病毒是從哪裏來的
因為做IT撰稿人的身份,常和編輯們、軟件廠商們合作。我壹個很好的哥們是電腦報的資深編輯,他曾經就告訴我他絕大多數病毒都是殺毒軟件公司本身開發的,而且“他們有更聰明的手段”。編輯沒有說這種手段是什麽。我估計是這個意思:雇用網上閑散的病毒作者,殺毒軟件公司間***享病毒源代碼。
早些有人懷疑,很多高品質的病毒,並不是壹個人能做的如此精致,從其版本控制,分工代碼風格不同等,像是團隊開發出來的。
後來有壹次我給光華反病毒軟件公司寫壹個槍稿,是光華手機版,我沒有手機病毒樣本,就向光華技術人員要,技術人員說這是公司機密不能給我。後來他透露給我說,這壹百多種手機病毒,除了流行的幾種是世界性的廣為人知的手機病毒,其余人們沒聽說過的全部都是光華內部自己研發的。只有他們的殺毒軟件能幹掉。
整個行業的默認的行規。不是他們壹家。就像湘西趕屍。
沒辦法!互聯網就是那樣的!只有自己加強點意識
用腳毛想想都可以判定:60%以上的病毒都是殺毒廠商自己弄的,有的只是有個名稱,有的卻是擁有實質!反正我們消費者不懂病毒,就像病人不知道自己病在哪裏壹樣,醫生說?u>毒褪巧叮?nbsp;
歷史上第壹個病毒,就是軟件公司為反盜版做出來的。
老壹點的電腦玩家應該記得當年KV300爆出的病毒醜聞。當年江民公司就是在KV300內加上了病毒,要是盜版的話病毒就會激活。
防病毒必學知識“病毒是怎麽命名的”
很多時候大家已經用殺毒軟件查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些壹串英文還帶數字的病毒名,這時有些人就蒙了,那麽長壹串的名字,我怎麽知道是什麽病毒啊?
其實只要我們掌握壹些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的壹些***有的特性了:壹般格式為:<病毒前綴>.<病毒名>.<病毒後綴>
病毒前綴是指壹個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
病毒名是指壹個病毒的家族特征,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統壹的“ CIH ”,振蕩波蠕蟲病毒的家族名是“ Sasser ”。
病毒後綴是指壹個病毒的變種特征,是用來區別具體某個家族病毒的某個變種的。壹般都采用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B,因此壹般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多,可以采用數字與字母混合表示變種標識。
下面附帶壹些常見的病毒前綴的解釋(針對我們用得最多的Windows操作系統):
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的壹般***有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的***有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如沖擊波(阻塞網絡),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名壹般為 Hack 。木馬病毒的***有特性是通過網絡或者系統漏洞進入用戶的系統並隱藏,然後向外界泄露用戶的信息,而黑客病毒則有壹個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。壹般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裏補充壹點,病毒名中有PSW或者什麽PWD之類的壹般都表示這個病毒有盜取密碼的功能(這些字母壹般都為“密碼”的英文“password”的縮寫)壹些黑客程序如:網絡梟雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:Script。腳本病毒的***有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的壹種,由於它的特殊性,因此在這裏單獨算成壹類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之壹。凡是只感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,以此類推。該類病毒的***有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。
6、後門病毒
後門病毒的前綴是:Backdoor。該類病毒的***有特性是通過網絡傳播,給系統開後門,給用戶電腦帶來安全隱患。
7、病毒種植程序病毒
這類病毒的***有特性是運行時會從體內釋放出壹個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的***有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的***有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girl ghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的***有特性是病毒作者會使用特定的捆綁程序將病毒與壹些應用程序如QQ、IE捆綁起來,表面上看是壹個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在壹起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。
以上為比較常見的病毒前綴,有時候我們還會看到壹些其他的,但比較少見,這裏簡單提壹下:
DoS:會針對某臺主機或者服務器進行DoS攻擊;
Exploit:會自動通過溢出對方或者自己的系統漏洞來傳播自身,或者他本身就是壹個用於Hacking的溢出工具;
HackTool:黑客工具,也許本身並不破壞妳的機子,但是會被別人加以利用來用妳做替身去破壞別人。
妳可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在殺毒無法自動查殺,打算采用手工方式的時候這些信息會給妳很大的幫助
手工查殺木馬的通用方法
壹、關於木馬
木馬,其實質只是壹個網絡客戶/服務程序。網絡客戶/服務模式的原理是壹臺主機提供服務(服務器),另壹臺主機接受服務(客戶機)。作為服務器的主機壹般會打開壹個默認的端口並進行監聽 (Listen), 如果有客戶機向服務器的這壹端口提出連接請求(Connect Request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序稱為守護進程。就我們前面所講的木馬來說,被控制端相當於壹臺服務器,控制端則相當於壹臺客戶機,被控制端為控制端提供服務。
二、發現木馬
由於木馬是基於遠程控制的程序,因此中木馬的機器會開有特定的端口。壹般壹臺個人用的系統在開機後最多只有137、138、139三個端口。若上網沖浪會有其他端口,這是本機與網上主機通訊時打開的,IE壹般會打開連續的端口:1025,1026,1027……,QQ會打開4000、4001……等端口。
在DOS命令行下用netstat -na命令可以看到本機所有打開的端口。如果發現除了以上所說的端口外,還有其他端口被占用(特別是木馬常用端口被占用),那可要好好查查了,妳很有可能“中彩”了!比方說木馬“冰河”所占用的端口是7626,黑洞2001所占用的端口是2001,網絡公牛用的是234444端口……如果發現這些端口被占用了,基本上就可以判定: 妳中木馬了!
三、查找木馬
首先要使妳的系統能顯示隱藏文件,因為壹些木馬文件屬性是隱藏的。
多數木馬都會把自身復制到系統目錄下並加入啟動項(如果不復制到系統目錄下則很容易被發現,不加入啟動項在重啟後木馬就不執行了),啟動項壹般都是加在註冊表中的,具體位置在:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值。
如木馬冰河的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE"
廣外女生1.51版的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE"
藍色火焰0.5的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe"
不過,也有壹些木馬不在這些地方加載,它們躲在下面這些地方:
①在Win.ini中啟動
在Win.ini的[windows]字段中有啟動命令“load=”和“run=”,在壹般情況下“=”後面是空白的,如果有後跟程序,比方說是這個樣子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,這個file.exe很可能是木馬。
②在System.ini中啟動
System.ini位於Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe 是木馬喜歡的隱蔽加載之所,木馬通常的做法是將該句變為這樣:shell=Explorer. exe window.exe,註意這裏的window.exe就是木馬程序。
另外,在System.ini中的[386Enh]字段,要註意檢查在此段內的“driver= 路徑\程序名”,這裏也有可能被木馬所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]這三個字段,這些段也是起到加載驅動程序的作用,但也是增添木馬程序的好場所。
③在Autoexec.bat和Config.sys中加載運行
但這種加載方式壹般都需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行,而且采用這種方式不是很隱蔽,所以這種方法並不多見,但也不能因此而掉以輕心哦。
④在Winstart.bat中啟動
Winstart.bat是壹個特殊性絲毫不亞於Autoexec.bat的批處理文件,也是壹個能自動被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成,在執行了Win.com並加載了多數驅動程序之後開始執行(這壹點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運行,危險由此而來。
⑤啟動組
木馬隱藏在啟動組雖然不是十分隱蔽,但這裏的確是自動加載運行的好場所,因此還是有木馬喜歡在這裏駐留的。啟動組對應的文件夾為:C: \Windows\Start Menu\Programs\StartUp,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
⑥*.INI
即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋同名文件,這樣就可以達到啟動木馬的目的了。
⑦修改文件關聯
修改文件關聯是木馬常用手段(主要是國產木馬,老外的木馬大都沒有這個功能),比方說正常情況下txt文件的打開方式為Notepad.EXE文件,但壹旦中了文件關聯木馬,則txt文件打開方式就會被修改為用木馬程序打開,如著名的國產木馬冰河就是這樣幹的。“冰河”就是通過修改
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C: \Windows\Notepad.exe %1”改為“C:\Windows\System\SYSEXPLR.EXE %1”,這樣壹旦妳雙擊壹個txt文件,原本應用Notepad打開該文件的,現在卻變成啟動木馬程序了,好狠毒哦!請大家註意,不僅僅是txt文件,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標。對付這類木馬,只能檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command 主鍵,查看其鍵值是否正常。
⑧捆綁文件
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具軟件將木馬文件和某壹應用程序捆綁在壹起,然後上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。綁定到某壹應用程序中,如綁定到系統文件,那麽每壹次Windows啟動均會啟動木馬。
當發現可疑文件時,妳可以試試能不能刪除它,因為木馬多是以後臺方式運行的,通過按Ctrl+Alt+Del是找不到的,而後臺運行的應是系統進程。如果在前臺進程裏找不到,而又刪不了(提示正在被使用)那就應該註意了。
四、手工清除
如果妳發現自己的硬盤總是莫明其妙地讀盤,軟驅燈經常自己亮起,網絡連接及鼠標屏幕出現異常現象,很可能就是因為有木馬潛伏在妳的機器裏面,此時就應該想辦法清除這些家夥了。
那麽如何清除木馬而不誤刪其他有用文件呢?當妳通過上述方法找到可疑程序時,妳可以先看看該文件的屬性。壹般系統文件的修改時間應是1999年或1998年而不應該是最近的時間(安裝最新的Win2000、 WinXP的系統除外),文件的創建時間應當不會離現在很近。當看到可疑的執行文件時間是最近甚至是當前,那八成就有問題了。
首先查進程,檢查進程可以借助第三方軟件,如Windows優化大師,利用其“查看進程”功能把可疑進程殺掉後,然後再看看原來懷疑的端口還有沒有開放(有時需重啟),如果沒有了那說明妳對了,再把該程序刪掉,這樣妳就手工刪除了這匹木馬了。
如果該木馬改變了TXT、EXE或ZIP等文件的關聯,那妳應把註冊表改過來,如果不會改,那就把註冊表改回到以前的就可以恢復文件關聯,可通過在DOS下執行scanreg/restore命令來恢復註冊表,不過這條命令只能恢復前五天的註冊表(這是系統默認的)。此舉可輕松恢復被木馬改變的註冊表鍵值,簡單易用。