- 1、本文档共47页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
U盘病毒 病毒程序不可能明目张胆的出现,一般都是巧妙存在U盘中。常见的隐藏方式有: 1) 作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的。现在的病毒一般不会采用这种方式。 2) 伪装成其他文件。由于一般人们不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。 3) 藏于系统文件夹中。虽然感觉与第一种方式相同,但是不然。这里的系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。 4) 运用Window的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开,系统提示不存在路径。其实这个文件夹的真正名字是 runauto...\。 5) 隐藏文件夹,生成对应的文件夹图标的病毒文件或者快捷方式。 自己编写U盘病毒 关闭自动播放(运行:gpedit.msc) 4.3.6 网络蠕虫 从编程角度来看,蠕虫由两部分组成: 1. 主程序。一旦在计算机中建立,就开始收集与当前计算机联网的其他计算机的信息,能通过读取公共配置文件并检测当前计算机的联网状态信息,尝试利用系统的缺陷在远程计算机上建立引导程序 2. 引导程序。负责把“蠕虫”病毒带到它所感染的每一台计算机中,主程序中最重要的是传播模块,实现了自动入侵的功能,U盘病毒具备蠕虫的一些特性,也可以将其归为蠕虫病毒。 网络蠕虫 最近一次比较有代表性的蠕虫事件,当属2006年底感染全世界的“熊猫烧香”,一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆,上百万个人用户、网吧及企业局域网用户遭受感染和破坏,损失难以估量,曾被列为“十大病毒之首”,病毒别名有:尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香” 熊猫烧香 该蠕虫的作者李某,武汉新洲区人,中专学历,水泥工艺专业。2006年10月16日,时年25岁的李某编写了“熊猫烧香”病毒,它是一种经过多次变种的蠕虫病毒,2007年1月初肆虐网络。李某于2007年2月12日被捕,因表现良好,获刑4年的李某减刑一年多,于2009年12月24日出狱。 “熊猫烧香”除了带有病毒的所有特性外,还具有强烈的商业目的:可以盗取用户游戏账号、QQ账号,以供出售牟利,还可以控制受感染电脑,将其变为“网络僵尸”,暗中访问一些按访问流量付费的网站,从而获利,后续的部分变种中均含有网络游戏盗号木马。 熊猫烧香 这里分析“熊猫烧香”后续的一种变种病毒的攻击方法,其主要表现为: 1. 病毒进程为“spoclsv.exe”,这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。 2. 在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒,目前所有专杀工具及杀毒软件均不会修复此病毒行为,需要手动清除病毒添加的代码,并且一定要清除,否则访问了有此代码的网页,又会感染。 3. 用户系统中所有.exe可执行文件的图标全部被改成熊猫举着三根香的模样。 熊猫烧香 其主要隐藏、感染和攻击行为包括: 1 复制自身到系统目录下 %System%\drivers\spoclsv.exe,不同的spoclsv.exe变种,此目录可不同。比如某变种目录是:C:\WINDOWS\System32\Drivers\spoclsv.exe。 2.创建启动项 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] svcshare=%System%\drivers\spoclsv.exe 3.在各分区根目录生成病毒副本 X:\setup.exe X:\autorun.inf autorun.inf内容为: [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 熊猫烧香 4. 使用net share命令关闭管理共享 cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y 5. 修改“显示所有文件和文件夹”设置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue=dword熊猫烧香 6. 熊猫烧香病毒尝试关闭带如下关键字的安全软件相关窗口 天网、防火墙、进程、VirusScan、NOD32、网镖、杀毒、毒霸、瑞星、江民、黄山IE
文档评论(0)