專家觀點﹕計算机病毒的發展及防毒對策(2)

標籤:

(//www.tvsmo.com)
【大紀元6月23日訊】 2、网絡蠕虫病毒的發展

最早的网絡蠕虫病毒作者是美國的小莫里思,他編寫的蠕虫病毒是在美國軍方的局域网內活動,但是,必須事先獲取局域网的權限和口令。

世界性的第一個大規模在Internet网上傳播的网絡蠕虫病毒是1998年底的Happy 99网絡蠕虫病毒,當你在网上向外發出信件時,Happy 99网絡蠕虫病毒會頂替你的信件或隨你的信件從网上跑到你發信的目標,到了1月1日,收件人一執行,便會在屏幕上不斷暴發出絢麗多彩的禮花,机器就不再干什么了。

1999年3月歐美暴發了“美麗莎”网絡蠕虫宏病毒,歐美最大的一些网站頻頻遭受到堵塞,造成巨大經濟損失。

2000年至今,是网絡蠕虫開始大鬧互聯网的發展期。

2000年,在歐美還暴發了I-WORM/Love Letter“愛虫”网絡蠕虫病毒,又使歐美最大的一些网站和企業及政府的服務器頻頻遭受到堵塞和破坏,造成了比“美麗莎”病毒破坏還大的經濟損失。目前,該病毒已有十多种變种產生,不斷地到處破坏。

2001年,有更多的网絡蠕虫出現。

I-WORM.NAVIDAD网絡蠕虫 該病毒能引發大規模的郵件泛濫。其傳播机制不同于一般的网絡蠕虫程序(如愛虫、美麗公園等),該网絡蠕虫程序具有較大的迷惑性:用戶通過OutLook Express 收到的是一封來自你曾經發送過的人的回复信件,內容与你發送的完全一致,郵件的主題、郵件的正文都一樣,只是增加了一個電子郵件的附件,該附件的文件名稱是:NAVIDAD.EXE文件,文件的大小是:32768字節。該附件就是該网絡蠕虫程序的主體文件。該郵件只是在微軟的Outlook Express郵件系統下自動傳播,它會自動地給你的收件箱(而不是地址簿)的所有人發送一份該网絡蠕虫程序。

由于病毒修改該注冊表項目的文件名稱的錯誤,Windows系統在啟動、讀取可執行EXE文件時,會因為找不到WINSVRC.EXE文件而不能正常啟動Windows 系統。

I_WORM.Blebla.B网絡蠕虫 該病毒是通過電子郵件的附件來發送的,文件的名稱是:xromeo.exe和xjuliet.chm,該蠕虫程序的名稱由此而來。

當用戶在使用OE閱讀信件時,這兩個附件自動被保存、運行。當運行了該附件后,該蠕虫程序將自身發送給Outlook地址簿里的每一個人,并將信息發送給alt.comp.virus 新聞組。該蠕虫程序是以一個E-mail附件的形式發送的,信件的主體是以HTML語言寫成的,并且含有兩個附件:xromeo.exe及xjuliet.chm,收件人本身看不見什么郵件的內容。

該蠕虫程序的危害性還表現在它還能修改注冊表一些項目,使得一些文件的執行,必須依賴該蠕虫程序生成的在Windows目錄下的SYSRNJ.EXE文件,由此可見對于該病毒程序的清除不能簡單地將蠕虫程序刪除掉,而必須先將注冊表中的有關該蠕虫的設置刪除后,才能刪除這些蠕虫程序。

I_WORM/EMANUEL网絡蠕虫 該病毒通過Microsoft的Outlook Express來自動傳播給受感染計算机的地址簿里的所有人,給每人發送一封帶有該附件的郵件。該网絡蠕虫長度16896~22000字節,有多個變种。

在用戶執行該附件后,該网絡蠕虫程序在系統狀態區域的時鐘旁邊放置一個“花”一樣的圖標,如果用戶點擊該“花”圖標,會出現一個消息框,大意是不要按此按鈕。如果按了該按鈕的話,會出現一個以Emmanuel為標題的信息框,當你關閉該信息框時又會出現一些別的:諸如上帝保佑你的提示信息。

网絡蠕虫I-Worm/Hybris 該病毒的最明顯的特征是, 當你打開帶有該网絡蠕虫程序的附件時, 你的計算机屏幕就會被一個始終位于最上方的圖像所覆蓋,該圖像是活動的、轉動的、黑白相見的螺旋狀的圓形圖形。

該网絡蠕虫程序与其他常見的网絡蠕虫程序一樣,是通過网絡上的電子郵件系統Outlook來傳播的, 同樣是修改Windows系統下的主管電子郵件收發的wsock32.dll文件。它与別的网絡蠕虫程序的不同之處在于它不斷可以通過网絡自動發送网絡蠕虫程序本身,而且發送的文件的名稱是變化的。

該病毒是世界上第一個可自我將病毒體分解成多個大小可變化的程序塊(插件),分別潛藏計算机內的不同位置,以便躲避查毒軟件。該病毒可將這些碎塊聚合成一個完整的病毒,再進行傳播和破坏。

I_WORM/HTML.Little Davinia网絡蠕虫 這是一個破坏性極大的网絡蠕虫,可以清除硬盤上的所有數据,它利用Word 2000的漏洞、E-mail等來傳播。該网絡蠕虫程序是复合型的, 是HTML(网頁語言)形式的、VBS文件結构、帶有宏的网絡蠕虫程序。

該病毒還能修改系統的注冊表,一旦修改注冊表成功,該病毒就會自動搜索所有的本地硬盤、网絡盤以及所有目錄下的文件,采用覆蓋的方式將發現的文件寫上一些含有一些雜亂信息的文字,被損坏的文件很難修复!

I_WORM.MTX网絡蠕虫病毒 該病毒已大面積傳播, 超過了CIH的感染率,但破坏性沒CIH大。它是一個變形病毒, 變化無窮。該网絡蠕虫的郵件比較特殊,它沒有主題、正文,只有一個附件文件,附件的文件名是變化的。

I-WORM.AnnaKournikova网絡蠕虫 該病毒程序是使用了一個病毒制造机程序VBSWG制造并加密。該蠕虫程序發送的郵件的附件是:

AnnaKournikova.jpg.vbs(俄羅斯體育選手的名稱命名的文件名稱),它是一個VBS程序文件。當郵件用戶不小心執行了該附件,那么該网絡蠕虫程序會給Outlook地址簿里的所有人發送一份該网絡蠕虫程序,郵件的附件文件名稱:

AnnaKournikova.jpg.vbs(俄羅斯网球女明星的圖片文件)

該网絡蠕虫程序的長度是2853字節左右。

如果机器的日期是1月26日的話,該网絡蠕虫程序會自動將你指向一個位于荷蘭的計算机商店的网絡地址。

從該网絡蠕虫程序會給所有地址簿里的所有用戶發送网絡蠕虫程序來看,它和轟動一時的“愛虫程序”有相似之處。

I-Worm.Magistr网絡蠕虫 這是一個惡性病毒,可通過互聯网上電子郵件或在局域网內進行傳播。可通過Outlook、Netscape Messenger等其他電子郵件軟件和新聞組在內的軟件讀取其中地址簿中的地址發送帶毒電子郵件進行傳播。

該病毒隨机在當前机上找一個.EXE或.SCR文件和一些.DOC或.TXT文件作為附件發出去,如果你的机中.DOC或.TXT文件是机密文件,肯定會被發在互聯网上到處都是。

目前,該病毒已有許許多多的變种。病毒發作時間是在病毒感染系統一個月后。病毒會改寫本地机和局域网中電腦上的文件,文件內容全部被改寫,這將導致文件不能恢复!

如果在Win 9x環境下,該病毒會像CIH病毒一樣,破坏BIOS和清除硬盤上的數据,是危害性非常大的一种病毒。

該病毒采用了多變形引擎和兩組加密模塊,病毒感染文件的中部和尾部,將中部的原文件部分代碼加密后潛藏在病毒體內,病毒長為24000~30000字節。 病毒使用了非常复雜的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每傳染一個目標,就變化一次,具有無窮次變化,其目的是使反病毒軟件難以發現和清除。

病毒在發展,网絡在發展,网絡又促進了病毒的發展,复雜的病毒又朝著變形病毒發展。

(賽迪网-中國計算机報) (//www.dajiyuan.com)


    相關文章
    

  • 專家觀點﹕計算机病毒的發展及防毒對策(1) (6/23/2001)    
  • 電腦病毒武器化 美點名中俄 (6/22/2001)    
  • 你的電子郵件安全嗎? (6/22/2001)    
  • 艾滋病防治 每年需90億美元 (6/22/2001)    
  • 科學家發現一种可以治療腦癌的病毒 (6/21/2001)    
  • 英國專家警告口蹄疫病毒可能成為生物武器 (6/20/2001)    
  • 計算机”奶酪”病毒 給你溫柔一擊 (6/20/2001)    
  • 病毒世界里的“好”病毒 (6/20/2001)    
  • 哥倫比亞研制出艾滋病輔助治療新藥 (6/17/2001)    
  • 小心惡性病毒“陷阱” (6/16/2001)    
  • 香港證實發現首起瘋牛病女病人曾在應該居住 (6/15/2001)    
  • 瑞士:科學家發現測試瘋牛病病毒新方法 (6/15/2001)    
  • 趨勢科技掃瞄引擎換裝雷霆緝毒手ScriptTrap (6/15/2001)    
  • 古美爆發黑客戰 卡斯特羅否認 (6/15/2001)    
  • 香港重新輸入大陸活雞 (6/15/2001)    
  • 新型專門攻擊Word用戶的病毒 (6/15/2001)    
  • Mac OS版新蠕虫病毒“辛普森”出現 (6/15/2001)    
  • McAfee稱率先支持Itanium技術 (6/15/2001)    
  • 下載「麥克維行刑過程」 網友上當 (6/14/2001)    
  • 麥克維陰魂不散 小心其“死刑錄像”病毒 (6/14/2001)
  • 相關新聞
    麥克維陰魂不散 小心其“死刑錄像”病毒
    下載「麥克維行刑過程」 網友上當
    McAfee稱率先支持Itanium技術
    Mac OS版新蠕虫病毒“辛普森”出現
    如果您有新聞線索或資料給大紀元,請進入。
    評論