病毒的分類:
很多時候大家已經用殺毒軟件查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名。
只要掌握一些病毒的命名規則,就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些公有的特性。
世界上那么多的病毒,反病毒公司為了方便管理,他們會按照病毒的特性,將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣,但大體都是采用一個統一的命名方法來命名的。一般格式為:<病毒前綴>.<病毒名>.<病毒后綴> 。
病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
病毒名是指一個病毒的家族特征,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的“ CIH ”,振盪波蠕蟲病毒的家族名是“ Sasser ”。
病毒后綴是指一個病毒的變種特征,是用來區別具體某個家族病毒的某個變種的。一般都采用26個英文字母來表示,如 Worm.Sasser.b 就是指 振盪波蠕蟲病毒的變種B,因此一般稱為 “振盪波B變種”或者“振盪波變種B”。如果該病毒變種非常多(也表明該病毒生命力頑強 ^_^),可以采用數字與字母混合表示變種標識。
綜上所述,一個病毒的前綴對我們快速的判斷該病毒屬於哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型,就可以對這個病毒有個大概的評估。而通過病毒名我們可以利用查找資料等方式進一步了解該病毒的詳細特征。病毒后綴能讓我們知道現在在你機子里呆着的病毒是哪個變種。
下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的Windows操作系統):
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。
這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。注:CIH病毒是一種能夠破壞計算機系統硬件的惡性病毒,有時還會破壞計算機的BIOS。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。
這種病毒的公有特性是通過網絡或者系統漏洞進行復制和傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。病毒發作時會在屏幕上出現一條類似蟲子的東西,胡亂吞吃屏幕上的字母並將其改形。比如沖擊波(阻塞網絡),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。
木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統並隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補充一點,病毒名中有PSW或者什么PWD之類的一般都表示這個病毒有盜取密碼的功能,如:網絡梟雄(Hack.Nether.Client)等。木馬程序危害在於多數有惡意企圖,例如占用系統資源,降低電腦效能,危害本機信息安全(盜取QQ帳號、游戲帳號甚至銀行帳號),將本機作為工具來攻擊其他設備等。
木馬病毒通過特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序:一個是控制端,另一個是被控制端。“木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也並不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機。“木馬”與計算機網絡中常常要用到的遠程控制軟件有些相似,但由於遠程控制軟件是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完有很強的隱蔽性。
傳播方式:
1、通過郵件附件、程序下載等形式傳播
2、通過偽裝網頁登錄過程,騙取用戶信息進而傳播
3、通過攻擊系統安全漏洞傳播木馬,大量黑客使用專門的黑客工具來傳播木馬。
4、腳本病毒
腳本病毒的前綴是:Script。
腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這里單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,依此類推。
該類病毒的公有特性是能感染OFFICE系列文檔,然后通過OFFICE通用模板進行傳播,是一種寄存在文檔或模板的宏中的病毒。一旦打開這樣的文檔,其中的宏就會被執行,宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。如:著名的梅麗莎病毒(Macro.Melissa)。
6、后門病毒
后門病毒的前綴是:Backdoor。
該類病毒的公有特性是通過網絡傳播,給系統開后門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot 。
7、病毒種植程序病毒
這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。
這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。
這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。
這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然后隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等
【參考:https://zhidao.baidu.com/question/39840796.html】
木馬和病毒的區別與關系:
1、病毒:計算機病毒(Computer Virus),指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
具有自我復制能力,很強的感染性,一定的潛伏性,特定的觸發性和很大的破壞性。
2、木馬:特洛伊木馬(“Trojan house”),它是一種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。
特洛伊木馬程序分為客戶端(也稱為控制端)和服務器端(也稱為被控制端)兩部分,當用戶訪問了帶有木馬的網頁后,木馬的服務器部分就下載到用戶所在的計算機上,並自動運行。
它們可能刪除硬盤上的數據,使系統癱瘓,盜取用戶資料等。木馬程序不能獨立侵入計算機,而是要依靠黑客來進行傳播,它們常常被偽裝成“正常”軟件進行散播。
常見的木馬病毒舉例:
梅麗莎病毒,是1998年春天,由美國人大衛·L·史密斯運用Word的宏運算編寫出的一個電腦病毒,其主要是通過郵件傳播。郵件的標題通常為“這是給你的資料,不要讓任何人看見”。2002年5月7日病毒的制造者被判刑,這是美國第一次對重要的電腦病毒制造者進行嚴厲懲罰。
愛蟲病毒,又稱“我愛你”病毒,是一種蠕蟲病毒,與1999年的梅麗莎病毒非常相似。2000年5月4日,一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒是通過Microsoft Outlook電子郵件系統傳播的,郵件的主題為“I LOVE YOU”,並包含一個附件。一旦在Microsoft Outlook里打開這個郵件,系統就會自動復制並向地址簿中的所有郵件電址發送這個病毒。據稱,這個病毒可以改寫本地及網絡硬盤上面的某些文件。用戶機器染毒以后,郵件系統將會變慢,並可能導致整個網絡系統崩潰。據稱:“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒,它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至醫院在內的眾多機構造成了負面影響。
“紅色代碼”病毒是2001年7月15日發現的一種網絡蠕蟲病毒,感染運行Microsoft IIS Web服務器的計算機。其傳播所使用的技術可以充分體現網絡時代網絡安全與病毒的巧妙結合,將網絡蠕蟲、計算機病毒、木馬程序合為一體,開創了網絡病毒傳播的新路,可稱之為划時代的病毒。如果稍加改造,將是非常致命的病毒,可以完全取得所攻破計算機的所有權限並為所欲為,可以盜走機密數據,嚴重威脅網絡安全。
灰鴿子( Huigezi),原本該軟件適用於公司和家庭管理,其功能十分強大,不但能監視攝像頭、鍵盤記錄、監控桌面、文件操作等。還提供了黑客專用功能,如:偽裝系統圖標、隨意更換啟動項名稱和表述、隨意更換端口、運行后自刪除、毫無提示安裝等,並采用反彈鏈接這種缺陷設計,使得使用者擁有最高權限,一經破解即無法控制。最終導致被黑客惡意使用。原作者的灰鴿子被定義為是一款集多種控制方式於一體的木馬程序。
冰河是一種木馬軟件。冰河木馬開發於1999年,跟灰鴿子類似,在設計之初,開發者的本意是編寫一個功能強大的遠程控制軟件。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局面,跟后來的灰鴿子等等成為國產木馬的標志和代名詞。在2006年之前,冰河在國內一直是不可動搖的領軍木馬,在國內沒用過冰河的人等於沒用過木馬,由此可見冰河木馬在國內的影響力之巨大。
沖擊波(Worm.Blaster)病毒是利用RPC漏洞進行傳播的,只要是有RPC服務並且沒有打安全補丁的計算機都存在有RPC漏洞。該病毒感染系統后,會使計算機產生下列現象:系統資源被大量占用,彈出RPC服務終止的對話框,系統反復重啟,不能收發郵件、不能正常復制文件、無法正常瀏覽網頁,復制粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。
熊貓燒香是一種經過多次變種的“蠕蟲病毒”變種,跟灰鴿子不同,是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒,它不但能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程並且會刪除擴展名為gho的文件。2006年10月16日由25歲的中國湖北武漢新洲區人李俊編寫,2007年1月初肆虐網絡,它主要通過下載的檔案傳染,受到感染的機器文件因為被誤攜帶間接對其它計算機程序、系統破壞嚴重。2007年2月12日,湖北省公安廳宣布,李俊以及其同伙共8人已經落網,這是中國警方破獲的首例計算機病毒大案。
X卧底軟件是一種安裝在手機里的監控軟件。X卧底病毒通過木馬形式感染智能手機。
2017年5月,國內高校突發比特幣病毒,多所高校發布關於連接校園網的電腦大面積中“勒索”病毒的消息,這種病毒致使許多高校畢業生的畢業論文(設計)被鎖,支付贖金后才能解密。全球許多國家的醫院及科研機構等也都遭受了攻擊。
常見的木馬病毒進程:
dllhost.exe:沖擊波病毒。
Avserve.exe:震盪波病毒。
Bbeagle.exe:惡鷹蠕蟲病毒。
Rundll.exe:SCKISS愛情森林。
Rundll32.exe:狩獵者病毒。
Spfw.exe:瑞波變種PX.
Runouce.exe:中國黑客病毒。
Netspy.exe:網絡精靈。
Checkdll.exe:網絡公牛。
Diagcfg.exe:廣外女生。
Dvldr32.exe:口令病毒。
Regscan.exe:波特后門變種。
Esafe.exe:將死者病毒。
Tftp:exe:尼姆達病毒。
Flcss.exe:Funlove病毒。
lcsupp95.exe:將死者病毒。
lexplore.exe:惡郵差病毒。
msblast.exe:沖擊波病毒。
Rpcsrv.exe:惡郵差病毒。
Svchost.exe:藍色代碼蠕蟲病毒。
Scanrew.exe:傳奇終結者。
Sysedit32.exe:SCKISS愛情森林。
Scvhost.exe:安哥病毒。
Syshelp.exe:惡郵差病毒。
Internet.exe:傳奇幽靈。
Internet.exe:網絡神偷。
Kernel32.exe:冰河。
WScript.exe:愛蟲病毒。
Vshwin32.exe:將死者病毒。
Vsstart.exe:將死者病毒。
Vw32.exe:將死者病毒。
Wubsys.exe:傳奇獵手。
Kiss.exe:傳奇天使。
Krn132.exe:求職者病毒。
Load.exe:尼姆達病毒。
Taskbar:FRETHEM密碼病毒。
Lockdown2000.exe:將死者病毒。
SY***plr.exe:冰河。
Taskmon.exe:諾維格蠕蟲病毒。
Taskmon32:傳奇黑眼睛。
Tds2-95.exe:將死者病毒。
Windows.exe:漏洞2000。
Wingate.exe:惡郵差病毒。
Winupdate.exe:Sckiss愛情森林。
Winver.exe:Sckiss愛情森林。