(http://www.epochtimes.com)
【大纪元6月23日讯】 2、网络蠕虫病毒的发展
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必须事先获取局域网的权限和口令。
世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy 99网络蠕虫病毒,当你在网上向外发出信件时,Happy 99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不再干什么了。
1999年3月欧美暴发了“美丽莎”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽莎”病毒破坏还大的经济损失。目前,该病毒已有十多种变种产生,不断地到处破坏。
2001年,有更多的网络蠕虫出现。
I-WORM.NAVIDAD网络蠕虫 该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OutLook Express 收到的是一封来自你曾经发送过的人的回复信件,内容与你发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的Outlook Express邮件系统下自动传播,它会自动地给你的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。
由于病毒修改该注册表项目的文件名称的错误,Windows系统在启动、读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动Windows 系统。
I_WORM.Blebla.B网络蠕虫 该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe和xjuliet.chm,该蠕虫程序的名称由此而来。
当用户在使用OE阅读信件时,这两个附件自动被保存、运行。当运行了该附件后,该蠕虫程序将自身发送给Outlook地址簿里的每一个人,并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个E-mail附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm,收件人本身看不见什么邮件的内容。
该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在Windows目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单地将蠕虫程序删除掉,而必须先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫 该病毒通过Microsoft的Outlook Express来自动传播给受感染计算机的地址簿里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16896~22000字节,有多个变种。
在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该“花”图标,会出现一个消息框,大意是不要按此按钮。如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框,当你关闭该信息框时又会出现一些别的:诸如上帝保佑你的提示信息。
网络蠕虫I-Worm/Hybris 该病毒的最明显的特征是, 当你打开带有该网络蠕虫程序的附件时, 你的计算机屏幕就会被一个始终位于最上方的图像所覆盖,该图像是活动的、转动的、黑白相见的螺旋状的圆形图形。
该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统Outlook来传播的, 同样是修改Windows系统下的主管电子邮件收发的wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。
该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒可将这些碎块聚合成一个完整的病毒,再进行传播和破坏。
I_WORM/HTML.Little Davinia网络蠕虫 这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用Word 2000的漏洞、E-mail等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。
该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒 该病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I-WORM.AnnaKournikova网络蠕虫 该病毒程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:
AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给Outlook地址簿里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:
AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)
该网络蠕虫程序的长度是2853字节左右。
如果机器的日期是1月26日的话,该网络蠕虫程序会自动将你指向一个位于荷兰的计算机商店的网络地址。
从该网络蠕虫程序会给所有地址簿里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。
I-Worm.Magistr网络蠕虫 这是一个恶性病毒,可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。
该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。
目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!
如果在Win 9x环境下,该病毒会像CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性非常大的一种病毒。
该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000~30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又朝着变形病毒发展。
(赛迪网-中国计算机报) (http://www.dajiyuan.com)
相关文章
