细数古今病毒木马之“四大恶人”
来源:中国电子政务网 更新时间:2007-07-02

  家用电脑中毒,轻则会使得个人的信息和资料丢失、工作的心血付之东流;重则会使个人隐私和银行帐号等机密信息被泄露和窃取。商用电脑就几乎没有轻重之分了,一台电脑感染了病毒之后会致使公司整个网络内的电脑被传染,公司的运作会陷入瘫痪,公司的机密研究成果或资金都有可能被破坏和盗取。

  臭名昭著“史上第一恶人CIH病毒”

  计算机病毒其实很早就出现了,不过当初的它们只是作者写出的一些错误逻辑运算罢了,还没有被重视起来,可第一次让人们见识到并且开始意识到这种东西会对个人电脑有如此大的杀伤力,那就非CIH莫属了。

  CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病毒搜集网目前报道的CIH病毒,“原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。

  CIH病毒只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。

  CIH病毒“变种”在每年4月26日(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。

  CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。

  后门病毒老大“灰鸽子”

  木马程序的出现让我们对于互联网的不安全感又加剧了,好像自己正在使用的电脑就像完全没有上锁的屋子一样,黑客们们可以肆意的进进出出。

  “灰鸽子”是一个肆虐在网上多年的木马程序。其特征为:黑客可以通过此后门远程控制被感染的电脑,在用户毫无察觉的情况下,任意操控用户的电脑,盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后,可自行删除灰鸽子文件,受害者根本无法察觉。

  “灰鸽子”自2001年诞生之后2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒,甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣,其可以在网络上买到,任何有一定电脑知识的人都可以将其利用和改造。

  一些网络论坛上,以数十元的价格出售灰鸽子程序的人不在少数,更有人提供灰鸽子教程,教别人如何使用这一程序来侵入别人的电脑、盗取资料。利用灰鸽子木马最常做的三件事是盗取QQ密码、偷游戏账号、出售给流氓软件点击国外的广告(每点击一次可以赚0.3美元),由于可以“全民参与”,这个病毒的危害性比其他病毒大。目前灰鸽子已形成一个上百万人参与的完整产业链,又因其具有极强的隐蔽性而不易察觉,危害性更大。”

  MADE IN CHINA,武汉男孩指使熊猫烧香

  2007年,熊猫烧香成了网上最热门的词汇,原因就是这个化名叫武汉男孩的李俊制作的蠕虫病毒,不但它的危害大传染速度快,而且还在于他用了咱们的国宝大熊猫为他的病毒做“代言人”,真是人神共愤呀。

  “熊猫烧香”是一个由Delphi工具编写的蠕虫,终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染的.exe、.com、.pif、.src、.html、.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。

  在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。据国内的病毒专家介绍,“熊猫烧香”蠕虫不但对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复。此外,该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

  据瑞星反病毒专家介绍,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月。由于它一直在不停地进行变种,而且该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码,因此,一旦一些网站编辑人员的电脑被该病毒感染,网站编辑在上传网页到网站后,就会导致所有浏览该网页的计算机用户也被感染上该病毒。

  最可笑的是这个作者为了显示自己能力,还在病毒代码中与反病毒的网友和专家进行“对话”,并且在每次发布新变种时,代码中的留言都会改变,如此幼稚的做法确实让人觉得可气又可笑。

  横空出世,无法无天的“帕虫”

  目前最火的明星就要数“帕虫”了,它的横空出世打了大家一个措手不及,一方面是因为它的威力很强,还有一方面是网友们没有做好病毒如此猛烈和密集的出击,才刚送走了熊猫烧香却又迎来了“帕虫”,这多少让广大网友有些吃不消。

  “帕虫”的特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。截止到本月中旬,其变种数已达500多个,波及人群超过10万人。普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:

  1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障;

  2.破坏安全模式,致使用户根本无法进入安全模式清除病毒;

  3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法;

  4.格式化系统盘重装后很容易被再次感染。

  此外,经过“帕虫”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“帕虫”并未就此罢手,自动连接到拥有病毒的网站,并自动下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

  关联信息显示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。