十、熊猫烧香
病毒名称:Worm.WhBoy.h
中文名:“熊猫烧香”
病毒长度:可变
病毒类型:蠕虫
危害等级:★★★★
影响平台:Win9X/ME/NT/2000/XP/2003
以Worm.WhBoy.h为例,熊猫烧香是一个由Delphi工具编写的蠕虫病毒,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为 gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、 *.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件 autorun.inf和setup.exe.病毒还可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。
“熊猫烧香”还可以修改注册表启动项,以使自身随操作系统同步运行。搜索硬盘中的*.EXE可执行文件并感染文件,被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。
2007年计算机病毒整体情况及特征
江民反病毒预警中心、江民全球病毒监测网提供的数据显示,截至12月份,江民反病毒中心共截获计算机新病毒总数为363000余种,这一数字是 2006年的六倍多,至此江民杀毒软件KV系列病毒库总量已经超过80万。2007年全年病毒累计感染电脑 34414793台,新病毒感染电脑台数为 28879529台,其中木马病毒感染24875117 台,占病毒总数的72.28%;后门病毒感染1987821台,占病毒总数的5.78%;蠕虫病毒感染1556124台,占病毒总数的4.52%;流氓软件感染2502563台,占病毒总数的7.27%;脚本病毒80026台,占病毒总数的 0.23%。。
2007年上半年计算机病毒增长较为平缓,下半年计算机病毒增长迅猛,江民反病毒中心全年截获的病毒中,有三分之二的新病毒系下半年截获,平均日升级病毒数量近2000种。综合来看,2007年计算机病毒呈现以下特征:
一、AUTO类病毒发作率居高不下,移动存储安全堪扰
利有微软系统AUTORUN自动播放功能的病毒进入2007年以后一直居高不下,几乎所有新的木马病毒都具备了这一传播特征。例如年度十大病毒“熊猫烧香”“ANI病毒”等都可利用AUTORUN自动播放功能通过U盘传播。去年底和今年年底爆发的“熊猫烧香”病毒导致上百万台电脑受到损害,而U盘正是病毒传播和藏身的主要介质。 “熊猫烧香”病毒会向U盘释放出一个名为“autorun.inf”的病毒文件,使用U盘的用户只要双击U盘,就会激活并运行病毒。 “ANI病毒”同样具有这一特征,病毒除了自我复制到各逻辑磁盘根目录下,创建“autorun.inf”自动播放配置文件,用户一旦双击盘符即可激活病毒,造成再次感染。许多通过网页挂马传播的病毒均具有此类特征,普通用户即使格式化C盘重装系统,双击带毒U盘或其它硬盘分区,病毒仍然能够激活。
据不完全统计,中国国内的U盘和移动硬盘的保有量在2006年已经突破3000万只。U盘和移动硬盘已经成为了IT从业人员以及商务人士必备的基本沟通工具。如同当年的软盘一样,U盘已经成为最大的计算机病毒载体,保护U盘等移动存储设备数据安全,阻止病毒通过U盘等移动存储设备疯狂传播,已经成为反病毒厂商面临的主要问题之一。
二、应用软件漏洞成网页挂马新宠
众所周知,近几年以来,微软系统漏洞一直是网页木马的最主要传播途径。然而,2007年下半年,江民科技反病毒中心最新的监测结果显示,越来越多的病毒开始绕开微软系统漏洞,转而利用国产应用软件的漏洞传播。
江民科技反病毒中心最新的网页挂马漏洞监测结果显示,自2007年9月到11月这短短的三个月以来,国产应用软件漏洞已经超越了微软MS06-14和MS07-17这两大网页木马最常用的漏洞,成为网页挂马的“新宠”。
监测结果显示,9月初网页木马利用微软漏洞比例还高达90%,而进入10月以来网页木马利用国产应用软件漏洞的比例大幅提高,到11月网页木马利用国产应用软件漏洞的比例达到了45%,而利用微软漏洞的比例仅为30%,网页挂马利用国产应用软件漏洞进行传播已经成为病毒发展新趋势。
三、自杀式病毒越来越多,隐蔽性更强
进入2007年以来,更多的病毒开始刻意隐藏自身,以此逃避杀毒软件查杀并更深地潜伏在目标电脑中,在电脑用户毫无知觉的情况下完成盗号窃密过程。与去年"熊猫烧香"发作后在电脑中生成无处不在的熊猫图案不同,现在的病毒作者在编写病毒时更加注重自身的隐蔽。病毒作者主要采用三大隐身术,通过 RootKit技术隐藏病毒进程、病毒文件、隐藏数据传输端口以及注册表内键值;通过篡改注册表相关键值屏蔽显示隐藏文件的功能;使用IEFO重定向劫持技术禁止杀毒软件运行。
如“证券大盗”病毒在完成盗号目的后,就会自杀,清除所有自身留在电脑里的蛛丝马迹,让受害者找不到任何破案线索;而灰鸽子 (Backdoor/Huigezi)后门病毒、友好客户(Backdoor/PcClient)后门病毒,以及部分版本的网游大盗 (Trojan/PSW.GamePass)木马等,都采用RootKit技术编写,以达到隐藏自身,躲避检测,躲避查杀的目的。
四、ARP病毒多发 企业局域网受害严重
2007年上半年,江民科技就已经提出ARP病毒将成为病毒发展的一个新趋势,果然在下半年,ARP类越来越多,几乎多数企业的网络故障均来自 ARP病毒。ARP病毒也叫做ARP地址欺骗类病毒,是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。更为严重的是,近期网上流行的ARP病毒新变种出现了新特征,该类ARP病毒同样是向全网发送伪造的ARP欺骗广播,但病毒把自身伪装成网关,在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报。
五、越来越多的病毒通过视频文件传播
随着2007年BT以及播客的应用与繁荣,众多网民热衷于网上下载电影、电视等视频文件,病毒开始瞄准这一传播途径大肆传播。黑客最常用的视频漏洞无疑应该是Real脚本漏洞。由于Real格式的视频文件可以内嵌一个网址,并在打开视频文件时自动打开内嵌的网址,因此许多黑客在一些热门的视频文件内嵌入一个带有大量病毒的恶意网址。一旦网友下载并打开了该视频文件,即可从嵌入的恶意网址中下载大量的病毒,轻者电脑运行缓慢直至死机,严重的中毒电脑将会成为黑客手中肉鸡,电脑内所有的数据和资料都可以被黑客轻易窃取。由于利用Real格式的视频传播病毒非常简单方便,大量的网友中招,因此利用该漏洞的 Exploit.JS.Real(Real脚本病毒)得以迅速蔓延,也因此被列入2007年十大病毒之列。
共2页: 上一页 [1] 2 |