常见的计算机病毒

【平安】常见病毒类型说明及行为分析 0点
1、目前杀毒厂商对恶意程序的分类
nbsp; 木马病毒： TROJ_****.**
nbsp; 后门程序： BKDR_****.**
nbsp; 蠕虫病毒： WORM_****.**
nbsp; 间谍软件： TSPY_****.**
nbsp; 广告软件： ADW_****.**
nbsp; 文件型病毒： PE_****.**
nbsp; 引导区病毒：目前世界上仅存的一种引导区病毒
POLYBOOT-B
2、病毒感染的一般方式病毒感染系统时，感染的过程大致可以分为：通过*种途径传播，进入目标系统自我复制统设置实现随系统自启动激活病毒负载的预定功能如：翻开后门等待连接发起DDOS攻击进展键盘记录发送带计子
2.1 常见病毒传播途径除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实的。

对于不同类型的病毒，它们传播、感染系统的方法也有所不同。

nbsp; 计算机病毒传播方式主要有：
ü电子
ü网络共享
ü P2P 共享
ü系统漏洞
ü浏览网页
ü移动磁盘传播
ü翻开带毒影音文件电子传播方式
nbsp; HTML正文可能被嵌入恶意脚本，
nbsp; 附件携带病毒压缩文件
nbsp; 利用社会工程学进展伪装，增大病毒传播时机
nbsp; 快捷传播特性例：WORM_MYTOB，WORM_STRATION等病毒
2.1.2 网络共享传播方式
nbsp; 病毒会搜索本地网络中存在的共享，包括默认共享如ADMIN$ ,IPC$,E$ ,D$,C$
nbsp; 通过空口令或弱口令猜想，获得完全访问权限病毒自带口令猜想列表
nbsp; 将自身复制到网络共享文件夹中通常以游戏,CDKEY等相关名字命名例：WORM_SDBOT 等病毒
2.1.3 P2P共享软件传播方式
nbsp; 将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名
nbsp; 通过P2P软件共享给网络用户
nbsp; 利用社会工程学进展伪装，诱使用户下载例：WORM_PEERCOPY.A，灰鸽子等病毒
2.1.4 系统漏洞传播方式
nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统
nbsp; 病毒往往利用系统漏洞进入系统,到达传播的目的。

nbsp; 常被利用的漏洞
– RPC-D 缓冲区溢出 (MS03-026)
– Web DAV (MS03-007)
– LSASS (MS04-011)
– Internet E*plorer 中的漏洞〔MS08-078〕
–效劳器效劳中允许远程执行代码的漏洞〔MS08-067〕
(Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒
2.1.5 网页感染传播方式主要是通过恶意脚本网页感染传播方式是当前网络主要的传播方式，这种传播方式有以
1、代码灵活多变利用直接的JAVA恶意脚本。

利用<iframe>框架代码利用转译后的base64、ESC、ASCII等方式
2、木马版本更新速度快由于采用网页方式，木马控制者只需要更新后台的木马主程序版本，即可更新木马版本件无法发觉。

常见的有利用的漏洞包括：MS08-078、MS06-014、联众世界GLIEDown2.dllActive控件任意代码执览器Pdg2 Active*控件栈溢出漏洞、RealPlayer ierpplug.dll Active*控件播放列表名称栈溢出漏洞等漏洞的2.1.6 其他常见病毒感染途径：
ü与影音文件捆绑
ü与正常软件捆绑
ü用户直接运行病毒程序
ü由其他恶意程序释放目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。

它们通常都不具备传2.1.7 广告软件/灰色软件由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常
2.1 病毒自启动方式一般来说，计算机病毒除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。

病为是基于病毒在系统中运行的根底上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能系统的修改方式有：
q 修改注册表
q 将自身添加为效劳
q 将自身添加到启动文件夹
q 修改系统配置文件计算机对操作系统的修改加载方式有：
q 效劳和进程－病毒程序直接运行
q 嵌入系统正常进程－DLL文件和OC*文件等
q 驱动－SYS文件
2.2.1 计算机病毒修改注册表的情况：1、注册表启动
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下：
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：
Run
RunOnce
RunServices 以上这些键一般用于在系统启动时执行特定程序
2、通过注册表对程序进展映像劫持
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File E*ecution Options
3、通过注册表修改文件关联项
HKEY_CLASSES_ROOT下：
e*efileshellopenmand] =""%1" %*"
fileshellopenmand] =""%1" %*"
batfileshellopenmand] =""%1" %*"
htafileShellOpenmand] =""%1" %*"
piffileshellopenmand] =""%1" %*"
……例如：病毒将"%1 %*"改为 "virus.e*e %1 %*"，virus.e*e将在翻开或运行相应类型的文件时被执行。

2.2.2 修改配置文件目前，也经常发现计算机病毒会修改系统的配置文件，如WINDOWS系统的wininit.ini、Win.例如：〔以病毒名为virus.e*e为例〕
%windows% wininit.ini中[Rename]节
NUL=c:windowsvirus.e*e 将c:windowsvirus.e*e设置为NUL,表示让windows在将virus.e*e 运行后删除. Win.ini中的[windows]节
load = virus.e*e
run = virus.e*e 这两个变量用于自动启动程序。

System.ini 中的[boot]节
Shell = E*plorer.e*e,virus.e*e
Shell变量指出了要在系统启动时执行的程序列表。

所以，在平常我们的平安防护中，需要大家多多关注以上的2.2.3 病毒常修改的Bat文件WINDOWS系统的BAT文件也是可执行文件类型之一，计算机病毒也经常会修改这些毒传播和感染的目的。

例如：
%windows%winstart.bat 该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统还有Autoe*ec.bat 在DOS下每次都会自启动执行。

所以，这类文件在我们平常的系统维护中，也得特别注意。

2.2.4 修改启动文件夹计算机病毒非常喜欢修改系统的启动文件夹，将病毒的快捷方式参加启动文件夹，以实现的目的。

一般来说，病毒修改系统启动文件夹有以下两种方式：
1、当前用户的启动文件夹可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionE*plorerShell Folders中的 StartUp 项
2、公共的启动文件夹可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionE*plorerShell Folders中的 mon StartUp 项病毒可以在该文件夹程序，或直接修改其值指向放置有要执行程序的路径。

2.3 常见病毒行为病毒感染系统后，无疑会对系统做出各种修改和破坏。

有时病毒会使受感染的系统出现自动弹
CPU资源、占用过高内存资源、自动弹出/关闭窗口、自动终止*些进程〔特别是反病毒软件进程〕等各种不正常在系统表现形式如何，我们都需要关注的是病毒的隐性行为！
2.3.1 计算机病毒的下载特性-Downloader 很多木马、后门程序间谍软件会自动连接到Internet*Web站点，下件或该病毒自身的更新版本/其他变种。

如大水牛下载者病毒当系统中此病毒后，病毒会自动下载病毒列表
到%SystemRoot%system32nwizs.t*t ，通过此列表下载的病毒会被藏在%UserProfile%Local SettingsTemp 目录接病毒下载列表的下载地址：520sb./dir/ind""_pic/list.t*t ，然后再下载其他的计算机病毒文件。

大水牛病就包含：
microsoft.e*e 〔机器狗，专杀能去除〕
hosts.e*e (是hosts 文件里面免疫了好多网址)
arp.e*e〔大水牛下载者病毒最新程序〕
cq.e*e 〔里面包含黑客木马fei.e*e和传奇盗号器lj.e*e〕
wow.e*e 〔魔兽盗号木马〕
ddos.e*e 〔DDOS 工具，会攻击文件中自带的config.t*t 里指向的所有地址〕2.2.3 计算机病毒的后门特性-序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听*个端口，允许远程恶意用户来对该系统进展远病毒还会自动连接到*IRC站点*频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

如灰鸽子病毒后，中毒时机自动将系统的相关资料，如IP地址，端口号，键盘记录等资料，发送到木马控制者设定的上，然对中毒机进展远程操控。

2.2.4 计算机病毒的信息收集特性-Stealer 大多数间谍软件和一些木马都会收集系统中用户的私人信息，特别收集到的信息通常都会被病毒通过自带的SMTP引擎发送到指定的*个指定的。

如：
QQ密码和聊天记录网络游戏**密码网上银行**密码用户网页浏览记录和上网习惯
……这段时间流行比拟厉害的相关的盗号木马，都具有信息收集的特性。

2.2.5 自身隐藏特性-Hide & Rootkit 多数病毒会将自身文件设置为"隐藏〞、"系统〞和"只读〞属性，更有一改注册表来实现对系统的文件夹访问权限、显示权限等进展修改，以使其更加隐蔽不易被发现。

更有一些病毒会术来隐藏自身的进程和文件，使得用户更难以发现。

使用Rootkit技术的病毒，通常都会有一个.SYS文件加载用以实现Rootkit技术的隐藏功能。

2.2.6 文件感染特性-Infector 文件型病毒的一个特性是感染系统中局部/所有的可执行文件。

病毒会将恶意代正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。

有的文系统中其他类型的文件。

这类病毒的典型例子就是：PE_LOOKED 维京、PE_FUJACKS 熊猫烧香、机器狗病毒和磁2.2.7 网络攻击特性-Attacker 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进展攻击，从而导致受现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。

一些木马和蠕虫病毒会修改计算机的网算机无法访问网络。

有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散步播送包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

如振荡波病毒、狙击波病毒，ARP攻击等。