最近为了软考特地了解一下病毒相关
QQ枪手木马Trojan/PSW.QQHunter,于2004年7月22日,被江民反病毒中心截获。该木马通过安装定时器和挂接钩子来获取用户的QQ密码,然后通过自带的SMTP引擎发送到木马安装者的邮箱里去。不同于以往大多数QQ木马,只能针对单一版本的QQ,该木马可以盗取几乎所有版本的QQ账号、密码。
网络神偷是一个专业级的远程文件访问工具,针对远程文件访问,而不是远程控制,力求“专而精”。并高度模仿 Windows资源管理器,简单易用,目标是使访问远程驱动器就象访问本地的一样方便。可对本地及远程驱动器进行:新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括:本地文件操作、上传、下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作,支持断点续传,并且所有操作均支持多选及文件夹操作。
盗号,就是通过一定手段,盗取他人账号和密码。当我们的账号受到侵害时就可以用合理手段维护自己的权利。且盗号是一种不合理手段。
盗号的常用手段包括以下几种:
1.(未通过网络)诱骗他人帐号密码。例如:熟人之间套取你的帐号密码以获得权限。
2.偷窥他人帐号密码。例如:网吧里有人在你输入帐号密码时偷窥。
3.网站钓鱼.利用帐号所有者占小便宜的心理,通过虚假中奖信息,诱骗其进入盗号者仿冒的“官方网站”领取奖励,这种网站与官方网站做得几乎一样,使上网者极易受骗。网站上会要求帐号所有者输入帐号密码。从而轻而易举地获得受害人的帐号和密码。例如:某个网游里有人说你已经中奖让你登陆某网站领取游戏币或者游戏装备、游戏宠物等,或者QQ挂机网站。
4.部分网吧所有者或者网吧管理人员利用键盘输入监控程序窃取上网者的键盘输入信息,经过分析获得上网者在键盘上输入的帐号密码。
5.提供网络服务的公司内部人员监守自盗,将客户信息出售给直接盗号者。
6.入侵帐号官方的主机数据库,直接获得帐号所有者的帐号密码信息。由于官方的安全保护一般比较强,这种盗号很少见。
7.通过病毒以及木马(一种程序)入侵他人计算机,再通过类似监控程序盗取他人帐号和密码信息。这类人即所谓的hacker(黑客)以及cracker(骇客)。通过木马与病毒盗号者占绝大多数。
8.运用社会工程学技术进行盗号。利用人们对安全意识的淡薄,使用密码撞库进行盗号。在密码外泄门事件以来这种盗号方式逐渐流行。还有就是恶意申诉盗号,比如QQ申诉。
熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。除通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
QQ尾巴是一种攻击QQ软件的木马程序,中毒之后,QQ会无故向好友发送垃圾消息或木马网址。
灰鸽子( Huigezi)又叫灰鸽子远程控制软件,原本该软件适用于公司和家庭管理,但因早年软件设计缺陷,被黑客恶意使用,曾经被误认为是一款集多种控制方式于一体的木马程序。配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后骇客利用一切办法诱骗用户运行G_Server.exe程序。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
广外女生木马(Trojan.GWGirls10a.192000)是一种2001年左右出现的远程监控工具。
这个木马是广东外语外贸大学“广外女生”网络小组的作品,并因此得名。它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比,它具有体积更小、隐藏更为巧妙的特点。
冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑。
震荡波(Shockwave)是一种电脑病毒,为I-Worm/Sasser.a的第三方改造版本。该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统奔溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows 2000\XP\Server 2003\NT4.0。
莫里斯蠕虫不是“借取资源”,而是“耗尽所有资源”。是通过互联网传播的第一种蠕虫病毒。它既是第一种蠕虫病毒,也是第一次得到主流媒体的强烈关注。它也是依据美国1986年的《计算机欺诈及滥用法案》而定罪的第一宗案件[1]。该蠕虫由康奈尔大学学生罗伯特·泰潘·莫里斯(Robert Tappan Morris)编写,于1988年11月2日从麻省理工学院(MIT)施放到互联网上。
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
QQ木马,该病毒是针对QQ即时聊天工具的盗号木马。病毒运行后会修改注册表增加启动项,破坏QQ医生的运行。然后通过内存读取的方式盗取用户的QQ号和密码,并把密码发送到木马种植者的手上。
宏病毒是针对微软公司的文字处理软件Word编写的一种病毒。微软公司的文字处理软件是最为流行的编辑软件,并且跨越了多种系统平台,宏病毒充分利用了这一点得到恣意传播。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。