| | | |  | | | | |  |  | |  | | |
2004年十大病毒
文章来源 | | 安络科技 | | 2004年十大病毒 |
根据互联网发布的病毒统计,整理出2004十大上榜病毒,以下的十个病毒,都曾盘踞过病毒报警榜单数次,也造成重大影响。本篇文摘由安络科技技术部整理,内容仅供参考。
1.震荡波及其病毒变种
蠕虫长度:15872字节
传播途径:通过互连网传播,但是不通过邮件传播.
传播利用的是微软的漏洞:MS04-011
特征
1、 蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播。
2、 该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)。
3、 蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行.
4、 从TCP的1068端口开始搜寻可能的IP地址并试图传播.
5、 在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的.
2.网络天空及变种
病毒类型:木马
传播方式:网络
“网络天空”病毒利用自带的SMTP邮件引擎发送,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀为:.scr、.com、.pif、.rtf、.doc、.htm、.exe等,附件即是病毒体。
在硬盘上搜索以eml、txt、htm等等结尾的十几种文件,从中提取电子邮件地址,用病毒体自带的SMTP引擎向这些地址大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源,甚至会影响企业的邮件服务器。
3.网银大盗及其变种
病毒类型:木马
病毒大小:38400字节
传播方式:网络
该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。
特征
1、 病毒运行后调用mslib32.dll病毒模块,该模块负责设置消息挂钩,并对IE页面控件进行监视,一旦认定用户正在某些国外银行的网页上进行交互操作,就把各种IE控件的有关信息(包括用户名、密码输入框,各种选择框,ComboBox选择列表等)记录到%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll两个文件中。
2、 病毒主程序每隔1秒检查%SystemDir%\msvcdc.dll和%SystemDir%\msvxdexe.dll是否存在,如果存在,就把这2个文件中的内容通过电子邮件发送给病毒作者11list@mail.ru
3、 病毒每隔1分钟检查是否已经成功盗取了用户信息,如果是,则通过GET方式把截取的用户按键提交给http://*****.com/****/get.asp。其格式如下:
http://*****.com/****/get.asp?txt=<银行帐户类型>:<截获的按键>
银行帐户类型共有13种。
4.SCO 炸弹
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127到3198范围内)。
MyDoom病毒还设定了自2月1日起向www.sco.com和www.microsoft.com网站发起大量连接请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
目前已经出现众多病毒,以下是MyDoom.B特征举例:
特征
1、 通过电子邮件附件和P2P网络Kazaa传播的病毒
2、 通过对等文件分享软件进行传播
3、 蠕虫以自身的邮件引擎发送蠕虫体
4、 该蠕虫将在2004年3月1日后停止运行,但是后门程序还将继续运行。
5、 组件在被感染的系统中打开端口1080以接受来自远程用户的访问。它也可能利用3128,80,8080,10080等端口。
6、 该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行DDOS攻击。 该蠕虫在DDOS攻击时如果无法成功解析www.sco.com,则等待65秒后重新尝试,如果无法成功解析www.microsoft.com,则等待16秒后重新尝试。
7、 阻止被感染主机访问反病毒网站
该蠕虫通过改写被感染主机的hosts file,强制被感染主机将一些著名反病毒公司及其他一些商业站点的网址解析成0.0.0.0的IP地址,从而使得该主机无法访问这些站点。
5.雏鹰”病毒及其变种
病 毒 名:“恶鹰”病毒
病毒类型: 蠕虫病毒
特征
1、 使用自带的SMTP引擎大量发送病毒邮件,浪费大量网络资源,并可导致中小型邮件服务器极不稳定;
2、 中止被感染系统中的大量安全软件,使系统安全性下降;
3、 安装木马,木马下载病毒;
4、 在被感染的机器上开后门端口TCP 80和UDP 80,该端口可被利用转发邮件;
5、 通过P2P软件及局域网进行传播。
6.证券大盗
病毒类型:特洛依木马
病毒大小:201216字节
该木马可以盗 取多家证券交易系统的交易帐户和密码。
特征
1、 木马运行时寻找一些包含著名券商名称的窗口标题,如果发现就开始启动键盘钩子对用户登陆信息进行记录,包括用户名和密码。
2、 在记录键盘信息的同时,通过屏幕快照将用户登陆时窗口画面保存为图片,存放于:
c:\Screen1.bmp
c:\Screen2.bmp
3、 当记录指定次数后,将3,4中记录的信息和图片通过电子邮件发送到webmaster@****.com。
4、 发送成功后,病毒进行自杀,将自身删除,但4中生成的.bmp图片并未被删除。
7.sobig病毒及变种
病毒名称:sobig
病毒类型:蠕虫
特征
1、 搜索可能正确的EMAIL地址,然后疯狂向找到的Email地址发送含有该蠕虫的信件.
2、 感染网络邻居,搜索可写的网络邻居上的机器的目录,将自身拷贝到该目录下.
3、 蠕虫还能偷密码信息,同时能将受感染的机器设置成垃圾邮件服务器发送大量的网络蠕虫。
4、 蠕虫能自动升级,在合适的情况下,该蠕虫还能联系一些蠕虫作者控制的服务器,并从这些主服务器上获得木马程序,并下载到感染病毒的机器,运行该木马程序。
5、 蠕虫利用的计算机的端口地址有:UDP 123 端口; UDP 8998 端口;UDP 995,996,997,998,999等端口。
8.Zafi病毒及变种
病毒名称:Zafi
病毒类型:蠕虫
特征
1、 生成病毒文件
2、 通过电子邮件传播,病毒在被感染计算机以下扩展名的文件中搜索邮件地址(adb、asp、dbx、eml、htm、mbx 、php、pmr、sht、tbb、txt、wab),并使用自带的smtp向这些地址发送带有病毒的电子邮件。
3、 通过共享传播,病毒可通过文件共享传播,它在包含字符串share或upload 的文件夹下生成自身的副本,并命名为winamp7.0full_install.exe或Total Commander 7.0full_install.exe。
4、 影响反病毒软件的运行,病毒在被感染计算机中搜索已知的一些反病毒软件,找到此类软件所在的文件夹后,病毒会用自身覆盖该文件夹以及其子文件夹下的.exe文件,导致这些程序不能正常运行。
9.爱情后门
病毒类型:蠕虫病毒
传播方式:网络/邮件
特征
1、 病毒利用ipc进行guest和Administrator账号的简单密码试探攻击。如果成功将自己复制到对方的系统中文件路径为:sytem32\stg.exe并注册成服务服务名为: Window Remote Service 。
2、 病毒从自身体内放出一个dll文件负责建立远程shell后门。
3、 病毒放出一个名为win32vxd.dll的文件(hook函数)用以盗取用户密码。
4、 病毒本身也将建立一个后门,等待用户连入。
5、 可在局域网内传播。病毒穷举网络资源,并将自己复制过去。文件名为随机的选取,病毒体内的文件名有以下几种可能 humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE 等。
6、 邮件地址搜索线程,病毒启动一个线程通过注册表:
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。
7、 病毒利用mapi及搜出的email地址,进行邮件传播。
10.求职信Worm.Klez.E及变种
病毒名称:Worm.Klez.E
病毒类型:蠕虫
这种“求职信”变种病毒是一种电子邮件蠕虫病毒,它自动向外发送带毒邮件,病毒发作后会感染电脑中的Word文档和Excel文档,且遭受感染的文档和数据根本无法恢复。同时,该病毒将终止反病毒软件的运行,并将其从电脑中删除。
| | | | | | | | | | | |
