按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
3。 XM: Excel宏病毒在Excel5。0和Excel95下制作完成并传播发作,同样,此种病毒也可以在 Excel97或以上版本传播发 作。
4。 X97M: 在Excel97下制作完成的Excel宏病毒,此类病毒也可以在Excel5。0和Excel97下传播发作。
5。 XF: Excel程序下的病毒,此类病毒是用Excel4。0把程序片断植入新的Excel文档中的。
6。 AM: 在Access95下制作完成并传播发作的Access的宏病毒。
7。 A97M: 在Access97下制作完成并传播发作的Access的宏病毒。
8。 W95: 顾名思义,这类是视窗95病毒,运行在视窗95操作系统下,当然也可以运行在视窗98下。
9。 Win: 视窗3。x病毒,感染视窗3。x操作系统的文件。
10。 W32: 32位视窗病毒,感染所有的32位视窗平台。
11。 WNT: 同样是32位视窗病毒,但只感染视窗 NT/2000操作系统。
12。 HLLC: 高级语言伴随(High Level Language panion)病毒,他们通常是DOS病毒,通过新建一个附加的文件来传播。
13。 HLLP: 高级语言寄生(High Level Language Parasitic)病毒,这些通常也是DOS病毒,寄生在主文件中。
14。 HLLO: 高级语言改写(High Level Language Overwriting)病毒,通常是DOS病毒,以病毒代码改写主文件。
15。 Trojan/Troj: 这并不是病毒,只是特洛伊木马,通常装扮成有用的程序,但通常包括了进行破坏或者窃取数据的恶意代码,特洛伊木马并不会传染。
16。 VBS: 用Visual Basic Script脚本语言编写的病毒。
17。 JS:使用JAVAScript脚本语言编写的病毒。
18。 PHP:使用PHP脚本语言编写的病毒。
19。 HTML:使用HTML语言编写的病毒。
20。 AOL: 美国在线(AOL)环境下特殊的木马,其目的通常位窃取AOL的密码等信息。
21。 PWSTEAL: 窃取密码等信息的木马。
22。 JAVA: 用JAVA程序语言编写的病毒。
病毒中间的名字是唯一区别病毒的重要名字,是可以自由发挥的,一般是由病毒的首次发现人(当然,首次发现人有时候是病毒的制造者)命名的,基本的命名原则是这样的:
1。 首先是根据病毒发作时的症状命名,早期的病毒多半是这样命名的,例如:“石头”,“雨点”等。
2。 然后是病毒的发源地,比如说“耶路撒冷”、“中国一号”等。
3。 随着病毒数目的直线上升,症状也越来越复杂,使用症状或者地名都不能很有效的区别病毒了,所以现在病毒的命名基本上是从病毒代码中找到一些有特征的字符串,如果找不到就根据病毒的行为找一个比较贴切的名字。
最后的后缀名有时候是不需要的,只是在病毒如果存在很多变种的情况下,使用不同长度、不同的感染特征等等来区分病毒的不同变种。
第三节 “我爱你”,浪漫背后的陷阱
“我爱你”(I LOVE YOU),当你第一次听到这句话的时候,一定有一种浪漫而且激动的心情吧。如果你收到标题是“我爱你”的一封电子邮件之后,你可能第一个反应就是迫不及待的把它打开,看一看是那一个陌生的倾慕者发给自己表白的信。但是遗憾的是,这封信更有可能是一个名叫“爱虫”(LOVE Letter)的病毒,这个病毒的出现,预示着基于邮件系统的因特网蠕虫类病毒已经成为目前病毒发展的一个主要方向。
出现和传播
2000年5月4日,一种名为〃我爱你〃的电脑病毒开始在全球各地迅速传播。这个病毒是通过微软Outlook电子邮件系统传播的,邮件的主题为〃I LOVE YOU〃,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒。
“爱虫”病毒,是一种蠕虫病毒,它与1999年的“梅丽莎”病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。由于通过广泛使用的电子邮件系统传播,“爱虫”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨国公司的电子邮件系统遭到袭击。据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。目前,〃爱虫〃仍在迅速扩散之中,其危害性将继续扩大。
“爱虫”具有众多的变种
由于脚本语言的简单性,而且在任何被病毒感染的用户可以很容易的看到病毒的源代码,这里面也不乏一些具有较高技术水平,同时还有一些恶作剧心理的人,他们呢对“爱虫病毒进行简单的修改,比如说在邮件中使用其他的主题等,在“爱虫”病毒发现后的短短几天内,就出现了很多“爱虫”病毒的变种,带有这些变种的电子邮件主题词中往往带有“笑话”“重要信息”等词句,以引诱用户打开邮件。新的变种即使在2001年仍然不断出现。
〃爱虫〃病毒技术细节分析
该病毒的名称是:VBS。LoveLetter
VBS。LoveLetter病毒具有下面的特征:
“爱虫”病毒是一个基于电子邮件系统的VBS(Visual Basic Script)脚本病毒,它以一个电子邮件的附件到达您的邮箱,邮件的主题是 ILOVEYOU(全大写,无空格)。
原始的“爱虫”病毒所包含的电子邮件具有下面的正文(众多的变种可能包含不一样的文字):
请尽快查收来自我的邮件附件的LOVELETTER。
邮件带有名为 LOVE…LETTER…FOR…YOU。TXT。vbs 的附件。。VBS扩展名是否显示,依赖于系统的设置,如果系统设置中包含了“隐藏已知类型文件的扩展名”,打开文件夹的时候,你将看到一个TXT文件,而实际上这是一个可执行的VBS脚本文件。如果您收到了一封与以上所述相符的电子邮件,如果使用的是Outlook,甚至不要试图阅读这个邮件,如果是其他的邮件客户程序,一定不要打开邮件的附件,并立即删除该邮件。
“爱虫”病毒通过产生如上所述的电子邮件传播,病毒将自身作为邮件的附件,发送给在Outlook 通讯簿中的所有收件人。在一些大的公司和机构中,产生的大量电子邮件可能会使电子邮件服务器超载,处于瘫痪状态。
“爱虫”病毒可以传播的平台包括:视窗98; 缺省安装的视窗2000 和视窗NT 4。0 以上以及安装了视窗脚本引擎(Windows Scripting Host)的视窗95系统。病毒体可能有多种不同的名字出现,包括:
* 在视窗系统安装目录中的文件名是Win32DLL。vbs
* 在视窗系统安装目录下的系统目录中的文件名为MSKernel32。vbs 以及LOVE…LETTER…FOR…YOU。TXT。vbs。
“爱虫”病毒修改下面的注册表项目,以便它在下次启动机器的时候可以自动运行:
“爱虫”病毒还设置微软网络探险家浏览器(Internet Explorer)缺省的主页,自动下载一个叫做WIN_BUGFIX。exe 的文件,这个文件看起来象是一个〃后门服务器〃(backdoor server)。人们多次对指向的地址进行连接都没有成功,也就是说该文件在因特网上真实的位置目前是关闭的,这个传说中的后门服务器一直没有找到。
可执行文件将被安装和重命名,以便在启动系统时也能运行:
“爱虫”病毒搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG; VBS; JS; JSE; CSS; WSH; SCT; HTA; MP3和MP2 的所有文件,给无VBS后缀的文件名添加VBS扩展名。如:一个名为Satisfaction。MP3的文件将变为Satisfaction。MP3。VBS。下一次染毒文件被点击或被激活,病毒将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,“爱虫”病毒将产生一个HTML文件,将自身发送到IRC频道中。
检测与清除:
删除在视窗系统目录中的病毒的拷贝:
视窗系统安装目录
Win32DLL。vbs
视窗系统安装目录下的系统目录
MSKernel32。vbs
视窗系统安装目录下的系统目录
LOVE…LETTER…FOR…YOU。TXT。vbs
查找整个系统,搜寻〃*。vbs〃,将它们删除掉,以确保安全。如果你运行mIRC,删除它的script。ini文件。
你可以使用注册表编辑程序(Regedit)手动删除上面所描述的又来自动启动的注册表键值。
第四节 “CIH”的噩梦
“CIH”名字的由来是因为在CIH病毒中间,出现了病毒作者陈盈豪名字的缩写,在网上和陈盈豪交流过好多次了,感觉他是一个很腼腆的人。但是CIH病毒可以说是世界上影响最大的病毒之一,其创造性的技术甚至被某些反病毒软件利用作为病毒防火墙的核心!
1998年的7月26日,名叫CIH的计算机病毒首次露面,袭击了美国,病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗。一个月后,该病毒在中国大陆出现,给多家计算机应用单位造成严重损失。今年4月26日该病毒又一次在全球总爆发,据有关报道,全球有六千万台电脑受到破坏,大量重要资料无法复原,灾情严重者,连计算机主板硬件也不得不更换。仅一天,由于CIH病毒发作,在中国大陆受损的电脑总数约有卅六万台, 所造成的直接、间接经济损失超过十亿元人民币。
CIH病毒是一种文件型病毒,又称Win95。CIH、Win32。CIH、PE_CIH,是感染Windows95/98环境下PE格式(就是微软的一种可执行文件的格式,虽然不是可移植的,就是说不能在苹果机或者其他的工作站上运行,但是微软还是把它命名为可移植的文件格式)文件的病毒。不同于以往的DOS型病毒,CIH病毒是建立在WINDOW95/98平台。由于微软WINDOWS平台的不断发展,DOS平台已逐渐走向消亡,DOS型病毒也将随之退出历史的舞台。随之而来的是攻击Windows系统病毒走上计算机病毒的前台。可以预测,在未来几年内,连同宏病毒在内,Windows平台将会是造病毒和反病毒的主战场。
目前CIH病毒有多个版本,典型的有:CIH版本1。2:四月二十六日发作,长度为1003个字节,包含字符:“CIHv1。2TTIT”,这也是目前流传最广泛的病毒;CIHv1。3:六月二十六日发作,长度为1010个字节,包含字符:“CIHv1。3TTIT”;CIHv1。4:每月二十六日发作,长度为1019个字节,包含字符:“CIHv1。4TATUNG”。我们重点对版本1。2进行分析。
病毒的表现形式、危害及传染途径
CIH病毒是一种文件型病毒,其宿主是Windows 95/98系统下的PE格式可执行文件即。EXE文件,就其表现形式及症状而言,具有以下特点:
受感染的。EXE文件的文件长度没有改变;
DOS以及视窗3。1 格式(NE格式)的可执行文件不受感染,并且在视窗NT/2000中病毒不起作用。
一个最简单的查找CIH病毒的方法是用资源管理器中 “工具》查找》文件或文件夹”的“高级》包含文字”查找所有。EXE特征字符串〃CIH v〃,在查找过程中,显示出一大堆符合查找特征的可执行文件,很可能意味着你的机器已经被CIH病毒感染了。
如果被CIH病毒感染的机器在4月26日开机,很可能会造成显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。
病毒的危害主要表现在于病毒发作后,硬盘数据全部丢失,甚至主板上的BIOS中的原内容被会彻底破坏,主机无法启动。只有更换BIOS,或是向固定在主板上的BIOS中重新写入原来版本的程序,才能解决问题。
该病毒是通过文件进行传播。计算机开机以后,如果运行了带病毒的文件,其病毒就驻留在视窗操作系统的系统内存里了。此后,只要运行了PE格式的。EXE文件,这些文件就会感染上该病毒。
病毒的运行机制
同传统的DOS型病毒相比,无能是在内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都于众不同,新颖独到。病毒的代码不长,CIHv1。2只有1003个字节,其他版本也大小差不多。它绕过了微软提供的应用编程界面(API),绕过了ActiveX、C++甚至C,使用汇编,利用VxD(虚拟设备驱动程序)接口编程,直接杀入视窗操作系统的内核。它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即前面所说的“空洞利用”,将病毒化整为零,拆分成若干块,插入宿主文件中去。
最引人注目的是特征可能是“