本文目录一览:
有谁知道是因为计算机病毒引起的造成严重后果的事件案例
“MSN性感鸡”,网络提前遭遇“禽流感”
2005年,禽流感席卷全球,让人闻鸡色变。而网络上的“禽流感”更是早于现实,从2月3日开始,席卷全球互联网。
2月3日上午,金山、瑞星、江民等国内多家安全软件厂家,接到大量MSN用户中毒信息,一个名为“MSN性感鸡”的病毒迅速在互联网上疯狂传播。msn用户感染后会向所有好友发送病毒文件。MSN性感鸡除了利用MSN向外界发送病毒文件、消耗系统资源外,还会在中毒电脑里放置后门程序,使黑客可以远程控制该电脑,从而使用户面临极大的安全威胁。
在相对平静的2005年网络环境中,“MSN性感鸡”造成危害最严重的一个病毒。随着各大门户网站的即时通讯工具的推出,以及金山加加、盛大圈圈等的加入,病毒制造者利用IM(即时通讯工具)做为传播,已经成为了病毒传播的首选方式。金山毒霸反病毒服务中心整个2005年接到的感染报告中,通过IM工具传播的病毒高达270万次,排在所有病毒之首。这也使的国内IM厂家高度重视,腾讯推出的QQ2005,就在业界率先与杀毒厂商合作,与金山公司合作推出了国际首创的“QQ安全中心”。
金融机构成为网络钓鱼最青睐对象
2005年,美国超过300万的信用卡用户资料外斜,导致用户财产损失,同时,中国工商银行、中国银行等金融机构先后成为黑客们模仿的对象,设计了类似的网页,通过网络钓鱼的形式获取利益。这一现象在2005年以平均每个月73%的数字增长,使很多用户对于网络交易的信心大减。导致年底各家银行对于网络交易安全提高重视。
针这些对愈演愈烈的网上银行诈骗事件,中国人民银行于10月30日向社会公布《电子支付指引(第一号)》,对银行从事电子支付活动提出了指导性要求,对银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。
各杀毒厂家纷纷披露主动防御计划反病毒欲改被动劣势
5月,业界一条以“网络安全惊曝黑幕”为题的报道,在原本还算平静的网络安全行业搅起千层巨浪。这篇报道毫不客气地将杀毒软件比做“过期药”,更将信息安全厂商们斥之为贩卖“过期药”的贩子。随后,国内著名信息安全厂商金山公司对外宣布,其杀毒软件“主动防御(ADP)”业已完成第二层(网络自防御)计划,并且证实该计划已经应用到当天发布的金山毒霸2005中小企业版当中。至此,包括金山、瑞星在内的国内主流信息安全厂商均做出高调反应,表明中国的信息安全厂商正试图扭转在与病毒竞争中长期被动的局面。
“主动防御”更像是一个贴身的保镖,勤勤恳恳、认认真真的监视着周围的可疑人物,让危险总能在最后一刻之前化解。“主动防御”以事实为依据,掌握用户计算机真实的安全状况,在用户还没有意识到之前,能给予用户更多的提示与建议,帮助用户构筑专家级水准的计算机安全防线。它是传统杀毒软件的超集,虽然它也需要传统方法的补充,但它的理念已经超越了单纯的杀毒,而是全面保护用户计算机的安全。它是安全软件未来的发展方向。
流氓软件引起公愤,人人喊打
6月21日,北京市网络行业协会联合新浪、搜狐、金山、瑞星等16家网络和软件企业联合起草了《软件产品行为安全自律公约》,联合承诺共同防范“流氓软件”带给网民的麻烦。随后,在北京市网络行业协会的网站上,接受网民的投诉,引起众多网民的关注与投诉。7月11日,网络行业协会根据网民的投诉,点名公布了10家流氓软件名单,包括了3721、淘宝、e趣、DUDU等家加知名软件。
2005年,间谍软件已经大面积闯入了我们的网络生活中。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。恶意广告的典型特征为:悄悄安装;不易卸载;保护自己使用低层技术与多种软件冲突;随时随地弹出骚扰广告。而目前在国内用户被侵扰最多的间谍软件就是恶意广告和盗号木马。90%以上的网民都直间或间接的受到此类间谍软件的侵扰。
狙击波,与时间赛跑的病毒
8月15日,金山公司率先截获了被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波”,危害程度直指当年的震荡波。在随后的24小时内,变种迅速,出现多个变种,给相对平静的2005年网络环境,带来阵阵涟漪。该病毒源自欧洲芬兰,之后在欧洲迅速流传。其中在美国蔓延,美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击,并造成部分网络瘫痪。在国内,华南地区尤其是广州地区的个人及企业用户中毒的较多。
名人、热点新闻成为病毒载体
2005年8月30日,被全国关注的“超级女声”总决赛进行之际,一个借着“超级女声”的名气传播的QQ病毒现身网络,盗窃用户的信息。“超级女声”也成为了2005年带毒的明星、热点事件最为突出的事件,其前后,包括:拉登、羽泉、周杰伦、禽流感、伦敦地铁爆炸等等,也成为了一个特别的现象。每当网上出现热点新闻或者热点人物的时候,各病毒监测中心的精神也都高度集中,不知道下一个遭毒手的会是哪一个?
1月10日,国内计算机反病毒厂商江民科技反病毒中心对2006年网络安全事件进行了回顾,根据事件影响力和媒体关注度,排出了2006年十大互联网计算机病毒事件。
一、微软WMF漏洞被黑客广泛利用,多家网站被挂马
2006年春节前后,早在去年12月份就被曝光的WMF漏洞成2006年电脑安全第一场噩梦。 2006年12月28日,江民反病毒中心监测到,Windows在处理特殊WMF文件(也就是图元文件)时存在问题,可以导致远程代码执行,如果用户使用Windows图片传真查看程序打开恶意WMF文件,甚至在资源管理器中预览恶意WMF时,也都存在代码执行漏洞。虽然1月6日微软发布了安全补丁,然而,在1月底,针对该漏洞的木马病毒已经在我国互联网上呈蔓延之势。1月26日,江民反病毒研究中心已发现数家网站被种植此类木马病毒,与此同时,网上众多网站都在公开售卖WMF木马生成器,没有安装杀毒软件的电脑用户点击其中任意链接即中毒。2月初,WMF木马传播变本加励,发展到通过搜索引擎贴吧、MSN疯狂传播,后来在反病毒厂商的围剿下,WMF木马才渐渐郾旗息鼓。
二、敲诈者
2006年6月11日,国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq),病毒可恶意隐藏用户文档,并借修复数据之名向用户索取钱财。“敲诈者”在被截获后短短10天内,导致全国数千人中招,许多个人和单位受到重大损失。一名为大叔的网民由于中了敲诈者,合同文本被病毒隐藏,使得本来到手的订单丢失,该网民出于愤怒地在网上发帖称在悬赏十万元网上通辑一名为“俊曦”的病毒作者。虽然病毒作者声称编写病毒只是为了“混口饭吃”,但由于他触犯了法律,最终也未能逃脱法律的惩罚,7月24日,广州警方宣布破案这一国内首例敲诈病毒案,作者被警方刑事拘留,等待他将是法律的严惩。
三、病毒假冒工行电子银行升级
2006年6月27日,网友举报,他在登陆工行网上个人银行时,系统突然弹出电子银行系统正在升级并要求修改密码的提示,于是他按要求再次输入登陆和支付密码,然而当点击“确定”后,电脑中的“江民密保”突然发出“不明程序向外发送密码”的警示,于是他紧急与工行联系,才发现工行根本就没有升级电子银行系统,他怀疑是感染了电脑病毒,并庆幸自己发现的及时,要不账户中的存款就易手他人了。
江民反病毒工程师分析后认为,这是病毒假冒工行电子银行升级通知,目的在于盗取工行用户的帐号密码,联想到今年工行网银用户集体维权事件,不禁令人对网上银行的安全性再生疑惑。
四、魔鬼波病毒爆发
2006年8月13日,江民公司反病毒中心发布紧急病毒警报,一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”(Backdoor/Mocbot.b)蠕虫现身互联网,感染该蠕虫的计算机将被黑客远程完全控制。微软在8月8日例行发布的MS06-040安全公告中称,其操作系统Server服务漏洞可能允许远程执行代码,并建议电脑用户立即升级。
似乎已经成为一种规律,每年都会出现一个攻击微软新漏洞的“某某波”,03年的“冲击波”,04年的“震荡波”,05年的“极速波”,今年的“魔鬼波”,真可谓“一波未平,一波又起”。
五、光大证券网站多款软件被捆绑木马
2006年8月25日,江民科技反病毒中心监测到,光大证券阳光网()站点上提供的“光大证券新版网上交易系统”、“光大证券专业分析版2003”、“光大证券金典2005”等多款软件的安装程序捆绑了木马。用户运行这些安装程序的同时,会下载网银木马,威胁用户工商银行网上银行的帐号密码安全。江民反病毒专家分析, 根据光大证券HTTP服务器返回的信息,这些恶意安装程序是2006年8月18日上线的,至今已经带毒运行了一周左右,估计已经有不少网上证券系统的用户感染了该病毒。专家分析,很有可能是光大证券的服务器遭受了黑客入侵导致。
按理说,银行、证券网站的安全性应该是很有保障的,而且网站服务器还装了一款所谓国际品牌的杀毒软件,怎么就会轻易被黑客攻陷并还种了木马呢?是网管员太无能还是国外杀毒软件太弱智?
六、威金病毒大闹互联网
10月中上旬,江民反病毒中心监测到,“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁,已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。据江民全国病毒疫情监控系统数据显示,该病毒从2005年5月19日首次出现至今,保守估计感染电脑数近50万台,变种数量突破了500种,实在可以称为是2006年病毒之王。
七、建行云南网站遭假冒
2006年11月2日,江民公司反病毒中心监测到,一个恶意网站假冒中国建设银行云南分行网站,传播“QQ大盗”和武林外传游戏木马。
假网站调用多个恶意脚本,下载并自动运行“QQ大盗”木马和“武林外传”两个木马,这两个木马会对用户的QQ号和武林外传游戏帐号构成很大威胁,并会尝试关闭多款国内外知名杀毒软件。
一般来说病毒盗个QQ号什么的不算大事,可你要是看了这条新闻就不会这么认为了。12月15日,深圳晶报报道,一伙平均年龄仅21岁的“网络大盗”一年内盗取QQ号、Q币数百万个,通过网络交易平台售卖,非法牟利70余万元,涉案人员竟有44名。原来小小的QQ号也存在这么大的利润可图,犯罪份子就是抓住网民这种认为QQ号价值不大不值得追究的心理,最终造成了一个大案。
八、银联网站被黑成悬案
11月22日,反病毒厂商称某金融官方网站首页被黑客嵌入恶意程序,用户点击网站首页后,系统即可自动下载一后门程序,中毒用户电脑存在被黑客偷窥的风险。反病毒工程师介绍,该后门程序名为黑洞2005,是一个江民一年前就已经截获并大范围发布预警的老病毒。该病毒具有强大的穿透防火墙能力,可以禁止防火墙并开启染毒电脑的摄像头,进行远程监控、远程摄像等操作。病毒还会将自身添加为“服务”,达到开机自动启动的目的,隐蔽性很强。
但这条消息被某金融网站否定,究竟谁是谁非,由于时过境迁,事实无法重现,唯有提醒电脑用户以后上网时一定要穿好防毒衣(打开杀毒软件网页监控),防患于未然。
九、“瑞波”危害超过“魔鬼波”?
8月24日,江民科技反病毒中心发布紧急病毒警报,自上周“魔鬼波”病毒肆虐互联网以来,江民公司反病毒中心监测到,“瑞波”(Backdoor/RBot)蠕虫新变种正在利用微软的MS06-040等多种系统漏洞大肆传播,目前已发现国内大量用户被病毒感染,中毒用户的系统可被黑客远程完全控制。仅8月23日一天,有3个“瑞波”新变种的泛滥程度都超过了“魔鬼波”(Backdoor/Mocbot)蠕虫。
十、天涯虚拟社区网站首页带毒
2006年11月22日,江民公司反病毒公司监测到,天涯虚拟社区网站首页带毒。如果用户没有安装过微软的MS06-014安全补丁,在使用IE浏览器访问该网页时,就会感染木马程序Trojan/Hitpop。该木马会在后台点击某些网页,制造虚假流量,并会关闭多款杀毒软件和防火墙。
23日,天涯首页上的恶意代码已经被删除。江民公司提醒广大网民,特别是天涯社区用户,请立即更新杀毒软件的病毒库,对您的系统进行全面扫描
计算机病毒历史事件有哪些
计算机病毒历史事件1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
计算机病毒历史事件2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
计算机病毒历史事件3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
计算机病毒历史事件4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
计算机病毒历史事件5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
计算机病毒历史事件6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
计算机病毒历史事件7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
计算机病毒历史事件8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
计算机病毒历史事件9、QQ幽灵
关键词:QQ 木马下载器
此病毒查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
计算机病毒历史事件10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
计算机病毒造成危害的大事件有哪些?
你好:
去年最大的事件是超级工厂病毒感染了伊朗的离心机,直接导致伊朗的核电站延迟发电
还有前几天的弼马温木马,短短几天就感染了五十万台电脑,使用户的网银蒙受巨大损失
从上面这些就可以看出网络安全的重要性,咱们个人也需要十分注意
你可以访问腾讯电脑管家官网,下载安装一个电脑管家来保护你的系统
它的实时防护部分包含了16层的防护体系
对于木马病毒入侵系统可能使用的途径都进行了有效的防御
可以让你远离木马和病毒的困扰
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
历史上有哪些著名的电脑病毒事件?
美国《Techweb》网站日前评出了20年来,破坏力最大的10种计算机病毒:
1. CIH (1998年)
该计算机病毒属于W32家族,感染Window* 95/98中以**E为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。
2.梅利莎(Melissa,1999年)
这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。
在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。
3. I love you (2000年)
2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。给全球带来100亿-150亿美元的损失。
4. 红色代码 (Code Red,2001年)
该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向政府网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。2001年7月13日爆发,给全球带来26亿美元损失。
5. SQL Slammer (2003年)
该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。
6. 冲击波(Blaster,2003年)
该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。
7. 大无极.F(Sobig.F,2003年)
Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。此蠕虫病毒在被感染系统中的目录为C:\WINNT\WINPPR32.EXE。2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。
8. 贝革热(Bagle,2004年)
该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。
9. MyDoom (2004年)
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127
到3198范围内)。2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。
10. Sasser (2004年)
该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信息)进行传播的蠕虫。由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。
历史计算机病毒事件
1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了"磁芯大战"游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了"大脑(Brain)"病毒,又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。
6、1999年 Happy99、美丽杀手(Melissa)等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。
7、CIH病毒是继DOS病毒的第四类新型病毒,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。
CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是"电脑鬼才"。
8、2000年的5月,通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒,它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件,病毒会获取Outlook通讯录的名单,并自动发出"I LOVE YOU"电子邮件,从而导致网络阻塞。破坏性:爱虫病毒的传播会导致网络瘫痪,病毒发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫病毒相似的网络病毒还有Melissa(美丽杀手病毒)等。
9、着名的"黑色星期五"病毒在逢13号的星期五发作。
10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的病毒从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒,它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该病毒不断搜索局域网内共享的网络资源,将病毒文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送病毒,以此完成病毒传播的一个循环过程。
11、2002年,求职信Klez病毒,邮件病毒,主要影响微软的Outlook Express用户。
12、"附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型病毒,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。
15、小球病毒,作为Dos时代的老牌病毒,它也是国内流行起来的第一例电脑病毒。小球病毒可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和病毒
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封病毒邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给病毒作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络资源,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,盗取传奇密码以邮件形式发给盗密码者,并结束多种反病毒软件。
11、证券大盗(PSW.Soufan):特洛伊木马,盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。
2008年度十大病毒/木马
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2008年最具影响的十大病毒/木马。
1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此病毒查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
10、磁碟机
关键词:无法彻底清除 隐蔽
磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机病毒、木马的特点分析
2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马,其次是远程控制类木马。
1、病毒制造进入"机械化"时代
由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化,病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了"机械化"时代。
这种"机械化"很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现网络上有诸多此类广告,病毒作者可根据自己对病毒的需求,在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入"机械化"时代。
病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术,一举实现了病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、病毒制造的模块化、专业化特征明显
病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块,使得病毒的各方面功能都越来越"专业",病毒技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成,是模块化生产的典型代表。
在专业化方面,病毒制造业被自然的分割成以下几个环节:病毒制作者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员",甚至可能有逆向工程师。病毒批发商购买病毒源码,并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去,以盗取有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"(即可以盗取虚拟资产的木马,可以将盗取的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子",通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、病毒"运营"模式互联网化
病毒团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵-写入恶意攻击代码-利用成为新型网络病毒传播的主要方式,网民访问带有挂马代码的‘正常网站'时,会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 "机器狗"病毒,"商人"购买之后,就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能,只是可以通过对抗安全软件保护病毒,因此"机器狗"就变成了病毒的渠道商,木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送,就像正常的商业行为中的资源互换。这样,加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的,就向哪个渠道缴费。
此外,病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、病毒团伙对于"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马病毒入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家采用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 病毒与安全软件的对抗日益激烈
在病毒产业链分工中,下载器扮演了‘黑社会'的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护'盗号木马顺利下载到用户机器上,通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者'的广泛流行就不难看出,对抗杀毒软件已经成为下载者病毒的‘必备技能'。
纵观08年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高病毒攻击的技术门槛。目前,金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守,自动化的解决方案以应对病毒传播制作者不断花样翻新的挑战。
三、2009年计算机病毒、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、病毒传播的主要途径之一的今天,金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、病毒与反病毒厂商对抗将加剧
随着反病毒厂商对于安全软件自保护能力的提升,病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。
4、新平台上的尝试
病毒、木马进入新经济时代后,肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
四、2009年反病毒技术发展趋势
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统"获取样本-特征码分析-更新部署"的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足,"云安全"应运而生。
金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和百度安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反病毒的阵线中来,为反病毒产业的下游合作伙伴提供商业上的激励,摆脱目前反病毒厂商孤军奋战的局面。