2006年重大病毒木马事件大阅兵
2006病毒木马整体特点
据金山毒霸全球反病毒监测中心资料记裁,其在上半年共捕获85552种病毒,其中的急性、恶性病毒为37735种,占44.1%。与往年相比,这个数量已经超过了近两年的病毒总数。而江民病毒疫情监测预警中心的月统计数据显视,仅11月为例:木马感染的计算机为1401256、后门为304162、蠕虫127040、漏洞攻击12501、脚本7711、宏病毒为835、其它攻击为61876,如此大的数据只占冰山一角让人不寒而立。由此得知病毒在此一年呈持续上涨趋势,大有一斩系统安全于马下的霸气。
以前的病毒制造者通常是利用改变字符串,增加新内容的方式进行重编译,而现在病毒编制更加容易,稍微懂点编程技术的用户即可在网络中找到类似病毒的功能模块,只要进行简单组装即可制造出病毒或木马,而病毒疫情在2006年总体可分为:病毒增长变种速度快并利用勒索木马进行偷、抢、骗行为愈演愈烈,病毒传播途径呈现多元化跨平台趋势,以多数量小面积的方式进行传播,这种以多数量小面积传播的病毒更是和反病毒软件比赛升级时间,甚至出现了一天之内同一病毒连续升级数十次的情况。而加壳手段是恶意用户的首选,将可执行程序文件或动态链接库文件的编码进行改变、改变、压缩、加密以达到不被杀毒软件查杀目的。此时作为杀毒软件厂商开始研发独立模块专门负责解壳,脱壳引擎应运而生。总体而言2006病毒体现出了病毒技术提高,利用热点事件进行传播如:“世界杯电子门票”、“斯克曼”蠕虫等,有的病毒还将自身捆绑到正常的文档中,大有从系统漏洞演变为文件格式漏洞传播方式进行的趋向。由此同时出现了全球首个以Rootkit、跨平台为高端技术代表的病毒(Win32/Linux.Bi.a),该病毒目前无传播能力,但可以感染用户当前目录下的可执行文件。
木马病毒报告书
2006年前沿病毒中,灰鸽子木马(Backdoor.Huigezi)以其变种强捍位居首位,传奇型木马(此类型的木马很多,并且网络中不断出现新变种,现已发展到能阻止杀毒软件、反木马软件的运行,其中危害较大的有网吧传奇杀手、传奇黑面、传奇男孩、蜜蜂大盗、传奇盗号木马。)以窃取“传奇”等网络游戏账号为目的其危害也不容小视,高波(Backdoor.Win32.Agobot.bhj)病毒也有抬头的趋势,另外利用微软IE浏览器MHTML跨安全区脚本执行漏洞MS03-014的CHM木马也是令人头痛,而通过腾迅QQ传播的QQ大盗病毒因其传播面广闻名于网络,著名的维京病毒依靠自身具备文件型病毒、蠕虫病毒、病毒下载器类型病毒的特点挤身于2006病毒前排,本年度拥有工行网络银行的网名最担心的要数到工行钓鱼木马(TrojanSpy.Banker.yy),此类病毒专门监视IE浏览器访问的网页,一但发现网络用户在工行网上银行页面中输入了帐号、密码,并进行了提交时,立即弹出伪造的非法页面,从而提示用户修改密码信息,并通过后台发送电子信件的形式获得用户名与密码。
传播高的有Risk.Exploit.Wmf 下载木马 ;JS.Smalll 网页木马 ;Win32.Parite.a.6958感染文件型病毒 ;Win32.Troj.Agent.24576广告木马;Win32.Troj.DL.Ag.19456 广告木马;Win32.Troj.Clicker.gj.98304 广告木马 ;Win32.Troj.Agent.se.35840广告木马 ;Win32.Troj.Agent.rs.17408 广告木马 ;JS.Psyme.am 网页木马。其传染相对较大危害程序重的有:灰鸽子 Win32.Hack.Huigezi 远程控制后门 ; QQ阿拉大盗Win32.Troj.QQRobber;QQ传递者Win32.Troj.QQPass ;QQ收集者 Win32.Troj.QQShou ;传奇盗贼 Win32.Troj.Lmir ;天堂盗贼Win32.Troj.Lineage;征途盗贼Win32.Troj.PswZhengtu;WOW盗贼Win32.Troj.WOW;PC共享者Win32.Hack.PcShare ;键盘记录者Win32.Troj.KeyLog等。病毒木马永远是网络中最困扰网名的一大心病,预防才是最好的手段,千万不能等病毒入住计算机而毫无准备,那样将失去网民不该失去的东西。
病毒代表及整治方法
2006年最疯狂的莫过于灰鸽子木马,因其加壳成功率相对较高,并通过特殊技术处理,修改病毒文件的方式逃过杀毒软件的追杀,有时恶意用户还会进行查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,进行多次加壳方式来达到目的,形成了已知病毒躲避杀毒软件的查杀功能,即成为传说中的免杀版。灰鸽子进驻系统后十分令人讨厌,可以监看用户各种信息,并可控制远程摄像头进行拍摄,一不留神即将带来各种损失。其清除方法虽然步骤复杂,但依然可以清除,其方法如下:
一、启动系统按F8键进入计算机安全模式,用文件查找功能找出ok88.dll、ok88_Hook.dll和ok88.dll这三个文件(提示:ok88此文件名是根据程序所命名的不同而改变)一一删除。(图一)
|
文件搜索图
二、进入注册表在其中找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services项,在其中查找服务所对应的可疑可执行程序,将其删除便可清除木马服务,稍微有点知识的网络管理人员可利用DOS下的netstat -an命令及灰鸽子攻击器工具对其进行反攻击。
蜜蜂大盗(Win32.Troj.MiFeng70)可盗取一系列网络游戏如:奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ、腾迅QQ、传奇等帐号密码,此木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下添加键值"internet"="%SYSTEM%"/%VIRUSNAME%";对注册表主键HKLM/SOFTWARE/Classes /xtfile/shell/open/command修改键值"默认"="%SYSTEM%"/%VIRUSNAME%" "%1"(图二);
|
灰鸽子注册表键值图
在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG,作为一般用户这里建意重装系统,而专业用户也得依照上面的述说小心应对。
高波(Backdoor.Win32.Agobot.bhj),此病毒会对用户造成无法正常使用复制、粘贴,注册表等,并占用CPU为百分百,计算机速度一降到底。此病毒将自身复制到%windir% 和%windir%/system32 目录下,并添加注册表项HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run nvcpl rundl32.exe、 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/runservices nvcpl rundl32.exe以达到自启动的目的,对注册表编辑器形成强制性关闭,导至用户无法打开注册表,此时应立刻断网、并重新启动计算机进行安全模式,进行查找系统盘与注册表中的rundl32.exe文件删除后(图三),对系统进行全盘杀毒,并打入补丁程序。
|
rundl32.exe文件查找
CHM木马程序经过特殊配置的键盘记录器(KeyLogger.PerfectKeyLogger.120),采用隐藏进程手段,对标题包含QQ、ICQ、MSN、股票、在线支付、银行等关键字进行记录并通过电子邮件形式发送。用户一但感染可采取断开网络,升级杀毒软件对电脑进行全盘杀毒的自动清除,或者采用手工清除方式只要找到%SystemDir%/dllcache/pk.bin, 3680字节(病毒配置文件),%SystemDir%/dllcache/phantom.exe, 393216字节(病毒程序),%SystemDir%/dllcache/kw.dat, 803字节(病毒配置文件),%SystemDir%/dllcache/phantomhk.dll, 8704字节(病毒模块),%SystemDir%/dllcache/phantomi.dll, 215040字节(病毒模块),%SystemDir%/dllcache/phantomwb.dll, 40960字节(病毒模块)一一删除,随后进入注册表找到如下键值HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run"Phantom" = %SystemDir%/dllcache/phantom.exe进行清除(图四),最后将系统打上微软MS03-014和MS04-023系统漏洞补丁即可。
工行钓鱼木马,此木马会在用户计算机中生成svchost.exe文件,通过自行修改注册表方式随同操作系统运行,该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。清除方法相对简单,只要运行升级完成后的杀毒软件进行查杀即可或者在系统目录与注册表中找到svchost.exe与相对关联键值删除即可。
安全须知
现在通常使用的杀毒软件都具备超强的杀毒软件引擎,加大了对加壳型木马的识别杀死功能,如金山毒霸推出的具有“脱壳引擎”的互联网公开测试版本,能90%对病毒采用的壳进行脱壳处理,而在瑞星中,使用了Generic和变种共性特征比对技术,从而形成对一个群族的病毒进行查杀,起到了良好作用,在以后的岁月里虚拟技术更将是预知未来病毒的一种先驱。
2006年重大病毒木马事件大阅兵相关推荐
- 2006年重大病毒***大阅兵
在2006年的岁月尾声,有多少网民切身体会到了病毒带来的伤痛,而病毒又给多少创业造成了无可厚菲的损失,这一切的一切在杀毒软件厂商与广大网管员的辛勤努力下,恶意程序.病毒变的烟灰云散,计算机网络又呈现一 ...
- 记录某大门户网站自动跳转不良网站,团队通宵排查病毒木马全过程
某周五晚上,自己正舒服地躺在沙发上,手里的王者荣耀,米莱迪正在快乐地偷塔呢,突然一个电话打进来,一看是老板,心里一阵不祥的预感:看来这场游戏是不能善终了,兄弟们对不住了. 果不其然,事情是某机构运行了 ...
- 病毒木马入侵招数大曝光
网络时代可不太平,谁没有遭遇过病毒或木马?从CIH.I Love You到红色代码.Nimda,从BO到冰河,无一不是网友经常懈逅的对象.怎么避免这些"艳遇"是广大用户孜孜以求的目 ...
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
- 转:2006年度中国病毒疫情互联网安全报告
1月31日,瑞星公司发布<2006年度中国大陆地区电脑病毒疫情&互联网安全报告>(以下简称<瑞星安全报告>),该报告显示,2006年被截获的新病毒共有234211个,其 ...
- Atitit.病毒木马程序的感染 传播扩散 原理
Atitit.病毒木马程序的感染 传播扩散 原理 1. 从木马的发展史考虑,木马可以分为四代 1 2. 木马有两大类,远程控制 vs 自我复制传播1 3. 自我复制2 3.1. 需要知道当前cpu ...
- 可疑文件_鉴定文件是不是病毒木马的可靠方法 | 免费快速精准
我们经常将计算机病毒和木马放在一起说,这两者是我们无论使用电脑还是手机都最不想碰到的东西. 它们其实是有区别的,病毒得名于它会像自然界的病毒一样破坏系统的功能,而木马的称呼则来源于公元前十二世纪希腊和 ...
- 病毒木马入侵招数专题
病毒木马入侵招数专题 作者:admin 日期:2005-05-10 11:21:21 字体大小: 小 中 大 网络时代可不太平,谁没有遭遇过病毒或木马?从CIH.I Love You到红色代码.Nim ...
- web安全从基础术语、windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新)
web安全知识从基础术语.windows/linux基础到安全漏洞/病毒木马挖掘与分析利用(持续更新) 专业术语 web环境搭建 windows基础 linux基础 linux系统命令 linux命令 ...
最新文章
- 计算机全球服务器,云计算的宿命:全球合并成一台计算机,支持无服务器运行...
- 异步复位,同步释放的理解
- golang数据类型与MySQL数据类型的对应
- 一次“失败”的阿里面试之旅
- Tomcat源码解析一:下载源码与导入eclipse
- Psych101(part1)--Day1
- Collection 和 Collections区别
- java addfirst_java – ArrayDeque类的addFirst方法
- MyBatisPlus_删除篇_入门试炼_04
- 蚂蚁员工人均都能买一套杭州的房子了?!加油啊,打工人!
- java死信队列_Spring Boot系列教程之死信队列详解
- 通过配置IP SLA跟踪静态路由
- 编写36选7的彩票程序
- NBA数据分析及可视化BI数据大屏 (Kobe·Bryant)
- 腾讯云数据库 TDSQL—— 私有云安装部署手册
- 帧数达不到144用144hz_专业FPS玩家讲解:60Hz与144Hz刷新率的问题
- 交换机和路由器的登陆与管理
- Libgdx游戏编程之卡牌游戏UI布局
- Win10 Microsoft Edge浏览器播放视频出现绿屏情况解决之一
- Maven 项目自动构建 Docker 镜像推送到 Docker 服务器