问题描述:
问题解答:
“2003蠕虫王”病毒的攻击方法及受影响的系统
2003蠕虫王是继去年大规模爆发的“红色代码”病毒以后,又一个基于网络数据包攻击的病毒,此病毒攻击微软Windows操作系统下的SQL Server 2000服务器,受影响系统包括安装了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
Microsoft Windows NT 4.0 SP6a
Microsoft Windows NT 4.0 SP6
Microsoft Windows NT 4.0 SP5
Microsoft Windows NT 4.0
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1。
这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,恶意黑客利用此漏洞可以在远程机器上执行自己准备好的恶意代码。
病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的1434端口,利用SQL Server漏洞执行病毒代码,根据系统函数GetTickCount产生种子计算伪IP地址,向外部循环发送同样的数据包,造成网络数据拥塞,同时本机CPU资源99%被占用,本机将拒绝服务。
双波病毒
冲击波:
2003年8月11日,首个利用微软的RPC漏洞对互联网进行大范围攻击的病毒“冲击波”(I-Worm/Blaster)首先在美国爆发,紧接在12小时之内流传到中国。所有没打上RPC补丁的计算机,几乎无一幸免,一夜之间,数万台机器停止响应或是频繁重启,正在执行的任务来不及保存,数据丢失。特别是局域网用户,一台机器感染,所有使用WINDOWS2000以上操作系统的机器全部中毒。
该蠕虫病毒利用TCP 135端口,通过 DCOM RPC 漏洞进行攻击,病毒运行时,按照一定的规则来攻击网络上特定IP段的机器,向所有随机IP段对应机器的所有135端口发布攻击代码,成功后,在TCP的端口4444创建cmd.exe文件。该病毒还能接受外界的指令,在UDP的端口69上接受指令,发送文件Msblast.exe 网络蠕虫主体。8月以后或者当前的系统日期是15号以后,此病毒还试图拒绝windowsupdate.com服务,以使计算机系统失去更新补丁程序的功能。
“冲击波”已给全球造成经济损失高达数十亿元。
震荡波:
2004年5月1日该病毒首次被截获以来,在短短几天席卷全球电脑用户,12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写,该病毒跟2003年的“冲击波”病毒非常类似,同属于的网络蠕虫,感染Windows 2000、Windows Server 2003、Windows XP系统,它是利用微软的MS04-011漏洞,通过互联网进行传播,但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统,在含有漏洞的系统的TCP端口5554建立FTP文件服务器,自动创建FTP脚本文件,并运行该脚本,该脚本能自动引导被感染的机器下载执行蠕虫程序,用户一旦感染后,病毒将从TCP的1068端口开始搜寻可能传播的IP地址,系统将开启上百个线程去攻击他人,造成计算机运行异常缓慢、网络不畅通,并让系统不停的进行重新启动。
2004年7月3日 五毒虫
7月13日,金山通过其全球病毒监测网截获了最新的“恶邮差”病毒变种也就是瑞星说的“爱情后门”,在7月13日金山还是把这个病毒当做“恶邮差”变种处理。到第二天,其破坏性突然激增,已经有很多用户受到感染,远远超过了一个变种病毒所带来的危害。其融入了更多的破坏方式、传染方式,这个病毒已经成为一个新的病毒。
在7月14日晚,经过认真判断此病毒已远远超过“恶邮差”变种病毒的范围,如果又当做老病毒的变种处理,会让用户对于这个病毒造成忽视。14日,金山在媒体上率先称为“五毒虫”病毒也并无不妥之处。业内专家认为,面对危害严重的病毒,反病毒厂商可以为一个危害严重的新病毒起易懂名字,从而提醒更多用户注意。金山人士称,“五毒虫”病毒的行为已经超过“恶邮差”病毒的范围,在病毒命名英文名上金山毒霸要和国际接轨规范英文病毒命名,中文名上我们率先起了新的名字,同时也通报了公安部该病毒的危害性,建议启用新的名称。。
病毒命名是厂商根据病毒的破坏性、传染性、和对用户造成的影响的多方面情况来进行评价的,由厂商来给出一个合适的名称。目前,公安部门也正在规范电脑病毒命名。
据另一家反病毒厂商瑞星表示,金山毒霸拿“老”病毒来进行炒作,针对这种说法,金山相关人士表示,瑞星的说法不仅缺少科学性,更是一种扣帽子与诽谤。首先一个病毒演变成各种极具危害的新病毒,只有升级到最新的杀毒软件病毒库才能够对新病毒进行查杀。“五毒虫”在不升级杀毒软件的情况下是完全不能查杀的。从这一点上就可以说明“五毒虫是一个新的病毒。
金山的病毒监测网建设非常全面,我们通过多种手段监测到病毒后马上对其进行查杀然后加入到最新的病毒库当中。至于瑞星能否查杀,还要看其病毒监测网如何。某些杀毒厂商极力说明这个病毒是老病毒,那么另外一层意思反映了什么,就是病毒监测网的建设和管理问题了。
至于金山为什么把这个病毒叫做“五毒虫”,据业内人士了解,这是金山公司根据病毒具有五种病毒的特性而起的新名称。厂商要做的只是把最新的病毒告诉给自己的用户,让用户尽快升级到新的病毒库。金山又向外宣布:金山毒霸的所有用户都可以查杀“五毒虫”病毒!
当前,病毒应急机制很重要,处理新病毒的能力直接反映着一个厂商病毒监测网的能力,反病毒厂商金山表态,不排除与国内外同类厂商之间的合作,共同加强建设中国的反病毒检测网。包括病毒命名都可以共同合作,目的只有一点,让用户不受病毒的侵害。
这3类是危害最大的!
还有去年的灰鸽子(这个其实不算,只算一种远程控制),熊猫烧香等!
AV终结者(名称很杂,无统一标准)
该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播。中毒现象:
1.生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3.不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5.破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6.当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8.病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
“熊猫烧香”(Worm.Nimaya)
该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。该变种会感染用户计算机上的EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。目前多家著名网站已经遭到此类攻击,而相继被植入病毒
灰鸽子(Trojan.Huigezi)
灰鸽子是国内一款著名后门病毒。2007年2月21日,灰鸽子2007beta2版本发布。该版本可以对远程计算机进行如下操作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。
蠕虫“小浩”(WormXiaoHao.A)
被感染后文件图标变“浩”字,与“熊猫烧香”相似.该蠕虫和之前出现的蠕虫“熊猫烧香”具有相似的特点,都可以感染可执行文件(后缀名为.EXE)。与其不同的是,被感染后的可执行文件将无法正常运行和恢复。蠕虫运行后,会在受感染计算机系统中的每个磁盘根目录下释放两个病毒文件,使文件感染成为新的病毒文件,同时被感染后的文件图标变为一个“浩”字的图样。另外,蠕虫还会利用Windows系统的自动播放功能并结合U盘来进行病毒传播。一旦计算机双击染有该蠕虫的U盘,系统就会受到感染
威金蠕虫(Worm.Viking)
该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。采用Delphi语言编写,并经过加壳处理.在Windows目录下释放病毒文件。修改注册表,实现开机自启。在每个被感染过的文件目录下生成_desktop.ini文件,文件里标记着病毒发作日期。感染用户计算机上的可执行文件,并通过密码字典破解弱密码,利用网络共享感染局域网内的其它计算机,具有很强的破坏性。当用户的计算机被“威金”变种atk感染后,会导致大部分应用程序不能正常使用。
新欢乐时光(Script.RedLof )感染这个病毒后有两个明显的表现:a.在每个目录中都会生成folder.htt(带毒文件)和desktop.ini(目录配置文件);b.电脑运行速度明显变慢,在任务列表中可以看到有大量的Wscript.exe程序在运行。 用VBS编写的多变形、加密病毒,感染扩展名.html, .htm, .asp, .php, .jsp, .htt和.vbs文件,同时该病毒会大量生成folder.htt和desktop.ini,并在%windir%System中生成一个名字叫Kernel.dll的文件(Windows 9x/Me)或kernel32.dll(Windows NT/2000),修改.dll文件的打开方式,感染Outlook的信纸文件。
ANI蠕虫 (Trojan-Downloader.Win32.Ani)
ANI病毒是一个Win32平台下的感染型蠕虫,可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,并可连接网络下载其他病毒。
MSN骗子(Worm.msn.funny)
病毒会通过QQ和MSN发送大量的垃圾信息和“Funny.exe”病毒文件,同时用病毒文件替换系统文件,造成某些用户重启机器之后无法正常开机,给用户带来了非常大的困扰。
QQ尾巴(Worm.QQTailEKS)
该病毒可通过QQ发送消息自动传播,而且病毒运行后会自动更新,并不断弹出一些垃圾网页.
爱情后门(Worm.Lovgate)
一个集蠕虫后门黑客于一身的病毒。当病毒运行时,将自己复制到windows目录下,文件名为:WinRpcsrv.exe并注册成系统服务。然后把自己分别复制到system目录下,文件名为syshelp.exe,WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。(该代码,将响应用户tcp请求建方一个远程shell进程。win9x为command.com,NT,WIN2K,WINXP为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=rpcsrv.exe。并进入传播流程。
马吉斯(Worm.Magistr)
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。病毒源文件为boot.exe,由用户从U盘上提取。病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfo.dll和%SystemRoot%\system32\drivers\IsDrv118.sys并加载,然后调用linkinfo.dll的序号为101的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件
上海旅游网