▲2002年1月
这个月benny又有新作问世,这一次他的目光不再是跨win32和linux平台,而把目光转向了,微软的C#和.NET。
这个病毒长度为8k,运行后感染当前目录所有.net的可执行文件,病毒的症状是弹出一个对话框:
This cell has been infected by dotNET virus!
.NET.dotNET by Benny/29A
这个病毒并不驻留内存,通过行为来看,其传播能力有限,活跃的vxer中,benny是比较温和的,很少见到他编写的病毒大泛滥,这次他依旧传承以往风格,没有散布病毒,而是直接提供给了反病毒企业。
也许类似benny这样的邪派高手,也有几分正气和自己的原则,只是为了证明,反病毒技术趋势是在我的引导下前进。但不论如何,反病毒产品和安全技术,确实是在与恶意程序与攻击手段的不断对抗中发展进步的的,这种对抗将贯穿信息技术发史,可能永远不会终结。
▲2002年3月
这个时候一个模仿成微软更新公告的蠕虫正在网上传播,风格象是一个典型的微软安全公告,甚至还提及到几周前微软发布的一个真正的安全更新信息。他要求用户执行名为“q216309.exe”的附件,附件被执行后,蠕虫在用户系统上开放后门,并象以往的Outlook蠕虫那样,通过用户地址列表传播。
不过要说大毒还是I-Worm.Hybris蠕虫的变种,这个蠕虫的变形能力堪称一绝,其发送标题为Snowhite and the Seven Dwarfs的邮件,sexy virgin.src(18944字节),看起来似乎是一个屏保而且附件题目对男性颇有诱惑!!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ,达到系统启动时自动执行病毒的目的。
美国东部时间7月15日(北京时间7月16日),一种名为“Frethem.J”的新型计算机病毒开始在互联网上传播。
现在我们已经揭开了Frethem.J神秘面纱,它是一个新的电子邮件蠕虫病毒。作为主要的特征,这个蠕虫能够自动运行电子邮件中的附件,因为它利用的是IE5.01和5.5所存在的漏洞。
Frethem.J会通过e-mail发送到你的电脑,主题是Re: Your password!邮件内容如下:
ATTENTION!
You can access very important information by this password DO NOT SAVE
password to disk use your mind now press cancel(“你可以通过这一密码获得非常重要的信息,请不要保存密码,记下它然后点击取消键。”)这封邮件包括两个文件password.txt和decrypt-password.exe 后面这个文件一般包含病毒。
由于IE的漏洞,不管用户是不是手动打开这个文件,这个文件都会被运行,它会常驻到内存,在进程里面会有一个taskbar 的进程。
此后,Frethem.J会从注册表和Outlook Express中收集它所要攻击的帐号信息。另外,它还会寻找电脑的e-mail服务器的配置信息,来建立与它之间的直接连接,因此用户就无法察觉他的电脑正在向外发送带毒邮件。
最后,Frethem.J会在注册表里面建立一个入口,当系统重启的时候能够保证它的活动不受干扰。
(Win32.Hezhi) 病毒,这种病毒较以往的最大的不同之处就是,该病毒采用了很高的加密及反跟踪技术,因而不但具有很强的隐蔽性,且不易为一般防病毒软件所查杀。该病毒还有几个别名:Win32.Flagger、Win95/Gundam.12618、Win32.Hezhi。
Win95.Flagger是一个驻留内存的多变型病毒,可感染 Windows 95/98/NT/2000系统的 PE 可执行文件。可通过任何无保护的网络共享进行传播,因此病毒会最先感染共享目录中的可执行文件,并且它还会将自身登记为一个服务进程,使用户在断网时病毒仍然能够工作(只在Windows 9x下)。另外,由于在Windows 9x系统中该病毒使用了虚拟设备驱动(VxD)技术,因此病毒的执行效率较高。在被激活的情况下,用户只需进行打开或右键点击或刷新图标等动作,病毒就可以进行感染。在11月20日,该病毒会将对可执行文件的感染操作改为删除,而且该病毒会删除任何以AVCONSOL开始的文件。
▲2003年1月
巨无霸”Worm. SoBig.65536★★★★传播方式:邮件
蠕虫“巨无霸”惊现。最近发现并引起人们注意的邮件蠕虫病毒是W32/Sobig.A,MessageLabs1月9号在荷兰首先发现了该病毒,并迅速在全球各地蔓延开来,由于病毒邮件的发件人总是big@boss.com,该病毒被命名为Sobig。病毒是一个带有SMTP引擎的大规模邮件病毒,也可以通过网络共享方式传播,还会从Geocities的一个网站下载一个TXT文件,该文件包括一个URL可以用来下载木马程序。还可以通过在感染者硬盘上搜索特定文件来获得大量邮件地址,也可以搜集地址簿和收件箱中的邮件地址发送病毒邮件。该病毒全称Worm. SoBig.65536,传播速度极快,危害性更是超过了前一段时间闹的很汹的“硬盘杀手”。
“巨无霸”病毒感染后会修改注册表中的系统启动项,让病毒程序自动加载,病毒邮件的主题是"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...,附件名为"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...,邮件内容为:”Attached file:”。有经验的网管可以编缉相应的邮件规则,在服务器端拒收此类邮件,可免遭“撒旦”的攻击。
