按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
最早的“红色代码”曾经成功的攻击了白宫的主页,导致其拒绝服务。更进一步,“红色代码二代”可以使黑客在远程取得对服务器的完全控制。如果你使用因特网信息服务器(IIS Server);强烈建议你下载微软的关于〃红色代码二代〃的最新补丁:你可以在microsoft/technet/security/bulletin/MS01…033。asp 找到这个补丁。
当一个web 服务器被感染后,病毒的主线程检查两个标记,一个叫〃29A〃;用来确定是否安装Trojan。VirtualRoot;另一个标记是一个信号灯;这个信号灯的名字叫“红色代码二代”(Code Red II);如果这个信号灯存在,病毒就进入休眠状态。接下来,主线程检查系统的的缺省语种,如果是中文(包括简体和繁体),就创建600个线程,否则就创建300个线程(气死我了,为什么我们中国人的服务器要多创建一些线程?);这些线程产生随机IP地址,用来搜索新的因特网服务器,当这些线程开始工作之后,主线程把视窗 NT/2000系统目录下的cmd。exe 拷贝到下面一个存在的位置,
c:inetpubscriptsroot。exe
d:inetpubscriptsroot。exe
c:progra~1mon~1systemMSADCroot。exe
d:progra~1mon~1systemMSADCroot。exe
如果它携带的特洛伊木马能够修改下面的注册表:HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
这将使得黑客可通过向因特网服务器发送HTTP协议的GET 请求运行 scripts/root。exe 从而获得对服务器的完全控制。 在中文系统中主线程将休眠48小时其它系统中则是24小时(理解了,因为休息的时间长,所以线程要多一些);另外那300获或者00个线程则不断尝试攻击其他因特网服务器。当主线程一旦休眠时间一过,他将重新启动机器。另外,所有的线程都检查如果是十月或者是2002年也重启机器。
这个病毒拷贝cmd。exe 到IIS 缺省的可执行目录下从而导致web 服务器可被远程控制,同时他还在c: 或D:下创建一个属性为隐藏系统只读的文件 explorer。exe。这个特洛伊被诺顿以及江民公司命名为木马。虚拟根(Trojan。VirtualRoot)。
蠕虫把这个文件打包在自身中,并解包到被感染的机器上。传播将持续24或48小时直到机器被重启,同一台机器能被再次感染。当机器被重启后,Trojan。VirtualRoot 会被执行因为系统企图执行explorer。exe这取决于windows NT如何搜索执行文件,C:explorer。exe运行后首先休眠几分钟等待注册表都修改完毕。然后她会修改HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon SFCDisable
把它设为0xFFFFFF9D;这就关闭了系统启动时系统文件检查的功能(这家伙,注册表用的好熟悉啊)。
计算机病毒的命名。
为了方便的表示病毒的类型、名称(或者命名的原因)、和重要特征,一般而言,病毒的名称可以都可以分成三个部分:前缀 + 病毒名 + 后缀。
不同的反病毒厂商命名的方式不太一样,但是基本上都遵循这个三部分命名的规则。
前缀表示该病毒发作的操作平台或者病毒的类型,如果没有前缀,一般表示DOS操作系统下的病毒。 病毒名为该病毒的名称及其家族;后缀一般可以不要的,只是以此区别在该病毒家族中各病毒的不同,可以为字母表示病毒是某一个家族的第几种变种,或者为数字(数字一般是病毒的大小,以病毒的大小来区分同一家族的不同病毒变种)。例如:WM。Cap。A,A表示在Cap病毒家族中的一个变种,WM是Word Macro的缩写,表示该病毒是一个Word宏病毒。
各种前缀的意义如下(具体杀毒软件厂商在命名的时候使用的前缀是不同的,但是基本的内容肯定是一样的):
1。 WM: Word宏病毒,可以在Word6。0和Word95(Word7。0)下传播发作,也可以在Word97(Word8。0)或以上的 Word下传播发作,但该病毒不是在Word97制作完成的。
2。 W97M: Word97宏病毒,这些是在Word97下制作完成,并只在Word97或以上版本的或以上的Word传播发作。
3。 XM: Excel宏病毒在Excel5。0和Excel95下制作完成并传播发作,同样,此种病毒也可以在 Excel97或以上版本传播发 作。
4。 X97M: 在Excel97下制作完成的Excel宏病毒,此类病毒也可以在Excel5。0和Excel97下传播发作。
5。 XF: Excel程序下的病毒,此类病毒是用Excel4。0把程序片断植入新的Excel文档中的。
6。 AM: 在Access95下制作完成并传播发作的Access的宏病毒。
7。 A97M: 在Access97下制作完成并传播发作的Access的宏病毒。
8。 W95: 顾名思义,这类是视窗95病毒,运行在视窗95操作系统下,当然也可以运行在视窗98下。
9。 Win: 视窗3。x病毒,感染视窗3。x操作系统的文件。
10。 W32: 32位视窗病毒,感染所有的32位视窗平台。
11。 WNT: 同样是32位视窗病毒,但只感染视窗 NT/2000操作系统。
12。 HLLC: 高级语言伴随(High Level Language panion)病毒,他们通常是DOS病毒,通过新建一个附加的文件来传播。
13。 HLLP: 高级语言寄生(High Level Language Parasitic)病毒,这些通常也是DOS病毒,寄生在主文件中。
14。 HLLO: 高级语言改写(High Level Language Overwriting)病毒,通常是DOS病毒,以病毒代码改写主文件。
15。 Trojan/Troj: 这并不是病毒,只是特洛伊木马,通常装扮成有用的程序,但通常包括了进行破坏或者窃取数据的恶意代码,特洛伊木马并不会传染。
16。 VBS: 用Visual Basic Script脚本语言编写的病毒。
17。 JS:使用JAVAScript脚本语言编写的病毒。
18。 PHP:使用PHP脚本语言编写的病毒。
19。 HTML:使用HTML语言编写的病毒。
20。 AOL: 美国在线(AOL)环境下特殊的木马,其目的通常位窃取AOL的密码等信息。
21。 PWSTEAL: 窃取密码等信息的木马。
22。 JAVA: 用JAVA程序语言编写的病毒。
病毒中间的名字是唯一区别病毒的重要名字,是可以自由发挥的,一般是由病毒的首次发现人(当然,首次发现人有时候是病毒的制造者)命名的,基本的命名原则是这样的:
1。 首先是根据病毒发作时的症状命名,早期的病毒多半是这样命名的,例如:“石头”,“雨点”等。
2。 然后是病毒的发源地,比如说“耶路撒冷”、“中国一号”等。
3。 随着病毒数目的直线上升,症状也越来越复杂,使用症状或者地名都不能很有效的区别病毒了,所以现在病毒的命名基本上是从病毒代码中找到一些有特征的字符串,如果找不到就根据病毒的行为找一个比较贴切的名字。
最后的后缀名有时候是不需要的,只是在病毒如果存在很多变种的情况下,使用不同长度、不同的感染特征等等来区分病毒的不同变种。
第三节 “我爱你”,浪漫背后的陷阱
“我爱你”(I LOVE YOU),当你第一次听到这句话的时候,一定有一种浪漫而且激动的心情吧。如果你收到标题是“我爱你”的一封电子邮件之后,你可能第一个反应就是迫不及待的把它打开,看一看是那一个陌生的倾慕者发给自己表白的信。但是遗憾的是,这封信更有可能是一个名叫“爱虫”(LOVE Letter)的病毒,这个病毒的出现,预示着基于邮件系统的因特网蠕虫类病毒已经成为目前病毒发展的一个主要方向。
出现和传播
2000年5月4日,一种名为〃我爱你〃的电脑病毒开始在全球各地迅速传播。这个病毒是通过微软Outlook电子邮件系统传播的,邮件的主题为〃I LOVE YOU〃,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒。
“爱虫”病毒,是一种蠕虫病毒,它与1999年的“梅丽莎”病毒非常相似。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。由于通过广泛使用的电子邮件系统传播,“爱虫”病毒在很短的时间内就袭击了全球无以数计的电脑,并且,从被感染的电脑系统来看,“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统:美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多个跨