由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场,加上Windows和Office提供了宏病毒编制和运行所必需的库(以 VB库为主)支持和传播机会,所以宏病毒是最容易编制和流传的病毒之一,很有代表性。
宏病毒发作方式: 在Word打开病毒文档时,宏会接管计算机,然后将自己感染到其他文档,或直接删除文件等等。Word将宏和其他样式储存在模板中,因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。
判断是否被感染: 宏病毒一般在发作的时候
没有特别的迹象,通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上,会出现不能打印文件、Office文档无法保存或另存为等情况。
宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。
防范措施:平时最好不要几个人共用一个Office程序,要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里,在用户打开邮件或预览邮件的时候执行,应该留意。一般的杀毒软件都可以清除宏病毒。
蠕虫病毒(Worm)
蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名,多感染电脑和占用系统、网络资源,造成PC和服务器负荷过重而死机,并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现,比如著名的爱虫病毒和尼姆达病毒以及熊猫烧香!
CIH病毒
CIH是本世纪最著名和最有破坏力的病毒之一,它是第一个能破坏硬件的病毒。
发作破坏方式:主要是通过篡改主板BIOS里的数据,造成电脑开机就黑屏,从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播,并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后,即使换了主板或其他电脑引导系统,如果没有正确的分区表备份,染毒的硬盘上特别是其C分区的数据挽回的机会很少。
防范措施:已经有很多CIH免疫程序诞生了,包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒,但尚未发作,记得先备份硬盘分区表和引导区数据再进行查杀,以免杀毒失败造成硬盘无法自举。
木马病毒(Trojan)
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出;捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
可以通过病毒名称判断病毒类型,参考病毒类型的英文名。
例如,Macro.Melissa为宏病毒,Worm.Sasser为蠕虫病毒,Trojan.QQPSW为木马,Backdoor.IRCBot病毒为后门......
史上20大计算机病毒
1.Creeper(1971年)
最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年,距今以后42年之久。当然在那时,Creeper还尚未被称为病毒,因为计算机病毒尚不存在。Creeper由BBN技术公司程序员罗伯特•托马斯(Robert Thomas)编写,通过阿帕网( ARPANET,互联网前身)从公司的DEC PDP-10传播,显示“我是Creeper,有本事来抓我呀!(I'm the creeper, catch me if you can!)”。Creeper在网络中移动,从一个系统跳到另外一个系统并自我复制。但是一旦遇到另一个Creeper,便将其注销。
2.Elk Cloner病毒(1982年)
里奇•斯克伦塔(Rich Skrenta)在一台苹果计算机上制造了世界上第一个计算机病毒。1982年,斯克伦塔编写了一个通过软盘传播的病毒,他称之为“Elk Cloner”,那时候的计算机还没有硬盘驱动器。该病毒感染了成千上万的机器,但它是无害的:它只是在用户的屏幕上显示一首诗,其中有两句是这样的:“它将进入你所有的磁盘/它会进入你的芯片。”
3.梅利莎 (Melissa,1999年)
Melissa病毒由大卫•史密斯(David L. Smith)制造,是一种迅速传播的宏病毒,它作为电子邮件的附件进行传播,梅丽莎病毒邮件的标题通常为“这是你要的资料,不要让任何人看见(Here is that document you asked for, don't show anybody else)”。一旦收件人打开邮件,病毒就会自我复制,向用户通讯录的前50位好友发送同样的邮件。因为它发出大量的邮件形成了极大的电子邮件信息流,它可能会使企业或其它邮件服务端程序停止运行,尽管Melissa病毒不会毁坏文件或其它资源。1999年3月26日爆发,感染了15%-20% 的商业计算机。
4.爱虫 (I love you, 2000年)
梅丽莎病毒爆发一年后,菲律宾出现了一种新的病毒。与梅丽莎不同的是,这次出现的是蠕虫病毒,具有自我复制功能的独立程序。这个病毒的名字叫爱虫 (I love you)。爱虫病毒最初也是通过邮件传播,而其破坏性要比Melissa强的多。标题通常会说明,这是一封来自您的暗恋者的表白信。邮件中的附件则是罪魁祸首。这种蠕虫病毒最初的文件名为LOVE-LETTER-FOR-YOU.TXT.vbs。后缀名vbs表明黑客是使用VB脚本编写的这段程序。很多人怀疑是菲律宾的奥尼尔•狄•古兹曼制造了这种病毒。由于当时菲律宾没有制定计算机破坏的相关法律,当局只得以盗窃罪的名义传讯他。最终由于证据不足,当局被迫释放了古兹曼。根据媒体估计,爱虫病毒造成大约100亿美元的损失。
5.求职信病毒(Klez,2001年)
求职信病毒是病毒传播的里程碑。出现几个月后有了很多变种,在互联网肆虐数月。最常见的求职信病毒通过邮件进行传播,然后自我复制,同时向受害者通讯录里的联系人发送同样的邮件。一些变种求职信病毒携带其他破坏性程序,使计算机瘫痪。有些甚至会强行关闭杀毒软件或者伪装成病毒清除工具。
求职信病毒出现不久,黑客就对它进行了改进,使它传染性更强。除了向通讯录联系人发送同样邮件外,它还能从中毒者的通讯录里随机抽选一个人,将该邮件地址填入发信人的位置。
6.红色代码 (Code Red, 2001年)
红色代码和红色代码Ⅱ(Code Red II)两种蠕虫病毒都利用了在Windows 2000和Windows NT中存在的一个操作系统漏洞,即缓存区溢出攻击方式,当运行这两个操作系统的机器接收的数据超过处理范围时,数据会溢出覆盖相邻的存储单元,使其他程序不能正常运行,甚至造成系统崩溃。与其它病毒不同的是,Code Red 并不将病毒信息写入被攻击服务器的硬盘, 它只是驻留在被攻击服务器的内存中。
最初的红色代码蠕虫病毒利用分布式拒绝服务(DDOS)对白宫网站进行攻击。安装了Windows 2000系统的计算机一旦中了红色代码Ⅱ,蠕虫病毒会在系统中建立后门程序,从而允许远程用户进入并控制计算机。病毒的散发者可以从受害者的计算机中获取信息,甚至用这台计算机进行犯罪活动。受害者有可能因此成为别人的替罪羊。
虽然Windows NT更易受红色代码的感染,但是病毒除了让机器死机,不会产生其它危害。
7.尼姆达(Nimda,2001)
这种病毒也在2001年出现。尼姆达通过互联网迅速传播,在当时是传播最快的病毒。尼姆达病毒的主要攻击目标是互联网服务器。尼姆达可以通过邮件等多种方式进行传播,这也是它能够迅速大规模爆发的原因。
尼姆达病毒会在用户的操作系统中建立一个后门程序,使侵入者拥有当前登录账户的权限。尼姆达病毒的传播使得很多网络系统崩溃,服务器资源都被蠕虫占用。从这种角度来说,尼姆达实质上也是DDOS的一种
8.灰鸽子(2001年)
灰鸽子是一款远程控制软件,有时也被视为一种集多种控制方法于一体的木马病毒。用户计算机不幸感染,一举一动就都在黑客的监控之下,窃取账号、密码、照片、重要文件都轻而易举。灰鸽子还可以连续捕获远程计算机屏幕,还能监控被控计算机上的摄像头,自动开机并利用摄像头进行录像。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。虽然在合法情况下使用,它是一款优秀的远程控制软件。但如果做一些非法的事,灰鸽子就成了强大的黑客工具。
9.SQL Slammer (2003年)
Slammer,也称蓝宝石病毒,是一款DDOS恶意程序,透过一种全新的传染途径,采取分布式阻断服务攻击感染服务器,它利用 SQL Server 弱点采取阻断服务攻击1434端口并在内存中感染 SQL Server,通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染,造成 SQL Server 无法正常作业或宕机,使内部网络拥塞。在补丁和病毒专杀软件出现之前,这种病毒造成10亿美元以上的损失。蓝宝石病毒的传播过程十分迅速。和 Code Red 一样,它只是驻留在被攻击服务器的内存中。
10.MyDoom (2004年)
2004年2月,另一种蠕虫病毒MyDoom(也称Novarg)同样会在用户操作系统中留下后门。该病毒采用的是病毒和垃圾邮件相结合的战术,可以迅速在企业电子邮件系统中传播开来,导致邮件数量暴增, 从而阻塞网络。和其他病毒一样,这种病毒会搜索被感染用户计算机里的联系人名单,然后发送邮件。另外,它还会向搜索引擎发送搜索请求然后向搜索到的邮箱发邮件。最终,谷歌等搜索引擎收到数百万的搜索请求,服务变得非常缓慢甚至瘫痪。根据网络安全公司MessageLabs的资料显示,当时平均每12封邮件中就有1封携带这种病毒。和求职信病毒类似,MyDoom病毒也会进行邮件发信人伪装,这使通过邮件查询病毒来源变得极其困难。
11.震荡波 (Sasser, 2004年)
德国的17岁Sven Jaschan2004年制造了Sasser和NetSky。Sasser通过微软的系统漏洞攻击计算机。与其他蠕虫不同的是,它不通过邮件传播,病毒一旦进入计算机,会自动寻找有漏洞的计算机系统,并直接引导这些计算机下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。病毒会修改用户的操作系统,不强行关机的话便无法正常关机。
Netsky 病毒通过邮件和网络进行传播。它同样进行邮件地址欺骗,通过22016比特文件附件进行传播。在病毒传播的时候,会同时进行拒绝式服务攻击(DoS),以此控制网络流量。Sophos的专家认为,Netsky和它的变种曾经感染了互联网上1/4的计算机。
12.Leap-A/Oompa-A(2006年)
在斯克伦塔编写了第一个病毒后,Mac病毒似乎绝迹了24年。2006年,Leap-A病毒,也称Oompa-A病毒出现。通过苹果粉丝论坛上泄露的Leopard操作系统的照片在苹果用户中传播。一旦用户不小心感染了该病毒,它就会通过即时聊天程序iChat传播。当病毒进入苹果计算机后,会自动搜索iChat的联系人列表并向其中的好友发送信息,信息中附带一个损坏的JPEG图像附件。
病毒并不会对计算机产生太大的危害,但证明了即使是苹果计算机也有可能中毒的。随着苹果机的越来越流行,越来越多的针对苹果机的病毒将会出现。
13.风暴蠕虫(Storm Worm,2006年)
可怕的风暴蠕虫(Storm Worm)于2006年底最终确认。公众之所以称呼这种病毒为风暴蠕虫是因为有一封携带这种病毒的邮件标题为“风暴袭击欧洲,230人死亡”。有些风暴蠕虫的变种会把计算机变成僵尸或”肉鸡“。一旦计算机受到感染,就很容易受到病毒传播者的操纵。有些黑客利用风暴蠕虫制造僵尸网络,用来在互联网上发送垃圾邮件。许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。用户点击链接后,会自动下载蠕虫病毒。很多新闻社和博客认为风暴蠕虫是近些年来最严重的一种病毒。
14.熊猫烧香(06-07年)
熊猫烧香是一种经过多次变种的蠕虫病毒,2006年10月16日由25岁的中国湖北人李俊编写,2007年1月初肆虐网络。这是一波计算机病毒蔓延的狂潮。在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。病毒变种使用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
15.AV终结者(2007年)
“AV终结者”又名“帕虫”, “AV”即是“反病毒”的英文(Anti-Virus)缩写,是一种是闪存寄生病毒,主要的传播渠道是成人网站、盗版电影网站、盗版软件下载站、盗版电子书下载站。禁用所有杀毒软件以及大量的安全辅助工具,让用户计算机失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;AV终结者还会下载大量盗号木马和远程控制木马。AV终结者病毒病毒运行后会生成后缀名.da
16.磁碟机病毒(2007年)
这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行;对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态;破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒,病毒会在每个分区下释放 AUTORUN.INF来达到自运行。感染除SYSTEM32目录外其它目录下的所有可执行文件。并且会感染RAR压缩包内的文件。病毒造成的危害及损失10倍于“熊猫烧香”。
17.机器狗病毒(2007年)
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户计算机带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全。
18.震网(Stuxnet,2009-2010)
震网是一种Windows平台上针对工业控制系统的计算机蠕虫,它是首个旨在破坏真实世界,而非虚拟世界的计算机病毒,利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。这是有史以来第一个包含PLC Rootkit的计算机蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示,该蠕虫事实上并没有造成任何损害。
19.Conficker病毒(2009年)
Conficker病毒是一种出现于2009年的计算机蠕虫病毒,针对微软的Windows操作系统。这种病毒利用了Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008和Windows 7 Beta等版本操作系统所使用的Server服务中的一个已知漏洞。
20.OnlineGames系列盗号木马
这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现。
