病毒整理

最近為了軟考特地了解1下病毒相干

QQ槍手木馬Trojan/PSW.QQHunter，于2004年7月22日，被江民反病毒中心截獲。該木馬通過安裝定時器和掛接鉤子來獲得用戶的QQ密碼,然后通過自帶的SMTP引擎發(fā)送到木馬安裝者的郵箱里去。不同于以往大多數(shù)QQ木馬，只能針對單1版本的QQ，該木馬可以盜取幾近所有版本的QQ賬號、密碼。

網(wǎng)絡(luò)神偷是1個專業(yè)級的遠(yuǎn)程文件訪問工具，針對遠(yuǎn)程文件訪問，而不是遠(yuǎn)程控制，力求“專而精”。并高度模仿 Windows資源管理器，簡單易用，目標(biāo)是使訪問遠(yuǎn)程驅(qū)動器就象訪問本地的1樣方便。可對本地及遠(yuǎn)程驅(qū)動器進(jìn)行：新建文件、新建文件夾、查找文件、剪切、復(fù)制、粘貼（包括：本地文件操作、上傳、下載、同遠(yuǎn)程主機(jī)的文件復(fù)制與移動）、本地運行、遠(yuǎn)程運行、重命名、刪除、查看、修改驅(qū)動器屬性、修改文件屬性等操作，支持斷點續(xù)傳，并且所有操作均支持多選及文件夾操作。

盜號，就是通過1定手段，盜取他人賬號和密碼。當(dāng)我們的賬號遭到侵害時就能夠用公道手段保護(hù)自己的權(quán)利。且盜號是1種不公道手段。

盜號的經(jīng)常使用手段包括以下幾種：

1.（未通過網(wǎng)絡(luò)）誘騙他人帳號密碼。例如：熟人之間套取你的帳號密碼以取得權(quán)限。

2.偷窺他人帳號密碼。例如：網(wǎng)吧里有人在你輸入帳號密碼時偷窺。

3.網(wǎng)站釣魚.利用帳號所有者占小便宜的心理，通過虛假中獎信息，誘騙其進(jìn)入盜號者仿冒的“官方網(wǎng)站”領(lǐng)取嘉獎，這類網(wǎng)站與官方網(wǎng)站做得幾近1樣，使上網(wǎng)者極易受騙。網(wǎng)站上會要求帳號所有者輸入帳號密碼。從而輕而易舉地取得受害人的帳號和密碼。例如：某個網(wǎng)游里有人說你已中獎讓你登陸某網(wǎng)站領(lǐng)取游戲幣或游戲設(shè)備、游戲?qū)櫸锏龋?span style="font-family:Arial">QQ掛機(jī)網(wǎng)站。

4.部份網(wǎng)吧所有者或網(wǎng)吧管理人員利用鍵盤輸入監(jiān)控程序盜取上網(wǎng)者的鍵盤輸入信息，經(jīng)過分析取得上網(wǎng)者在鍵盤上輸入的帳號密碼。

5.提供網(wǎng)絡(luò)服務(wù)的公司內(nèi)部人員監(jiān)守自盜，將客戶信息出售給直接盜號者。

6.入侵帳號官方的主機(jī)數(shù)據(jù)庫，直接取得帳號所有者的帳號密碼信息。由于官方的安全保護(hù)1般比較強，這類盜號很少見。

7.通過病毒和木馬（1種程序）入侵他人計算機(jī)，再通過類似監(jiān)控程序盜取他人帳號和密碼信息。這類人即所謂的hacker（黑客）和cracker（駭客）。通過木馬與病毒盜號者占絕大多數(shù)。

8.應(yīng)用社會工程學(xué)技術(shù)進(jìn)行盜號。利用人們對安全意識的淡薄，使用密碼撞庫進(jìn)行盜號。在密碼外泄門事件以來這類盜號方式逐步流行。還有就是歹意申述盜號，比如QQ申述。

熊貓燒香”感染系統(tǒng)的.exe .com. f.src .html.asp文件，添加病毒網(wǎng)址，致使用戶1打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。病毒會刪除擴(kuò)大名為gho的文件，使用戶沒法使用ghost軟件恢復(fù)操作系統(tǒng)。除通過網(wǎng)站帶毒感染用戶以外，此病毒還會在局域網(wǎng)中傳播，在極短時間以內(nèi)就能夠感染幾千臺計算機(jī)，嚴(yán)重時可以致使網(wǎng)絡(luò)癱瘓。中毒電腦上會出現(xiàn)“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。中毒電腦會出現(xiàn)藍(lán)屏、頻繁重啟和系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。

QQ尾巴是1種攻擊QQ軟件的木馬程序，中毒以后，QQ會無故向好友發(fā)送垃圾消息或木馬網(wǎng)址。

灰鴿子（ Huigezi）又叫灰鴿子遠(yuǎn)程控制軟件，本來該軟件適用于公司和家庭管理，但因早年軟件設(shè)計缺點，被黑客歹意使用，曾被誤認(rèn)為是1款集多種控制方式于1體的木馬程序。配置出來的服務(wù)端文件文件名為G_Server.exe（這是默許的，固然也能夠改變）。然后駭客利用1切辦法誘騙用戶運行G_Server.exe程序。G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll3個文件相互配合組成了灰鴿子服務(wù)端， G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊表項，乃至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進(jìn)程模塊的1些函數(shù)。所以，有些時候用戶感覺中了毒，但仔細(xì)檢查卻又發(fā)現(xiàn)不了甚么異常。有些灰鴿子會多釋放出1個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱其實不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動項），每次開機(jī)都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進(jìn)行通訊；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時候附在Explorer.exe的進(jìn)程空間中，有時候則是附在所有進(jìn)程中。

廣外女生木馬（Trojan.GWGirls10a.192000）是1種2001年左右出現(xiàn)的遠(yuǎn)程監(jiān)控工具。

這個木馬是廣東外語外貿(mào)大學(xué)“廣外女生”網(wǎng)絡(luò)小組的作品，并因此得名。它可以運行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已安裝Winsock2.0的Win95/97上。與以往的木馬相比，它具有體積更小、隱藏更加奇妙的特點。

冰河木馬開發(fā)于1999年，在設(shè)計之初，開發(fā)者的本意是編寫1個功能強大的遠(yuǎn)程控制軟件。但1經(jīng)推出，就依托其強大的功能成了黑客們發(fā)動入侵的工具，并結(jié)束了國外木馬1統(tǒng)天下的局面，跟后來的灰鴿子等等成為國產(chǎn)木馬的標(biāo)志和代名詞。HK同盟Mask曾利用它入侵過數(shù)千臺電腦，其中包括國外電腦。

震蕩波（Shockwave）是1種電腦病毒，為I-Worm/Sasser.a的第3方改造版本。該病毒感染系統(tǒng)后，會使計算機(jī)產(chǎn)生以下現(xiàn)象：系統(tǒng)資源被大量占用，有時會彈出RPC服務(wù)終止的對話框，并且系統(tǒng)反復(fù)重啟, 不能收發(fā)郵件、不能正常復(fù)制文件、沒法正常閱讀網(wǎng)頁，復(fù)制粘貼等操作遭到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法謝絕等。

沖擊波病毒是利用在2003年7月21日公布的RPC漏洞進(jìn)行傳播的，該病毒于當(dāng)年8月爆發(fā)。病毒運行時會不停地利用IP掃描技術(shù)尋覓網(wǎng)絡(luò)上系統(tǒng)為Win2000或XP的計算機(jī)，找到后就利用DCOM/RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，1旦攻擊成功，病毒體將會被傳送到對方計算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、乃至致使系統(tǒng)奔潰。另外，該病毒還會對系統(tǒng)升級網(wǎng)站進(jìn)行謝絕服務(wù)攻擊，致使該網(wǎng)站梗塞，使用戶沒法通過該網(wǎng)站升級系統(tǒng)。只要是計算機(jī)上有RPC服務(wù)并且沒有打安全補釘?shù)挠嬎銠C(jī)都存在有RPC漏洞，具體觸及的操作系統(tǒng)是：Windows 2000XPServer 2003NT4.0。

莫里斯蠕蟲不是“借取資源”，而是“耗盡所有資源”。是通過互聯(lián)網(wǎng)傳播的第1種蠕蟲病毒。它既是第1種蠕蟲病毒，也是第1次得到主流媒體的強烈關(guān)注。它也是根據(jù)美國1986年的《計算機(jī)訛詐及濫用法案》而定罪的第1宗案件[1]。該蠕蟲由康奈爾大學(xué)學(xué)生羅伯特?泰潘?莫里斯（Robert Tappan Morris）編寫，于1988年11月2日從麻省理工學(xué)院（MIT）施放到互聯(lián)網(wǎng)上。

木馬（Trojan）,也稱木馬病毒，是指通過特定的程序（木馬程序）來控制另外一臺計算機(jī)。木馬通常有兩個可履行程序：1個是控制端，另外一個是被控制端。“木馬”程序是目前比較流行的病毒文件，與1般的病毒不同，它不會自我繁殖，也其實不“刻意”地去感染其他文件，它通過將本身假裝吸援用戶下載履行，向施種木馬者提供打開被種主機(jī)的門戶，使施種者可以任意損壞、盜取被種者的文件，乃至遠(yuǎn)程操控被種主機(jī)。

QQ木馬，該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行后會修改注冊表增加啟動項，破壞QQ醫(yī)生的運行。然后通過內(nèi)存讀取的方式盜取用戶的QQ號和密碼，并把密碼發(fā)送到木馬種植者的手上。

宏病毒是針對微軟公司的文字處理軟件Word編寫的1種病毒。微軟公司的文字處理軟件是最為流行的編輯軟件，并且逾越了多種系統(tǒng)平臺，宏病毒充分利用了這1點得到恣意傳播。宏病毒是1種寄存在文檔或模板的宏中的計算機(jī)病毒。1旦打開這樣的文檔，其中的宏就會被履行，因而宏病毒就會被激活，轉(zhuǎn)移到計算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這類宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機(jī)上。

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈