2006病毒木馬整體特點
據金山毒霸全球反病毒監測中心資料記裁,其在上半年共捕獲85552種病毒,其中的急性、惡性病毒爲37735種,佔44.1%。與往年相比,這個數量已經超過了近兩年的病毒總數。而江民病毒疫情監測預警中心的月統計數據顯視,僅11月爲例:木馬感染的計算機爲1401256、後門爲304162、蠕蟲127040、漏洞攻擊12501、腳本7711、宏病毒爲835、其它攻擊爲61876,如此大的數據只佔冰山一角讓人不寒而立。由此得知病毒在此一年呈持續上漲趨勢,大有一斬系統安全於馬下的霸氣。
以前的病毒製造者通常是利用改變字符串,增加新內容的方式進行重編譯,而現在病毒編制更加容易,稍微懂點編程技術的用戶即可在網絡中找到類似病毒的功能模塊,只要進行簡單組裝即可製造出病毒或木馬,而病毒疫情在2006年總體可分爲:病毒增長變種速度快並利用勒索木馬進行偷、搶、騙行爲愈演愈烈,病毒傳播途徑呈現多元化跨平臺趨勢,以多數量小面積的方式進行傳播,這種以多數量小面積傳播的病毒更是和反病毒軟件比賽升級時間,甚至出現了一天之內同一病毒連續升級數十次的情況。而加殼手段是惡意用戶的首選,將可執行程序文件或動態鏈接庫文件的編碼進行改變、改變、壓縮、加密以達到不被殺毒軟件查殺目的。此時作爲殺毒軟件廠商開始研發獨立模塊專門負責解殼,脫殼引擎應運而生。總體而言2006病毒體現出了病毒技術提高,利用熱點事件進行傳播如:“世界盃電子門票”、“斯克曼”蠕蟲等,有的病毒還將自身捆綁到正常的文檔中,大有從系統漏洞演變爲文件格式漏洞傳播方式進行的趨向。由此同時出現了全球首個以Rootkit、跨平臺爲高端技術代表的病毒(Win32/Linux.Bi.a),該病毒目前無傳播能力,但可以感染用戶當前目錄下的可執行文件。
木馬病毒報告書
2006年前沿病毒中,灰鴿子木馬(Backdoor.Huigezi)以其變種強捍位居首位,傳奇型木馬(此類型的木馬很多,並且網絡中不斷出現新變種,現已發展到能阻止殺毒軟件、反木馬軟件的運行,其中危害較大的有網吧傳奇殺手、傳奇黑麪、傳奇男孩、蜜蜂大盜、傳奇盜號木馬。)以竊取“傳奇”等網絡遊戲賬號爲目的其危害也不容小視,高波(Backdoor.Win32.Agobot.bhj)病毒也有擡頭的趨勢,另外利用微軟IE瀏覽器MHTML跨安全區腳本執行漏洞MS03-014的CHM木馬也是令人頭痛,而通過騰迅QQ傳播的QQ大盜病毒因其傳播面廣聞名於網絡,著名的維京病毒依靠自身具備文件型病毒、蠕蟲病毒、病毒下載器類型病毒的特點擠身於2006病毒前排,本年度擁有工行網絡銀行的網名最擔心的要數到工行釣魚木馬(TrojanSpy.Banker.yy),此類病毒專門監視IE瀏覽器訪問的網頁,一但發現網絡用戶在工行網上銀行頁面中輸入了帳號、密碼,並進行了提交時,立即彈出僞造的非法頁面,從而提示用戶修改密碼信息,並通過後臺發送電子信件的形式獲得用戶名與密碼。
傳播高的有Risk.Exploit.Wmf 下載木馬 ;JS.Smalll 網頁木馬 ;Win32.Parite.a.6958感染文件型病毒 ;Win32.Troj.Agent.24576廣告木馬;Win32.Troj.DL.Ag.19456 廣告木馬;Win32.Troj.Clicker.gj.98304 廣告木馬 ;Win32.Troj.Agent.se.35840廣告木馬 ;Win32.Troj.Agent.rs.17408 廣告木馬 ;JS.Psyme.am 網頁木馬。其傳染相對較大危害程序重的有:灰鴿子 Win32.Hack.Huigezi 遠程控制後門 ; QQ阿拉大盜Win32.Troj.QQRobber;QQ傳遞者Win32.Troj.QQPass ;QQ收集者 Win32.Troj.QQShou ;傳奇盜賊 Win32.Troj.Lmir ;天堂盜賊Win32.Troj.Lineage;征途盜賊Win32.Troj.PswZhengtu;WOW盜賊Win32.Troj.WOW;PC共享者Win32.Hack.PcShare ;鍵盤記錄者Win32.Troj.KeyLog等。病毒木馬永遠是網絡中最困擾網名的一大心病,預防纔是最好的手段,千萬不能等病毒入住計算機而毫無準備,那樣將失去網民不該失去的東西。
病毒代表及整治方法2006年最瘋狂的莫過於灰鴿子木馬,因其加殼成功率相對較高,並通過特殊技術處理,修改病毒文件的方式逃過殺毒軟件的追殺,有時惡意用戶還會進行查找病毒文件中被殺毒軟件掃描的特徵部分,加以修改,使其特徵值與殺毒軟件的病毒庫不匹配,進行多次加殼方式來達到目的,形成了已知病毒躲避殺毒軟件的查殺功能,即成爲傳說中的免殺版。灰鴿子進駐系統後十分令人討厭,可以監看用戶各種信息,並可控制遠程攝像頭進行拍攝,一不留神即將帶來各種損失。其清除方法雖然步驟複雜,但依然可以清除,其方法如下:
一、啓動系統按F8鍵進入計算機安全模式,用文件查找功能找出ok88.dll、ok88_Hook.dll和ok88.dll這三個文件(提示:ok88此文件名是根據程序所命名的不同而改變)一一刪除。(圖一)
 |
文件搜索圖
二、進入註冊表在其中找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services項,在其中查找服務所對應的可疑可執行程序,將其刪除便可清除木馬服務,稍微有點知識的網絡管理人員可利用DOS下的netstat -an命令及灰鴿子攻擊器工具對其進行反攻擊。
蜜蜂大盜(Win32.Troj.MiFeng70)可盜取一系列網絡遊戲如:奇蹟、千年、紅月、倚天、決戰、大話西遊、石器時代、遺忘傳說、DVAQ、騰迅QQ、傳奇等帳號密碼,此木馬運行後會將自身複製到系統目錄下,文件名保持不變,在系統安裝目錄中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在註冊表主鍵HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下添加鍵值"internet"="%SYSTEM%"/%VIRUSNAME%";對註冊表主鍵HKLM/SOFTWARE/Classes /xtfile/shell/open/command修改鍵值"默認"="%SYSTEM%"/%VIRUSNAME%" "%1"(圖二);
|
灰鴿子註冊表鍵值圖
在C:Autoexec.bat中添加內容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG,作爲一般用戶這裏建意重裝系統,而專業用戶也得依照上面的述說小心應對。
高波(Backdoor.Win32.Agobot.bhj),此病毒會對用戶造成無法正常使用複製、粘貼,註冊表等,並佔用CPU爲百分百,計算機速度一降到底。此病毒將自身複製到%windir% 和%windir%/system32 目錄下,並添加註冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run nvcpl rundl32.exe、 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/runservices nvcpl rundl32.exe以達到自啓動的目的,對註冊表編輯器形成強制性關閉,導至用戶無法打開註冊表,此時應立刻斷網、並重新啓動計算機進行安全模式,進行查找系統盤與註冊表中的rundl32.exe文件刪除後(圖三),對系統進行全盤殺毒,並打入補丁程序。
 |
rundl32.exe文件查找
CHM木馬程序經過特殊配置的鍵盤記錄器(KeyLogger.PerfectKeyLogger.120),採用隱藏進程手段,對標題包含QQ、ICQ、MSN、股票、在線支付、銀行等關鍵字進行記錄並通過電子郵件形式發送。用戶一但感染可採取斷開網絡,升級殺毒軟件對電腦進行全盤殺毒的自動清除,或者採用手工清除方式只要找到%SystemDir%/dllcache/pk.bin, 3680字節(病毒配置文件),%SystemDir%/dllcache/phantom.exe, 393216字節(病毒程序),%SystemDir%/dllcache/kw.dat, 803字節(病毒配置文件),%SystemDir%/dllcache/phantomhk.dll, 8704字節(病毒模塊),%SystemDir%/dllcache/phantomi.dll, 215040字節(病毒模塊),%SystemDir%/dllcache/phantomwb.dll, 40960字節(病毒模塊)一一刪除,隨後進入註冊表找到如下鍵值HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run"Phantom" = %SystemDir%/dllcache/phantom.exe進行清除(圖四),最後將系統打上微軟MS03-014和MS04-023系統漏洞補丁即可。
工行釣魚木馬,此木馬會在用戶計算機中生成svchost.exe文件,通過自行修改註冊表方式隨同操作系統運行,該病毒同時還會下載灰鴿子後門病毒,感染灰鴿子的用戶系統將被黑客遠程完全控制。清除方法相對簡單,只要運行升級完成後的殺毒軟件進行查殺即可或者在系統目錄與註冊表中找到svchost.exe與相對關聯鍵值刪除即可。
安全須知
現在通常使用的殺毒軟件都具備超強的殺毒軟件引擎,加大了對加殼型木馬的識別殺死功能,如金山毒霸推出的具有“脫殼引擎”的互聯網公開測試版本,能90%對病毒採用的殼進行脫殼處理,而在瑞星中,使用了Generic和變種共性特徵比對技術,從而形成對一個羣族的病毒進行查殺,起到了良好作用,在以後的歲月裏虛擬技術更將是預知未來病毒的一種先驅。