用率急速上升,甚至癱瘓
7、密碼殺手2004:通過鍵盤記錄技術截取幾乎所有登錄窗口的輸入信息,通過電子郵件發送給病毒作者。
8、挪威客(Mydoom.e):瘋狂發送帶毒郵件,隨機刪除計算機數據。
9、網路天空(Netsky):帶毒郵件大量傳播,消耗網路資源,影響企業的郵件伺服器
10、武漢男生:qq發送誘惑信息,盜取傳奇密碼以郵件形式發給盜密碼者,並結束多種反病毒軟體。
11、證券大盜(PSW.Soufan):特洛伊木馬,盜取多家證券交易系統的交易賬戶和密碼。
記錄鍵盤信息的同時通過屏幕快照將用戶資料已圖片形式發送。
2008年度十大病毒/木馬
根據病毒危害程度、病毒感染率以及用戶的關注度,計算出綜合指數,最終得出以下十大病毒/木馬為2008年最具影響的十大病毒/木馬。
1、 機器狗系列病毒
關鍵詞:底層穿磁碟 感染系統文件
機器狗病毒因最初的版本採用電子狗的照片做圖標而被網民命名為"機器狗",該病毒變種繁多,多表現為殺毒軟體無法正常運行。
該病毒的主要危害是充當病毒木馬下載器,通過修改注冊表,讓大多數流行的安全軟體失效,然後瘋狂下載各種盜號工具或黑客工具,給廣大網民的網路虛擬財產造成巨大威脅。
機器狗病毒直接操作磁碟以繞過系統文件完整性的檢驗,通過感染系統文件(比如explorer.exe,userinit.exe,winhlp32.exe等)達到隱蔽啟動;通過底層技術穿透冰點、影子等還原系統軟體導致大量網吧用戶感染病毒,無法通過還原來保證系統的安全;通過修復SSDT、映像挾持、進程操作等方法使得大量的安全軟體失去作用;聯網下載大量的盜號木馬。
部分機器狗變種還會下載ARP惡意攻擊程序對所在區域網(或者伺服器)進行ARP欺騙影響網路安全。
2、AV終結者病毒系列
關鍵詞:殺毒軟體無法打開 反復感染
AV終結者最大特點是禁用所有殺毒軟體以及大量的安全輔助工具,讓用戶電腦失去安全保障;破壞安全模式,致使用戶根本無法進入安全模式清除病毒;強行關閉帶有病毒字樣的網頁,只要在網頁中輸入"病毒"相關字樣,網頁遂被強行關閉,即使是一些安全論壇也無法登陸,用戶無法通過網路尋求解決辦法;在磁碟根目錄下釋放autorun.Inf,利用系統自播放功能,如果不加以清理,重裝系統以後也可能反復感染。
2008年年末出現的"超級AV終結者"結合了AV終結者、機器狗、掃盪波、autorun病毒的特點,是金山毒霸"雲安全"中心捕獲的新型計算機病毒。
它對用戶具有非常大的威脅。
它通過微軟特大漏洞MS08067在區域網傳播,並帶有機器狗的穿還原功能,下載大量的木馬,對網吧和區域網用戶影響極大。
3、onlinegames系列
關鍵詞:網游 盜號
這是一類盜號木馬系列的統稱,這類木馬最大的特點就是通過ShellExecuteHooks啟動,盜取流行的各大網路游戲(魔獸,夢幻西遊等)的帳號從而通過買賣裝備獲得利益。
這類病毒本身一般不會對抗殺毒軟體,但經常伴隨著超級Av終結者、機器狗等病毒出現。
4 、HB蝗蟲系列木馬
關鍵詞:網游盜號
HB蝗蟲病毒新型變種是金山毒霸"雲安全"中心截獲的年末最"牛"的盜號木馬病毒。
該系列盜號木馬技術成熟,傳播途徑廣泛,目標游戲非常的多(存在專門的生成器),基本囊括了市面上大多數的游戲,例如魔獸世界、大話西遊onlineII、劍俠世界、封神榜II、完美系列游戲、夢幻西遊、魔域等等。
該類木馬主要通過網頁掛馬、流行病毒下載器傳播。
而傳播此盜號木馬的的下載器一般會對抗殺毒軟體,造成殺毒軟體不能打開、電腦反映速度變慢。
5 、掃盪波病毒
關鍵詞:新型蠕蟲 漏洞
這是一個新型蠕蟲病毒。
是微軟"黑屏"事件後,出現的最具攻擊性的病毒之一。
"掃盪波"運行後遍歷區域網的計算機並發起攻擊,攻擊成功後,被攻擊的計算機會下載並執行一個下載者病毒,而下載者病毒還會下載"掃盪波",同時再下載一批游戲盜號木馬。
被攻擊的計算機中"掃盪波"而後再向其他計算機發起攻擊,如此向互聯網中蔓延開來。
據了解,之前發現的蠕蟲病毒一般通過自身傳播,而掃盪波則通過下載器病毒進行下載傳播,由於其已經具備了自傳播特性,因此,被金山毒霸反病毒工程師確認為新型蠕蟲。
微軟宣布"黑屏"後的第3天,緊急發布了MS08-067安全公告,提示用戶注意一個非常危險的漏洞,而後利用該漏洞發動攻擊的惡意程序不斷涌現;10月24日晚,金山發布紅色安全預警,通過對微軟MS08-067漏洞進行詳細的攻擊原型模擬演示,證實了黑客完全有機會利用微軟MS08-067漏洞發起遠程攻擊,微軟操作系統面臨大面積崩潰威脅;11月7日,金山再次發布預警,"掃盪波"病毒正在利用該漏洞進行大面積攻擊;11月7日晚,金山已證實"掃盪波"實為一個新型蠕蟲病毒,並發布周末紅色病毒預警。
6、QQ盜聖
關鍵詞:QQ盜號
這是QQ盜號木馬系列病毒,病毒通常釋放病毒體(類似於UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安裝目錄(C:Program FilesInter Explore),通過注冊表Browser Helper Objects實現開機自啟動。
當它成功運行後,就把之前生成的文件注入進程,查找QQ登陸窗口,監視用戶輸入盜取的帳號和密碼,並發送到木馬種植者指定的網址。
7、RPC盜號者
關鍵詞:不能復制粘貼
該系列木馬採用替換系統文件,達到開機啟動的目的,由於替換的是RPC服務文件rpcss.dll ,修復不當,會影響系統的剪切板、上網等功能。
部分版本加入了反調試功能,導致開機的時候系統載入緩慢。
8、偽QQ系統消息
關鍵詞:QQ系統消息,殺毒軟體不能使用
經金山毒霸"雲安全"檢測為釣魚程序,病毒最大的特點是偽裝QQ系統消息,用戶一旦點擊,錢財及電腦安全將面臨巨大威脅。
該病毒的綜合破壞能力比較強,它利用AUTO技術自動傳播,當進入電腦後就運行自帶的對抗模塊,嘗試映像劫持或直接關閉用戶系統中的安全軟體。
病毒還帶有下載器的功能,可下載其它木馬到電腦中運行。
9、QQ幽靈
關鍵詞:QQ 木馬下載器
此病毒查找QQ安裝目錄,並在其目錄釋放一個精心修改psapi.dll,當QQ啟動的時候將會將這個dll文件載入(程序載入dll文件的順序1:應用程序的安裝目錄2:當前的工作目錄3:系統目錄4:路徑變數),從而執行惡意代碼下載大量病毒到用戶電腦。
10、磁碟機
關鍵詞:無法徹底清除 隱蔽
磁碟機與AV終結者、機器狗極為相似。
最大特點是導致大量用戶殺毒軟體和安全工具無法運行,進入安全模式後出現藍屏現象;而且更為嚴重的是,由於Exe文件被感染,重裝系統仍無法徹底清除。
磁碟機病毒主要通過網站掛馬、U盤、區域網內的ARP傳播等方式進行傳播,而且非常隱蔽,病毒在傳播過程中,所利用的技術手段都是用戶甚至殺毒軟體無法截獲的。
病毒一旦在用戶電腦內成功運行後,會自動下載自己的最新版本以及大量的其他一些木馬到本地運行,盜取用戶虛擬資產和其他機密信息;同時該病毒會感染用戶機器上的exe文件,包括壓縮包內的exe文件,並會通過UPX加殼,導致用戶很難徹底清除。
二、2008年計算機病毒、木馬的特點分析
2008年是病毒、木馬異常活躍的一年。
從病毒傳播的角度看2008年大量的病毒通過網頁掛馬方式進行傳播,主要利用的是realplay,adobe flash和IE漏洞進行傳播。
從病毒的運作模式看2008年大量病毒採用的方式是下載器對抗安全軟體,關閉安全軟體然後下載大量盜號木馬到用戶電腦--盜取用戶網游的賬號發送到黑客的資料庫。
從病毒的危害來看2008年絕大多數流行的病毒都為網游盜號類木馬,其次是遠程式控制制類木馬。
1、病毒製造進入"機械化"時代
由於各種病毒製作工具的泛濫和病毒製作的分工更加明細和程式化,病毒作者開始按照既定的病毒製作流程製作病毒。
病毒製造進入了"機械化"時代。
這種"機械化"很大程度上得益於病毒製作門檻的降低和各種製作工具的流行。
"病毒製造機"是網上流行的一種製造病毒的工具,病毒作者不需要任何專業技術就可以手工製造生成病毒。
金山毒霸全球反病毒監測中心通過監測發現網路上有諸多此類廣告,病毒作者可根據自己對病毒的需求,在相應的製作工具中定製和勾選病毒功能。
病毒傻瓜式製作導致病毒進入"機械化"時代。
病毒的機械化生產導致病毒數量的爆炸式增長。
反病毒廠商傳統的人工收集以及鑒定方法已經無法應對迅猛增長的病毒。
金山毒霸2009依託於"雲安全"技術,一舉實現了病毒庫病毒樣本數量增加5倍、日最大病毒處理能力提高100倍 、緊急病毒響應時間縮短到1小時以內,給用戶帶來了更好的安全體驗。
2、病毒製造的模塊化、專業化特徵明顯
病毒團伙按功能模塊發外包生產或采購技術先進的病毒功能模塊,使得病毒的各方面功能都越來越"專業",病毒技術得以持續提高和發展,對網民的危害越來越大,而解決問題也越來越難。
例如年底出現的"超級AV終結者"集病毒技術之大成,是模塊化生產的典型代表。
在專業化方面,病毒製造業被自然的分割成以下幾個環節:病毒製作者、病毒批發商、病毒傳播者、"箱子"批發商、"信封"批發商、"信封"零售終端。
病毒作者包括有"資深程序員",甚至可能有逆向工程師。
病毒批發商購買病毒源碼,並進行銷售和生成木馬。
病毒傳播者負責將病毒通過各種渠道傳播出去,以盜取有價值的QQ號碼、游戲帳號、裝備等。
"箱子"批發商通過出租或者銷售"箱子"(即可以盜取虛擬資產的木馬,可以將盜取的號碼收集起來)牟利,他們往往擁有自己的木馬或者木馬生成器。
"信封"批發商通過購買或者租用"箱子",通過出售收獲的信封牟利。
"信封"零售終端負責過濾"信封"中收集到的有價值的虛擬資產並進行銷售。
每個環節各司其職,專業化趨勢明顯。
3、病毒"運營"模式互聯網化
病毒團伙經過2008一年的運營已經完全轉向互聯網,攻擊的方式一般為:通過網站入侵->寫入惡意攻擊代碼->利用成為新型網路病毒傳播的主要方式,網民訪問帶有掛馬代碼的『正常網站'時,會受到漏洞攻擊而『不知不覺'中毒。
這種傳播方式的特點是快速、隱敝性強、適合商業化運營(可像互聯網廠商一樣精確統計收益,進行銷售分成)。
例如 "機器狗"病毒,"商人"購買之後,就可以通過"機器狗"招商。
因為機器狗本身並不具備"偷"東西的功能,只是可以通過對抗安全軟體保護病毒,因此"機器狗"就變成了病毒的渠道商,木馬及其他病毒都紛紛加入"機器狗"的下載名單。
病毒要想加入這些渠道商的名單中,必須繳納大概3000塊錢左右的"入門費"。
而"機器狗"也與其他類似的"下載器"之間互相推送,就像正常的商業行為中的資源互換。
這樣,加入了渠道名單的病毒就可以通過更多的渠道進入用戶的電腦。
病毒通過哪個渠道進入的,就向哪個渠道繳費。
此外,病毒的推廣和銷售都已經完全互聯網化。
病毒推廣的手法包括通過一些技術論壇進行推廣,黑客網站也是推廣的重要渠道,此外還包括網路貼吧、QQ群等渠道進行推廣。
其銷售渠道也完全互聯網化,銷售的典型渠道包括:公開拍賣網站,比如淘寶、易趣等。
還有通過QQ直銷,或者通過專門網站進行銷售。
4、病毒團伙對於"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。
當ms08-67漏洞被爆光後部分流行木馬下載器就將此漏洞的攻擊代碼集成到病毒內部實現更廣泛的傳播。
而年底出現的IE0day漏洞,掛馬集團從更新掛馬連接添加IE 0day漏洞攻擊代碼到微軟更新補丁已經過了近10天。
期間有上千萬網民訪問過含有此漏洞攻擊代碼的網頁。
此外,2008年Flash player漏洞也給諸多網民造成了損失。
由於軟體在自身設計、更新、升級等方面的原因,存在一些漏洞,而這些漏洞會被黑客以及惡意網站利用。
在用戶瀏覽網頁的過程中,通過漏洞下載木馬病毒入侵用戶系統,進行遠程式控制制、盜竊用戶帳號和密碼等,從而使用戶遭受損失。
金山毒霸團隊密切關注windows系統軟體漏洞和第三方應用軟體漏洞信息,及時更新漏洞庫信息,同時金山清理專家採用P2SP技術,大大提高了補丁下載的速度,減少了用戶電腦的風險暴露時間。
5、 病毒與安全軟體的對抗日益激烈
在病毒產業鏈分工中,下載器扮演了『黑社會'的角色,它結束並破壞殺毒軟體,穿透還原軟體,『保護'盜號木馬順利下載到用戶機器上,通過『保護費'和下載量分臟。
下載者在2008年充當了急先鋒,始終跑在對抗殺毒軟體的第一線,出盡風頭且獲得豐厚回報。
從『AV終結者'的廣泛流行就不難看出,對抗殺毒軟體已經成為下載者病毒的『必備技能'。
縱觀08年的一些流行病毒,如機器狗、磁碟機、AV終結者等等,無一例外均為對抗型病毒。
而且一些病毒製作者也曾揚言"餓死殺毒軟體"。
對抗殺毒軟體和破壞系統安全設置的病毒以前也有,但08年表現得尤為突出。
主要是由於大部分殺毒軟體加大了查殺病毒的力度,使得病毒為了生存而必須對抗殺毒軟體。
這些病毒使用的方法也多種多樣,如修改系統時間、結束殺毒軟體進程、破壞系統安全模式、禁用windows自動升級等功能。
病毒與殺毒軟體對抗特徵主要表現為對抗頻率變快,周期變短,各個病毒的新版本更新非常快,一兩天甚至幾個小時更新一次來對抗殺毒軟體。
金山毒霸通過強化自保護功能,提高病毒攻擊的技術門檻。
目前,金山毒霸雲安全體系可以做到病毒樣本的收集、病毒庫更新測試和升級發布全無人值守,自動化的解決方案以應對病毒傳播製作者不斷花樣翻新的挑戰。
三、2009年計算機病毒、木馬發展趨勢預測
1、0Day漏洞將與日俱增
2008年安全界關注的最多的不是Windows系統漏洞,而是每在微軟發布補丁隨後幾天之後,黑客們放出來的0Day 漏洞,這些漏洞由於處在系統更新的空白期,使得所有的電腦都處於無補丁的可補的危險狀態。
黑客在嘗到0day漏洞攻擊帶來的巨大感染量和暴利以後會更加關注於0day漏洞的挖掘,2009年可能會出現大量新的0day漏洞(含系統漏洞及流行互聯網軟體的漏洞),病毒團伙利用0day漏洞的發現到廠商發布補丁這一時間差發動漏洞攻擊以賺取高額利潤。
2、網頁掛馬現象日益嚴峻
網頁掛馬已經成為木馬、病毒傳播的主要途徑之一。
入侵網站,篡改網頁內容,植入各種木馬,用戶只要瀏覽被植入木馬的網站,即有可能遭遇木馬入侵,甚至遭遇更猛烈的攻擊,造成網路財產的損失。
2008年,網站被掛馬現象屢見不鮮,大到一些門戶網站,小到某地方電視台的網站,都曾遭遇掛馬問題。
伴隨著互聯網的日益普及,網頁掛馬已經成為木馬、病毒傳播的主要途徑之一的今天,金山毒霸反病毒工程師預測2009年網路掛馬問題將更加嚴峻,更多的網站將遭遇木馬攻擊。
3、病毒與反病毒廠商對抗將加劇
隨著反病毒廠商對於安全軟體自保護能力的提升,病毒的對抗會越發的激烈。
病毒不再會局限於結束和破壞殺毒軟體,隱藏和局部『寄生'系統文件的弱對抗性病毒將會大量增加。
4、新平台上的嘗試
病毒、木馬進入新經濟時代後,肯定是無孔不入;網路的提速讓病毒更加的泛濫。
因此在2009年,我們可以預估vista系統,windows 7系統的病毒將可能成為病毒作者的新寵;當我們的智能手機進入3G時代後,手機平台的病毒/木馬活動會上升。
軟體漏洞的無法避免,在新平台上的漏洞也會成為病毒/木馬最主要的傳播手段。
四、2009年反病毒技術發展趨勢
在病毒製作門檻的逐步降低,病毒、木馬數量的迅猛增長,反病毒廠商與病毒之間的對抗日益激烈的大環境下,傳統"獲取樣本->特徵碼分析->更新部署"的殺毒軟體運營模式,已無法滿足日益變化及增長的安全威脅。
在海量病毒、木馬充斥互聯網,病毒製作者技術不斷更新的大環境下,反病毒廠商必須要有更有效的方法來彌補傳統反病毒方式的不足,"雲安全"應運而生。
金山毒霸"雲安全"是為了解決木馬商業化的互聯網安全形勢應運而生的一種安全體系結構。
它包括智能化客戶端、集群式服務端和開放的平台三個層次。
"雲安全"是現有反病毒技術基礎上的強化與補充,最終目的是為了讓互聯網時代的用戶都能得到更快、更全面的安全保護。
首先穩定高效的智能客戶端,它可以是獨立的安全產品,也可以作為與其他產品集成的安全組件,比如金山毒霸 2009和網路安全中心等,它為整個雲安全體系提供了樣本收集與威脅處理的基礎功能;
其次服務端的支持,它是包括分布式的海量數據存儲中心、專業的安全分析服務以及安全趨勢的智能分析挖掘技術,同時它和客戶端協作,為用戶提供雲安全服務;
最後,雲安全需要一個開放性的安全服務平台作為基礎,它為第三方安全合作夥伴提供了與病毒對抗的平台支持,使得缺乏技術儲備與設備支持的第三方合作夥伴,也可以參與到反病毒的陣線中來,為反病毒產業的下游合作夥伴提供商業上的激勵,擺脫目前反病毒廠商孤軍奮戰的局面。