历史计算机病毒事件
2.贝尔实验室的三个年轻程序员也受到了冯的影响?受诺依曼理论的启发,发明了“核心战争”游戏。
3、1983 165438+10月,在一次国际计算机安全学术会议上,美国学者科恩首次明确提出了计算机病毒的概念,并进行了论证。
4.世界上第一个在个人电脑上广泛传播的病毒是诞生于1986开头的C脑病毒。是一对巴基斯坦兄弟写的,他们经营一家电脑公司,靠卖自己的电脑软件为生。
当时由于当地盗版软件的猖獗,为了防止软件被随意非法复制,也为了跟踪有多少人在非法使用他们的软件,他们在1986年初编制了“大脑”病毒,也称为“巴基斯坦”病毒。
该病毒在DOS操作系统下运行,通过软盘传播。它只在软件被盗版时发生,当它发生时,它会吃掉盗版者硬盘上的剩余空间。
1988,11年5月,美国国防部军用计算机网络遭到莫里斯病毒攻击,感染了美国互联网上的6000多台计算机,造成直接经济损失9600万美元。
莫里斯病毒是由康奈尔大学23岁的罗斯引起的。莫里斯制作的。
后来出现的各种蠕虫都是对莫里斯蠕虫的模仿,以至于人们把病毒的创造者莫里斯称为“蠕虫之父”。
6、1999 Happy99、美丽杀手(Melissa)等完全通过Inter传播的病毒预示着Inter病毒将成为病毒新的增长点。
其特点是利用Inter的优势快速大规模传播,使病毒在很短时间内遍布全球。
7.CIH病毒是继DOS病毒之后的第四种新型病毒,CIH的三个字母曾代表灾难。
1998是8月份从台湾省传入大陆的,主要有三个版本:1.2 /1.3 /1.4,攻击时间为4月26日、6月26日、每月。
这种病毒是第一种直接攻击和破坏硬件的计算机病毒,也是迄今为止最严重的病毒。
CIH病毒的制造者陈盈豪有两次精神病门诊记录,被认为是“电脑怪胎”。
8.2000年5月,“爱虫”病毒通过电子邮件在全球范围内迅速传播,并以更大规模爆发,在全球范围内造成了前所未有的计算机系统破坏。
我爱你蠕虫病毒是一种用VB Script编程语言编写的病毒,主要通过一封标题为“我爱你”的邮件进行传播。
一旦附件被执行,病毒就会获取Outlook通讯录列表,自动发出“我爱你”的邮件,从而造成网络拥堵。
破坏性:爱虫病毒传播会导致网络瘫痪。病毒爆发时,10 * . MP3和* .等文件。jpg会改成*。vbs,这些文件将被感染和覆盖。
类似爱虫病毒的网络病毒有Melissa(美丽杀手病毒)等。
9.著名的“黑色星期五”病毒在13的星期五爆发。
出现在10年和2006年9月18日的尼姆达病毒是病毒进化的又一个里程碑。它利用系统的漏洞第一次攻击互联网,具有典型的黑客特征。
它的出现意味着一种混合了各种黑客手段的病毒诞生了。
Nimda是一种新的复杂蠕虫,它会发送大量电子邮件,并通过网络传播。
尼姆达病毒总是伪装成主题行为空的电子邮件来攻击计算机。
当你打开这封来历不明的邮件时,你会发现有一个名为readme.exe的附件(即一个可执行的自述文件)。如果打开这个附件,Nimda就成功完成了攻击电脑的第一步。
接下来,病毒不断搜索局域网内的共享网络资源,将病毒文件复制到用户电脑上,随机选择各种文件作为附件,然后根据用户电脑中存储的邮箱地址发送病毒,从而完成一个病毒传播的循环过程。
11.2002年,应用信Klez病毒和邮件病毒主要影响微软Outlook Express用户。
12,“附件在哪里?你找到我了吗?不用担心打开它。这是一份重要的文件。可以查杀QQ病毒的查杀工具请查看附件。
“如果你收到这样的邮件,不要打开它。这是国内首例中文混合病毒,会导致电脑中的各种密码,包括操作系统、网络游戏、电子邮件等被窃取。
13,冲击波,2003年8月11,冲击波席卷全球,利用微软网络接口的RPC漏洞进行传播,导致多台电脑中毒,机器不稳定,重启,崩溃,部分网络瘫痪,未打补丁的WINDOWS操作系统也难以逃脱其魔掌。
14.冲击波:它有一种类似冲击波的形式。受感染的系统重新启动计算机,因为系统文件lsess.Exe崩溃,由于蠕虫病毒。
15,Globus病毒作为Dos时代的老病毒,也是第一个在中国流行起来的计算机病毒。
Globule病毒可以用阴险的方式控制计算机,使程序运行缓慢甚至无法运行。
特洛伊马,一旦被渗透,将会引起无尽的麻烦。
据说在海湾战争期间,美国国防部的一个秘密机构对伊拉克的通信系统进行了有计划的病毒攻击,一度使伊拉克的国防通信陷入瘫痪。
1,msn Fun,自动向用户的msn发送消息和病毒。
2.Word文档杀手:销毁文档数据,记录管理员密码。
3.老鹰:木马程序,电子邮件传播,监控系统时间,2004年2月25日自动退出。
4.sobig:0分钟65438+300病毒邮件。
5.红队(I-Worm Redcode):感染对象,服务器,修改服务器网站的网页。
6、Bluecode(蓝码):启动多个进程,系统运行非常慢,cpu利用率上升很快,甚至瘫痪。
7.密码黑仔2004:几乎所有登录窗口的输入信息都被键盘记录技术截获,并通过电子邮件发送给病毒作者。
8.挪威客(Mydoom.e):疯狂发毒邮件,随机删除电脑数据。
9.Netsky:大量有毒邮件传播,消耗网络资源,影响企业的邮件服务器。
10,武汉男孩:qq发送诱惑信息,盗取传说中的密码,以邮件形式发给密码窃贼,终结各种杀毒软件。
11,证券大盗(PSW。搜番):特洛伊马,盗取多个证券交易系统的交易账号和密码。
记录键盘信息,并通过屏幕快照以图片的形式发送用户信息。
2008年十大病毒/木马
根据病毒危害程度、病毒感染率、用户关注度计算综合指数,最终得出以下十种病毒/木马是2008年最具影响力的病毒/木马。
1,机器狗系列病毒
关键词:底层系统文件通过磁盘被感染
机器狗病毒被网民命名为“机器狗”,因为最初的版本使用了电子狗的照片作为图标。病毒的变种很多,大部分是杀毒软件无法正常运行。
这种病毒的主要危害是充当病毒特洛伊下载器。通过修改注册表,使大部分流行的安全软件失效,然后疯狂下载各种黑客工具或黑客工具,对广大网民的虚拟财产造成极大威胁。
机器狗病毒直接操作磁盘绕过系统文件完整性测试,通过感染系统文件(如explorer.exe、userinit.exe、winhlp32.exe等)实现隐藏启动。);通过底层技术穿透冰点、暗影等还原系统软件,大量网吧用户感染病毒,无法通过还原保证系统安全;通过修复SSDT、镜像劫持、进程操作等方法,大量安全软件失效;网上下载大量盗号木马。
一些机器狗变种还会下载ARP恶意攻击程序对局域网(或服务器)进行ARP欺骗,影响网络安全。
2.AV终结者病毒系列
关键词:杀毒软件打不开反复感染。
AV终结者最大的特点就是禁用了所有的杀毒软件和大量的安全辅助,让用户的电脑失去了安全性。破坏安全模式,让用户根本无法进入安全模式清理病毒;强行关闭带有“病毒”字样的网页,只要在网页中输入“病毒”字样,网页就会被强行关闭,甚至一些安全论坛无法登录,用户无法通过网络寻求解决方案;释放自动运行。Inf,并利用系统的自播放功能。如果不清理,重装系统后可能会反复感染。
2008年底出现的“超级AV终结者”综合了AV终结者、机器狗、扫地波、autorun病毒的特点,是金山毒霸安全中心捕获的一种新型计算机病毒。
对用户造成了极大的威胁。
它通过微软的极大漏洞MS08067在局域网内传播,具有佩戴和还原机器狗的功能,下载大量木马,对网吧和局域网用户影响极大。
3.在线游戏系列
关键词:网络游戏黑客
这是一种盗号木马系列的统称。这种特洛伊马最大的特点就是由ShellExecuteHooks启动,盗取热门网游(魔兽,梦幻西游等)的账号。)从而通过买卖设备获取利益。
这类病毒本身一般不会对抗杀毒软件,但往往伴随着超级Av终结者、机器狗等病毒。
4.HB蝗虫系列特洛伊马
关键词:网络游戏黑客
HB蝗虫病毒新变种是金山毒霸安全中心年底截获的最“牛逼”的盗号木马病毒。
该系列盗号木马技术成熟,传播渠道广泛,目标游戏众多(有专门的生成器),基本囊括了市面上大部分游戏,如魔兽世界、奥德赛onlineII、剑侠世界、修士II、完美系列游戏、梦幻西游、魔域等。
这种特洛伊病毒主要通过网页和流行的病毒下载程序传播。
传播这种盗号木马的下载器一般会对抗杀毒软件,导致杀毒软件打不开,电脑变慢。
5、扫波病毒
关键词:新蠕虫漏洞
这是一种新的蠕虫。
是微软“黑屏”事件后攻击性最强的病毒之一。
“扫地波”运行后,遍历局域网内的计算机,发起攻击。攻击成功后,被攻击的电脑会下载并执行一个下载器病毒,下载器病毒还会下载“扫地波”,下载一批游戏盗号木马。
被攻击计算机中的“扫描波”然后攻击其他计算机,从而传播到互联网。
据了解,此前发现的蠕虫一般是自行传播,而扫波则是通过下载器病毒下载传播。因其具有自传播特性,已被金山毒霸反病毒工程师确认为新型蠕虫。
在微软宣布“黑屏”的第3天,MS08-067安全公告紧急发布,提醒用户一个非常危险的漏洞,随后利用该漏洞发动攻击的恶意程序不断涌现。10年10月24日晚,金山发布红色安全预警。通过对微软MS08-067漏洞的详细原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发动远程攻击,微软操作系统面临大规模崩溃的威胁。165438+10月7日,金山再次发出预警,“扫荡波”病毒正在利用该漏洞进行大规模攻击;165438+10月7日晚,金山确认“扫浪”为新型蠕虫病毒,并发布周末红色病毒预警。
6、QQ偷圣人
关键词:QQ黑客
这是一系列QQ盗号木马病毒。病毒通常会释放病毒体(类似于UnixsMe。Jmp,Sys6NtMe。Zys,)到IE安装目录(C:程序文件浏览器explore),通过注册表浏览器Helper对象实现开机。
当它运行成功后,会将之前生成的文件注入到进程中,查找QQ登录窗口,监控用户输入被盗账号和密码,并发送到特洛伊养马人指定的网站。
7.RPC黑客
关键词:不能复制和粘贴
这一系列木马通过替换系统文件来达到开机的目的。因为RPC服务文件rpcss.dll被替换,修复不当会影响系统的切菜板、上网等功能。
部分版本增加了反调试功能,导致系统开机时加载缓慢。
8.假冒QQ系统消息
关键词:QQ系统消息,杀毒软件不能用
被金山毒霸检测为钓鱼程序,该病毒最大的特点是伪装QQ系统消息。一旦用户点击它,金钱和电脑安全将面临巨大威胁。
该病毒具有很强的综合破坏能力。它通过自动技术自动传播。当它进入电脑后,运行自己的对抗模块,试图劫持镜像或直接关闭用户系统中的安全软件。
该病毒还有下载器的功能,可以下载其他木马到电脑上运行。
9、QQ幽灵
关键词:QQ特洛伊下载器
该病毒查找QQ安装目录,并在其目录中释放一个精心修改的psapi.dll。QQ启动时会加载这个dll文件(程序加载dll文件的顺序是1:应用程序的安装目录2:当前工作目录3:系统目录path变量),从而执行恶意代码将大量病毒下载到用户电脑中。
10,开车
关键词:不能完全去除隐蔽性
驱动很像AV终结者和机器狗。
最大的特点是大量用户的杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;更有甚者,因为Exe文件被感染,导致重装系统无法彻底移除。
磁盘驱动器病毒主要通过网站、u盘、局域网ARP传播等方式传播。,而且它们非常隐蔽。在病毒传播过程中,用户使用的技术手段甚至杀毒软件都无法拦截。
该病毒一旦在用户电脑中运行成功,就会自动下载其最新版本和大量其他木马在本地运行,窃取用户的虚拟资产等机密信息;同时,该病毒会感染用户机器上的exe文件,包括压缩包中的exe文件,并通过UPX进行加壳,用户很难彻底清除。
二、2008年计算机病毒和木马的特点
2008年是病毒和木马异常活跃的一年。
从病毒传播来看,2008年,大量病毒通过网页传播,主要利用realplay、adobe flash和IE漏洞。
从病毒的运行方式来看,2008年,大量病毒利用下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑上——盗取用户的网游账号并发送到黑客的数据库中。
从病毒的危害来看,2008年流行的病毒绝大多数是网游盗号木马,其次是远程控制木马。
1,病毒制造进入“机械化”时代
由于各种病毒制作工具的泛滥,病毒制作的分工更加细致化、程式化,病毒作者开始按照既定的病毒制作流程制作病毒。
病毒制造已经进入“机械化”时代。
这种“机械化”很大程度上是因为病毒生产门槛的降低和各种生产工具的普及。
“病毒制造者”是网络上流行的制作病毒的工具,病毒作者无需任何专业技术就可以手工制作生成病毒。
金山毒霸全球反病毒监测中心通过监测发现互联网上有不少此类广告。病毒作者可以根据自己对病毒的需求,在相应的制作工具中定制和查看病毒功能。
病毒的傻瓜式生产导致了病毒的“机械化”时代。
病毒的机械化生产导致了病毒数量的爆炸式增长。
反病毒厂商传统的人工采集和识别方法已经无法应对病毒的快速增长。
依托“云安全”技术,金山毒霸2009实现了病毒库中病毒样本数的5倍增长,日最大病毒处理量提升100次,紧急病毒响应时间缩减至1小时以内,为用户带来了更好的安全体验。
2.病毒制造的模块化、专业化明显。
病毒团伙按照功能模块外包生产或购买技术先进的病毒功能模块,使得病毒各方面功能越来越“专业”,病毒技术可以不断改进和发展,对网民的危害越来越大,解决问题也越来越困难。
比如年底出现的《超级AV终结者》,就是病毒技术的杰作,是模块化生产的典型代表。
从专业化来说,病毒制造业自然分为以下几个环节:病毒生产者、病毒批发商、病毒传播者、“盒子”批发商、“信封”批发商、“信封”零售终端。
病毒作者包括“高级程序员”,甚至逆向工程师。
病毒批发商购买病毒源代码,出售后生成木马。
病毒传播者负责通过各种渠道传播病毒,盗取有价值的QQ号、游戏账号和装备。
“盒子”批发商通过出租或出售“盒子”(即可以窃取虚拟资产并收集被盗号码的木马)来获利,他们往往拥有自己的木马或木马生成器。
“信封”批发商通过购买或租用“盒子”并出售收获的信封来获利。
“信封”零售终端负责对“信封”中收集的有价值的虚拟资产进行筛选并出售。
各环节各负其责,专业化趋势明显。
3.病毒“运作”模式互联网化。
经过2008年的行动,病毒团伙已经完全转向互联网,攻击手段一般是:通过网站入侵-& gt;编写恶意攻击代码-& gt;将其作为新型网络病毒的主要传播方式,网民在访问带有挂马代码的‘正常网站’时,会‘不知不觉’受到漏洞攻击的毒害。
这种传播方式的特点是快速性、私密性和适合商业运作(可以像互联网厂商一样准确统计收入和分享销售额)。
比如“机器狗”病毒被“商家”购买后,可以通过“机器狗”招商。
由于机器狗本身并没有“偷”东西的功能,而是可以通过对抗安全软件来保护病毒,所以“机器狗”就成了病毒贩子,木马等病毒也加入了“机器狗”的下载列表。
如果病毒想加入这些经销商的名单,必须缴纳3000元左右的“入门费”。
“机器狗”和其他类似的“下载者”互相推动,就像正常商业活动中的资源交换一样。
这样,添加到渠道列表中的病毒就可以通过更多的渠道进入用户的电脑。
病毒通过哪个渠道进入,就会付费给哪个渠道。
此外,该病毒的推广和销售完全基于互联网。
病毒推广方式包括通过一些技术论坛推广,黑客网站也是重要的推广渠道,百度贴吧、QQ群等渠道也纳入推广。
其销售渠道也完全基于互联网,典型的销售渠道包括:公开拍卖网站,如淘宝、易贝等。
也有通过QQ直接销售的,或者通过专门网站销售的。
4.病毒团伙更快地利用“新”漏洞。
IE 0day漏洞被利用成为2008年最大的安全事件。
当ms08-67漏洞暴露时,一些流行的特洛伊下载程序将该漏洞的攻击代码集成到病毒中,以实现更广泛的传播。
至于年底出现的IE0day漏洞,从瓜马集团更新连接,添加IE 0day漏洞攻击代码到微软更新补丁,已经过去了将近10天。
在此期间,数千万网民访问了包含此次漏洞攻击代码的网页。
此外,2008年Flash player的漏洞也给很多网友造成了损失。
因为软件本身的设计、更新、升级等原因,存在一些漏洞,会被黑客和恶意网站利用。
用户在浏览网页的过程中,通过漏洞下载特洛伊病毒入侵用户系统,进行远程控制,窃取用户账号和密码等。,从而导致用户遭受损失。
金山毒霸团队密切关注windows系统软件和第三方应用软件的漏洞信息,及时更新漏洞数据库信息。同时,金山清理专家采用P2SP技术,大大提高了补丁下载速度,减少了用户电脑的风险暴露时间。
5.病毒与安全软件的对抗日趋激烈。
在病毒产业链的划分中,下载器扮演着‘黑社会’的角色,它终结并破坏杀毒软件,渗透修复软件,通过‘保护’盗号木马成功下载到用户机器上,通过‘保护费’和下载量来划分为脏。
下载器在2008年充当深水炸弹,一直跑在对抗杀毒软件的第一线,大出风头,获得丰厚回报。
从‘AV终结者’的广泛流行不难看出,杀毒软件已经成为下载者的‘必备技能’。
在整个2008年,一些流行的病毒,如机器狗、磁盘驱动器、AV终结者等。,无一例外都是对抗性病毒。
而且,一些病毒制作者还扬言要“饿死杀毒软件”。
之前也有过针对杀毒软件,破坏系统安全设置的病毒,但在2008年,尤为突出。
主要是因为大部分杀毒软件都加大了查杀病毒的力度,使得病毒为了生存不得不与杀毒软件对抗。
这些病毒还以各种方式被利用,比如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
病毒与杀毒软件对抗的主要特点是对抗的频率变快,周期变短,每种病毒的新版本更新非常快,每两天甚至几个小时对抗一次杀毒软件。
金山毒霸通过加强自我保护功能,提高了病毒攻击的技术门槛。
目前,金山毒霸系统可以提供无人值守、自动化的病毒样本采集、病毒库更新测试和升级发布解决方案,以应对病毒传播制作者的挑战。
三、2009年计算机病毒特洛伊马发展趋势预测
1和0Day漏洞会与日俱增。
2008年,安全界最关注的不是Windows系统漏洞,而是微软发布补丁后每隔几天黑客发布的0-0Day漏洞。由于这些漏洞处于系统更新的空白期,没有补丁,所有电脑都处于危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和巨大利润后,会更加重视0day漏洞的利用。2009年可能会出现大量新的0day漏洞(包括系统漏洞和流行的互联网软件漏洞),病毒团伙会利用0day漏洞发现和厂商发布补丁的时间差,发动漏洞攻击,赚取高额利润。
2.网页挂马现象日益严重。
在网页上挂马已经成为特洛伊马和病毒传播的主要途径之一。
入侵网站,篡改网页内容,植入各种木马。只要用户浏览了木马的网站,就有可能被木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂机的情况并不少见,大到一些门户网站,小到一家地方电视台的网站。
随着互联网的日益普及,网页挂马已经成为特洛伊木马和病毒传播的主要途径之一。金山毒霸反病毒工程师预测,2009年网络挂马问题将更加严峻,更多网站将受到特洛伊木马攻击。
3.病毒和反病毒厂商的对抗将会加剧。
随着反病毒厂商对安全软件自我保护能力的提高,病毒的对抗会越来越激烈。
病毒将不再局限于终结和破坏杀毒软件,隐藏和本地‘寄生’系统文件的弱对抗性病毒将大大增加。
4.对新平台的尝试
病毒、木马进入新经济时代后,必然无孔不入;网速让病毒更加猖狂。
因此,在2009年,我们可以预测,vista系统和windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代,手机平台上的病毒/特洛伊马活动将会增加。
软件漏洞不可避免,新平台上的漏洞也将成为病毒/木马最主要的传播手段。
四。2009年反病毒技术发展趋势
随着病毒制作门槛的逐渐降低,病毒和木马数量的快速增长,以及反病毒厂商与病毒对抗的日益激烈,传统的“获取样本”->;签名分析-& gt;更新部署”的杀毒软件运行模式,已经无法满足不断变化和增长的安全威胁。
在海量病毒和木马充斥互联网,病毒制作者技术不断更新的环境下,杀毒厂商必须有更有效的方法来弥补传统杀毒方法的不足,“云安全”应运而生。
金山毒霸“云安全”是为解决特洛伊马商业化的互联网安全状况而应运而生的安全架构。
它包括三个层次:智能客户端、集群服务器和开放平台。
“云安全”是对现有反病毒技术的增强和补充,最终目的是让互联网时代的用户得到更快更全面的安全防护。
首先是稳定高效的智能客户端,可以是独立的安全产品,也可以是与其他产品集成的安全组件,如金山毒霸2009、百度安全中心等,为整个云安全体系提供样本采集和威胁处理的基本功能。
其次,在服务器的支持下,包括分布式海量数据存储中心、专业的安全分析服务和安全趋势智能分析挖掘技术,并与客户端合作,为用户提供云安全服务;
最后,云安全需要开放的安全服务平台作为基础,为第三方安全合作伙伴对抗病毒提供平台支持,让缺乏技术储备和设备支持的第三方合作伙伴也能参与到反病毒战线,为反病毒行业的下游合作伙伴提供商业激励,摆脱反病毒厂商单打独斗的现状。