电脑病毒是怎么产生的
病毒的明确定义是;指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。一起来看看电脑病毒是怎么产生的,欢迎查阅!
计算机病毒主要是造成什么的破坏?
计算机病毒,是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机功能或者数据
1、 机器不能正常启动,加电后机器根本 不能启动 ,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
2、运行速度降低,如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
3、 磁盘空间迅速变小,由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
4、计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
5、计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
6、计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。
计算机病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。计算机中病毒后,轻则影响机器运行速度,重则 死机 系统破坏;因此,病毒给用户带来很大的损失,通常情况下,我们称这种具有破坏作用的程序为计算机病毒。
计算机病毒按存在的媒体分类可分为引导型病毒、文件型病毒和混合型病毒3种;按链接方式分类可分为源码型病毒、嵌入型病毒和 操作系统 型病毒等3种;按计算机病毒攻击的系统分类分为攻击DOS系统病毒,攻击Windows系统病毒,攻击UNIX系统的病毒。如今的计算机病毒正在不断的推陈出新,其中包括一些独特的新型病毒暂时无法按照常规的的类型进行分类,如互联网病毒(通过网络进行传播,一些携带病毒的数据越来越多)、电子邮件病毒等。
计算机病毒被公认为数据安全的头号大敌,从1987年电脑病毒受到世界范围内的普遍重视,我国也于1989年首次发现电脑病毒。目前,新型病毒正向更具破坏性、更加隐秘、感染率更高、传播速度更快等方向发展。因此,必须深入 学习电脑 病毒的基本常识,加强对电脑病毒的防范。它能潜伏在计算机的存储介质(或程序)里,条件满足时即被激活,通过修改其他程序的 方法 将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。
病毒是如何破坏电脑硬件
按照不同的维度,电脑病毒可以分为很多种,根据病毒的破坏能力可划分为以下几种:
无害型:除了传染时减少磁盘的可用空间外,对系统没有 其它 影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
高危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
值得注意的是,一些无害型病毒也可能会对新版的DOS、Windows和 其它操 作系统造成破坏。比方说,在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上能很好地工作,不会造成任何破坏,但是在高密度软盘上却会引起大量的数据丢失。
对电脑硬件造成破坏的病毒属于高危险型病毒,这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料和灾难性的破坏,由这些病毒导致其它程序产生的错误也会破坏文件和扇区。
曾搞得人心惶惶、掀起了不小波澜的CIH病毒就是一种能够破坏计算机系统硬件的恶性病毒。它是已被认定的首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。
CIH病毒的传播途径主要是Internet和电子邮件,使计算机病毒的传播首次摆脱了传统存储介质的束缚,让Internet和光盘成为加速计算机病毒传播最有效的催化剂。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的 BIOS 进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家 修理 ,更换BIOS芯片。由于CIH病毒对数据和硬件的破坏都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值不菲的计算机和积累多年的重要数据毁于一旦。
其实,病毒破坏硬件的“手段”,不外乎有以下几种,了解了这些“手段”,有助于我们及时找到预防方法和应对策略。
1、破坏主板、显卡的Flash BIOS
CIH病毒就是以该方式破坏主板的。病毒用乱码“冲掉”了BIOS中的内容,使机器不能启动。不过现在很多主板都带有Flash BIOS写保护跳线,可以有效防止CIH病毒破坏主板。
2、破坏硬盘
一般情况下,分区、高级格式化对硬盘都没有什么损伤,惟独低级格式化对硬盘的寿命有较大的影响。如果出现一种病毒,不停地对硬盘的0磁道做低格式化,硬盘容量就会慢慢被蚕食,而且0、1、2……磁道坏了,若想再使用该硬盘,需要在BIOS中重新设定起始磁道,再进行低级格式化,操作较为繁琐。
3、破坏光驱
光驱中的光头读取不到信号时就会加大激光发射功率,长期如此将会影响光驱的使用寿命。病毒可以让光头走到盘片边缘无信号区域不停地读盘,光头在无法读取信号的情况下,加大发射功率努力读盘,持续不了几天,光驱就要“No Disc”了。所以要经常注意光驱灯的闪亮情况,判断光驱是否在正常工作。
4、超外频、加电压破坏CPU、显卡、内存等
病毒通过改BIOS参数,加高CPU电压使其过热而烧坏,或提高CPU的外频,使CPU和显卡、内存等外设超负荷工作而过热烧坏。这类事件的前兆就是死机。可喜的是,目前很多主板都有CPU温度监测功能,超温后立即降频报警,基本可以杜绝烧坏硬件的情况发生。
5、超“显频”破坏显卡
目前很多中高档显卡等都可以手动改变其芯片的频率,并且方法更简单,直接在Windows 注册表里修改即可。如果病毒改动了“显频”,显卡就容易超负荷工作而烧坏。这种情况的前兆是死机,因此,当电脑频频死机时,请不要忽视对“显频”的检查。
6、破坏 显示器
众所周知,每台显示器都有自己的带宽和最高分辨率、场频,彼此之间有固定的配合。若其中有一项超过,就会出现花屏,严重了还会烧坏显示器。病毒可以通过篡改显示参数来破坏显示器(如把分辨率、场院频改到显卡能支持的最高档等)。虽然新型显示器有DDC标准化与系统联络,但是若在使用过程中显示器出现了花屏,建议还是立即关掉显示器的电源,重新启动后进入安全模式再找排查原因。
从计算机病毒的发展史来看,病毒的出现与消匿都遵循一定的规律。一种新病毒出现后在一段时间内会迅速传播、发展变种,然而反病毒技术也随之产生,抑制其扩散、作恶。随着操作系统升级,更多新的病毒会出现,反病毒技术再结合病毒特点研究解决之法。计算机病毒与反病毒技术在相互牵制的过程中使自身不断发展壮大。反计算机病毒是一个漫长而持续的过程,路漫漫其修远兮,吾将上下而求索。
最可怕的十大电脑病毒
1、梅丽莎病毒
1998年春天,大卫?L?史密斯(David L. Smith)运用Word软件里的宏运算编写了一个电脑病毒,这种病毒可以通过邮件进行传播。史密斯把它命名为梅丽莎(Melissa),佛罗里达州的一位舞女的名字[资料来源:CNN]。
梅丽莎病毒一般通过邮件传播,邮件的标题通常为“这是给你的资料,不要让任何人看见”。一旦收件人打开邮件,病毒就会自动向用户通讯录的前50位好友复制发送同样的邮件。
梅丽莎的制造者,大卫?L?史密斯在法庭受审时的照片
2、CIH病毒
CIH病毒1998年6月爆发于中国,是公认的有史以来危险程度最高、破坏强度最大的病毒之一。
CIH感染Windows 95/98/ME等操作系统的可执行文件,能够驻留在计算机内存中,并据此继续感染其他可执行文件。CIH的危险之处在于,一旦被激活,它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力,从而使计算机引导失败。CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日,因此它也被称为切尔诺贝利病毒。
3 .我爱你(I LOVE YOU)
又称 情书 或爱虫,是一个VB脚本,2000年5月3日,“我爱你”蠕虫病毒首次在香港被发现。“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。和梅利莎类似,病毒也向Outlook通讯簿中的联系人发送自身。它还大肆复制自身覆盖音乐和图片文件。它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。由于当时菲律宾并无制裁编写病毒程序的法律,“我爱你”病毒的作者因此逃过一劫。
4.红色代码(Code Red)
“红色代码”是一种蠕虫病毒,能够通过网络进行传播。2001年7月13日,红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。“红色代码”还被称为Bady,设计者蓄意进行最大程度的破坏。被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临!”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
5 .SQL Slammer
Chung Sung-Jun/Getty Images
Slammer病毒对韩国影响很大,
使很多网吧和提供上网服务的咖啡店人流骤减。
SQL Slammer也被称为“蓝宝石”,2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒,给互联网的流量造成了显而易见的负面影响。它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为376字节的蠕虫病毒,它随机产生IP地址,并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎软件的计算机,它会迅速开始向随机IP地址的主机发射病毒。正是运用这种效果显著的传播方式,SQL Slammer在十分钟之内感染了7.5万台计算机。庞大的数据流量令全球的路由器不堪重负,导致它们一个个被关闭。
6.冲击波(Blaster)
对于依赖计算机运行的商业领域而言,2003年夏天是一个艰难的时期。一波未平,一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。“冲击波”首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件中隐藏着这些信息:“桑,我只想说爱你!”以及“比尔?盖茨,你为什么让这种事情发生?别再敛财了,修补你的软件吧!”
病毒还包含了可于4月15日向Windows升级网站发起分布式DoS攻击的代码。但那时,“冲击波”造成的损害已经过了高峰期,基本上得到了控制。
7 .霸王虫(Sobig.F)
“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。最具破坏力的变种是Sobig.F,它8月19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。
2003年9月10日,病毒禁用了自身,从此不再成为威胁。为得到线索,找出Sobig.F病毒的始作俑者,微软宣布悬赏25万美元,但至今为止,这个作恶者也没有被抓到。
8.Bagle
Bagle是一个经典而复杂的蠕虫病毒,2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统,然后彻查视窗文件,寻找到电子邮件地址发送以复制自身。
Bagle及其60~100个变种的真正危险在于,蠕虫感染了一台计算机之后,便在其TCP端口开启一个后门,远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。Bagle.B变种被设计成在2004年1月28日之后停止传播,但是到目前为止还有大量的其他变种继续困扰用户。
9.MyDoom
诺维格病毒促使美国议员查克?舒默成立了国家病毒应急中心
2004年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户网络账户的共享文件夹来进行传播。
这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。
10.震荡波(Sasser)
Sven Jaschan,震荡波和网络天空的制造者,从法庭离开
“震荡波”自2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。“震荡波”的传播并非通过电子邮件,也不需要用户的交互动作。“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制,蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。
“震荡波”是德国一名高中生编写的,他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人,德国一家法庭认定他从事计算机破坏活动,仅判了缓刑。
电脑病毒是怎么产生的相关 文章 :
★ 计算机病毒是怎么传播的
★ 关于计算机病毒的主要来源有哪些
★ 电脑病毒知识了解和科普有哪些
★ 电脑病毒发展经历了哪五个阶段
★ 电脑病毒知识拓展了解和防范有哪些
★ 计算机病毒学习心得
★ 制造电脑病的是什么人
★ 计算机病毒程序由什么样组成
★ 计算机病毒的原理
★ 生活科普小常识
病毒可不可以攻击服务器?
Web服务器将成为下一代黑客施展妖术的对象。在很大程度上,进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前,黑客的攻击对象集中在操作系统和网络协议上,但随着这些攻击目标的弱点和漏洞逐渐得到修补,要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健,对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中,网络协议也变得更加安全。此外,防火墙也越来越智能,成为网络和系统的外部保护屏障。
另一方面,电子商务技术正在日益普及开来,其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是,人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢?
有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络,而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是,Web服务器和基于Web的应用程序有时是在“功能第一,安全其次”的思想指导下开发出来的。
当您的Web服务器面临巨大威胁时,怎样保障它们的安全呢?这就需要您不断了解新信息,新情况,每天跟踪您所用服务器的有关网站,阅读相关新闻并向它进行咨询。为了让你着手这方面的工作,下面介绍黑客对NT系统的四种常用攻击手段,同时介绍如何防止这类攻击。
Microsoft IIS ism.dll缓冲区溢出
受影响的服务器:运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器
Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS
eEye,这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时,黑客向目标程序或服务输入超出程序处理能力的数据,导致程序突然终止。另外,还可以通过设置,在执行中的程序终止运行前,用输入的内容来覆盖此程序的某些部分,这样就可以在服务器的安全权限环境下执行任意黑客命令。
eEye发现,IIS用来解释HTR文件的解释程序是ism.dll,它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名(大约3,000个字符,或更多)传递给IIS,那么输入值将在ism.dll中造成输入缓冲区溢出,并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码(通常称为“鸡蛋”或“外壳代码”),那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤:
1.创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号,该程序将执行一个Windows命令外壳程序(cmd.exe),并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序,其源代码可以免费获得。
2.在IIS的ism.dll中制造缓冲区溢出,并使IIS从外部Web站点下载侦听程序(由步骤1产生)。
3.执行刚下载的程序(由步骤2产生),该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。
由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳,所以该外壳程序将在IIS的安全权限背景下运行,而该安全权限背景等价于NT
Administrator权限。这样,攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接,然后等着出现c:提示就万事大吉了。现在,攻击者拥有对整个NT服务器的管理权限,可以做任何事,比如,添加新用户、修改服务器的内容、格式化驱动器,甚至将该服务器用作攻击其它系统的踏脚石。
运行IIS 4.0并带有“Service Pack 3/4/5”的Windows
NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack
6也已经修补了该问题。
Microsoft IIS MDAC RDS安全弱点
受影响的服务器:运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器
在发现IIS eEye安全弱点的大约一个月后,IIS
4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS),攻击者可以建立非法的ODBC连接,并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft
Jet OLE DB提供程序或Datashape提供程序,攻击者可以使用Visual Basic for Applications
shell()函数发出能够在服务器上执行的命令。
在安装了MDAC 2.1或更高版本的IIS 4.0上,从位于其公共目录中的msadcmsadcs.dll,可以找到MDAC
RDS弱点。Rain Forest
Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT
Administrator的IIS Web服务器进程的安全权限背景下,进行这种攻击的黑客可以在NT系统上远程执行任意命令。
MDAC的弱点不是由于技术造成的,而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS
4.0的。如果NT Option Pack
4.0是以典型或默认配置安装的,那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置,从而使Web服务器的安全性大大降低。
Foundstone公司的George Kurtz、Purdue大学的Nitesh
Dhanjani和我曾经共同设计了一个只有一行的命令字符串,该命令将利用MDAC
RDS弱点,使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序,并建立一个返回攻击者计算机的连接,这样,攻击者就获得了对远程NT系统的完全管理控制权。
Microsoft已经发布了相应的安全公告,并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。
Allaire ColdFusion 4.0弱点
受影响的服务器:运行在Windows NT上的Allaire ColdFusion Server 4.0
作为还算容易使用的、功能强大的脚本语言,ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身,而是在于它附带的脚本。ColdFusion
4.0提供了示范应用程序和范例,它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时,将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后,将允许非法访问服务器上所包含的敏感数据。这些弱点表明,基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。
存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的,所以,该程序可以被用来任意访问和查看NT
Web服务器上的任何文件,包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。
而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件,更为严重的是,它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围,欲了解详细信息请访问L0pht
Heavy
Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段,该脚本在进行表达式计算时便会把被上载的文件删除掉,但要避免删除却是件容易的事。这样,攻击者可以上载恶意文件,并最终控制服务器。
这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题,请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security
Zone提供了补丁程序,并提供了如何保护ColdFusion服务器的进一步信息。
Sambar 4.3 hello.bat
受影响的服务器:运行在Windows NT上的Sambar 4.3 beta 7和更早版本
Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl
5解释器。
Sambar 4.3 beta
7版和更早版本附带两个名为hello.bat和echo.bat的文件,它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题,hello.bat显示字符串“Hello
World”,而echo.bat显示字符串“Place
Holder”。但当批处理文件被用作CGI脚本时,Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样,攻击者可以利用该弱点针对目标服务器运行任意命令。例如,假如攻击者把URL
;dir+c:放在他或她的浏览器中,那么,将在服务器上运行命令“dir
c:”,并在浏览器上显示结果。由于Sambar是在NT
Administrator安全权限下运行的,因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。
Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面,并在其后添加一个命令,那么将在执行hello.bat后执行第二个命令。
由于已经删除了文件hello.bat和echo.bat,Sambar 4.3 beta
8版和更高版本没有该弱点。但是,由于Windows命令外壳程序解析命令行的方式无法改变,所以并没有办法能真正修正该问题。如果您安装了4.3
beta 7版或更低版本,请一定要删除hello.bat和echo.bat。
勒索病毒是怎样一种病毒?它会产生哪些危害?作为计算机用户应该如何避免病毒的感染?
勒索病毒是怎样一种病毒?它会产生哪些危害?作为计算机用户应该如何避免病毒的感染?勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
据“火绒威胁情报系统”监测和和评估,从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。
2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。
2019年3月,瑞星安全专家发现通过发送恐吓邮件,诱使用户下载附件,导致重要文件被加密且无法解密的GandCrab5.2勒索病毒。
服务器也是一种电脑,哪它会像普通电脑一样有受电脑病毒攻击的可能吗?
其实服务器也是电脑的一种,和普通电脑一样有可能受病毒的感染和攻击。举个例子..服务器和普通电脑都是电脑,但是它们的任务不一样;就像人一样,大家都是人,但工作不一样,做的事情不一样,但不可避免的是人都会有生病的时候。
新型"蠕虫"式勒索病毒会影响服务器吗
直接安装一个电脑管家在你的电脑上面
然后打开工具箱,可以看到一个勒索病毒免疫工具
打开这个功能之后,可以自动检测和预防这种病毒
专家揭勒索病毒真面目 勒索病毒恐怖新变种
12号,全球近百个国家和地区遭受到一种勒索软件的攻击,有网络安全公司表示,目前全球至少发生了约7万5千起此类网络攻击事件。事件发生后,受波及的多国采取应对措施,欧洲刑警组织也对“幕后黑手”展开调查。
13号,欧洲刑警组织在其官网上发布消息称,欧洲刑警组织已经成立网络安全专家小组,对发动本轮网络攻击的“幕后黑手”展开调查。此外,欧洲刑警组织还开始与受影响国家的相关机构展开紧密合作,共同应对网络攻击威胁,并向受害者提供帮助。
据报道,电脑被这种勒索软件感染后,其中文件会被加密锁住,支付攻击者所要求的赎金后才能解密恢复。网络安全专家说,这种勒索软件利用了“视窗”操作系统的一个名为“永恒之蓝”的漏洞。
微软发布相关漏洞补丁
美国微软公司12号宣布针对攻击所利用的“视窗”操作系统漏洞,为一些它已停止服务的“视窗”平台提供补丁。
英全民医疗体系电脑系统恢复正常
在本轮网络攻击中,英国NHS,也就是全民医疗体系旗下多家医疗机构的电脑系统瘫痪。目前,除了其中6家外,其余约97%已经恢复正常。英国首相特雷莎·梅13号发表讲话,称英国国家网络安全中心正在与所有受攻击的机构合作调查。
事实上,这次大规模的网络攻击并不仅限于英国。当地时间12号,俄罗斯内政部表示,内政部约1000台电脑遭黑客攻击,但电脑系统中的信息并未遭到泄露。同样遭到攻击的美国联邦快递集团表示,部分使用Windows操作系统的电脑遭到了攻击,目前正在尽快补救。西班牙国家情报中心也证实,西班牙多家公司遭受了大规模的网络黑客攻击。电信业巨头西班牙电信总部的多台电脑陷入瘫痪。
研究人员:全球损失不可估量
美国著名软件公司赛门铁克公司研究人员13号预计,此次网络攻击事件,全球损失不可估量。
赛门铁克公司研究人员表示,修复漏洞中最昂贵的部分是清空每台受攻击的电脑或服务器的恶意软件,并将数据重新加密。单单此项内容就将花费高达数千万美元。
据路透社报道,软件公司关于修复漏洞的高额损失并没有包含受影响的企业所遭受的损失。
我国相关部门采取防范措施
由于这个勒索蠕虫病毒的发展速度迅猛,不仅在世界范围内造成了极大的危害,对我国的很多行业网络也造成极大影响,目前已知遭受攻击的行业包括教育、石油、交通、公安等,针对这个情况,公安部网安局正在协调我国各家网络信息安全企业对这个勒索蠕虫病毒进行预防和查杀。
据公安部网安局专家介绍,虽然目前国内部分网络运营商已经采取了防范措施,但是在一些行业内网中依然存在大量漏洞,并成为攻击目标,而一旦这些行业内部的关键服务器系统遭到攻击,从而将会带来很严重的损失。
公安部网络安全保卫局总工程师 郭启全:因为它是在互联网上传播,互联网是连通的,所以它是全球性的。有些部门的内网本来是和外网是逻辑隔离或者是物理隔离的,但是现在有些行业有些非法外联,或者是有些人不注意用U盘又插内网又插外网,因此很容易把病毒带到内网当中。
据记者了解,这个勒索蠕虫病毒会在局域网内进行主动攻击,病毒会通过文件共享端口进行蠕虫式感染传播,而没有修补系统漏洞的局域网用户就会被病毒感染。
公安部网络安全保卫局总工程师 郭启全:现在我们及时监测病毒的传播、变种情况,然后还是要及时监测发现,及时通报预警,及时处置。这几天,全国公安机关和其他部门和专家密切配合,特别是一些信息安全企业的专家,尽快支持我们重要行业部门,去快速处置,快速升级,打补丁,另外公安机关还在开展侦查和调查。
勒索蠕虫病毒真面目如何?
5月12日开始散播勒索蠕虫病毒,从发现到大面积传播,仅仅用了几个小时,其中高校成为了重灾区。那么,这款病毒是一个什么样的病毒,如何传播,何以造成如此严重的后果呢?
这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒,被感染电脑会主动对局域网内的其他电脑进行随机攻击,局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。而该漏洞微软在今年3月份已经发布补丁,对漏洞进行了修复。
网络安全专家 孙晓骏:这个病毒利用了一个漏洞,但是我们用户没有打补丁的习惯,没有及时修复这次漏洞,这个病毒样本通过漏洞攻击了非常多的电脑。
根据网络安全公司数据统计,截止5月13日晚8点,我国共有39730家机构被感染,其中教育科研机构有4341家,高校成为了这次蠕虫病毒的重灾区。
网络安全专家 孙晓骏:这次病毒利用了445的一个重要的端口。校园网因为ip直连的情况,导致没有一个nat和防火墙来阻断对445端口的访问所以在校园网没有打补丁的机器就直接暴露在病毒之下了。
因为电脑蠕虫病毒有主动攻击的特性,所以每一次蠕虫病毒的传播范围都很广。然而在5月12号爆发的蠕虫病毒与以往不同,它入侵电脑后会加密电脑中图片、文档、视频、压缩包等各类资料,并跳出弹窗,被告之只有交了赎金,才能解密电脑中被加密的资料。
被感染蠕虫病毒后,不到十秒,电脑里的所有用户文件全部被加密无法打开。网络安全专家介绍,用户电脑一旦被感染这种勒索病毒,被加密的文件目前还没有找到有效的办法可以解锁。而专家并不建议用户支付赎金取得解锁。
网络安全专家 孙晓骏:加密的文件会根据病毒指引去付赎金获得密钥,但是根据目前的研究看成功的几率非常低,整个互联网安全界在积极的探索有没有办法解开这个密钥。因为它用的是高强度非对称加密的算法,这个密钥空间非常大,就算用暴力破解也需要非常长的时间,目前来看是不可接受的。
针对已经被感染病毒的用户,专家建议首先使用安全软件查杀蠕虫病毒,并保留被加密的文件,待日后网络安全公司找到有效方法后再进行解锁。
5月15日可能再次迎来病毒传染高峰
勒索蠕虫病毒从发现到爆发,仅用了几个小时,然而网络专家表示,传染高峰期不能单纯认为已经过去。在5月15日,也就是下周一可能再次出现一个高峰,网络专家特别提示,网民们一定要做好防范措施。
这次勒索蠕虫病毒爆发的时间是5月12日,星期五,正是机构和单位休息的周末,网络安全专家提示,周一上班首先要做的就是先断网,进行补丁修复。
网络安全专家 孙晓骏:周一上班一定要先拔网线,安装安全软件,打上补丁,然后再插上网线进行工作,否则没有打补丁的电脑非常大的几率会收到蠕虫病毒攻击。
席卷全球的WannaCry勒索病毒的影响仍在持续,目前至少有150个国家受到网络攻击。北京青年报记者了解到,国内除了多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也同样中招。据英国媒体报道,一名22岁的英国网络工程师注意到,这一勒索病毒曾不断尝试进入一个极其特殊、尚不存在的网址,他顺手注册了这个域名竟然阻拦了病毒的蔓延趋势。令人遗憾的是,勒索病毒未来仍有进一步蔓延的趋势。昨天下午,国家网络与信息安全信息通报中心紧急通报,在全球范围内爆发的勒索病毒出现了变种,英国小伙无意间发现的“治毒方法”已经失效。
国内多家单位遭病毒攻击
5月12日晚,WannaCry勒索病毒在全球多个国家蔓延,国内多所高校的网络遭受到勒索病毒的攻击,大量学生毕业论文等重要资料被病毒加密,只有支付赎金才能恢复。
昨日,北青报记者了解到,受到该病毒影响的不仅仅是校园网,还包括部分企事业单位。
据一名中国联通郑州分公司的工作人员称,5月14日,因为受到比特币勒索病毒的影响,单位电脑全部瘫痪。
5月13日,响水公安局出入境办事处发布消息称,因公安网遭遇新型病毒攻击,暂时停办出入境业务,具体恢复时间等待通知。
“弄了一宿,数据也没有恢复过来。”昨天,山东的一名民警告诉北青报记者,受到勒索病毒影响,单位存储资料的电脑被锁定,学习计算机专业的他最终也只能束手无策。
中石油部分加油站受影响
同样受影响的还有中国石油加油站。昨日,中国石油在其官网中发布公告称,5月12日22点30分左右,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。
昨日下午,北青报记者与北京地区五个中国石油加油站取得了联系。
其中中国石油首汽12号加油站的工作人员表示,13日起,因为受到新型病毒的影响,加油站的手机支付、加油卡支付等多种支付方式均受到影响,虽然上午进行了紧急抢修,但仍存在网络不稳定的情况。中国石油国门加油站的工作人员告诉北青报记者,截至下午4点,国门加油站仍只接受现金支付或国门加油站的加油卡支付费用。
中国石油昨天下午表示,根据现场验证过的技术解决方案,开始逐站实施恢复工作。80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。
中国石油大湖山庄西南、中国石油东鹏加油站、中国石油京顺加油站的工作人员告诉北青报记者,已经在中午前恢复了手机支付和加油卡支付的功能。
病毒传播一度被意外拦阻
来自英国的消息似乎为战胜勒索病毒带来了一丝希望。
英国媒体13日报道,一名22岁的英国网络工程师12日晚注意到,这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑(约合75元人民币)注册了这个域名,试图借此网址获取勒索病毒的相关数据。
令人不可思议的是,此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。
这名工程师和同事分析,这个奇怪的网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意触发了程序自带的“自杀开关”。
也就是说,勒索病毒在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明勒索病毒尚未引起安全人员注意,可以继续在网络上畅行无阻;而一旦网址存在,意味着病毒有被拦截并分析的可能。
在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索病毒会停止传播。
勒索病毒已经出现新变种
意外拦阻勒索病毒的英国网络工程师和一些网络安全专家都表示,这种方法目前只是暂时阻止了勒索病毒的进一步发作和传播,但帮不了那些勒索病毒已经发作的用户,也并非彻底破解这种勒索病毒。
他们推测,新版本的勒索病毒很可能不带这种“自杀开关”而卷土重来。这种推测果然很快成为现实。
昨天国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。
该通知要求各单位立即组织内网检测,一旦发现中毒机器,立即断网处置,严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称,目前看来对硬盘格式化可清除病毒。
欧盟刑警组织下属的欧洲网络犯罪中心13日表示,此次勒索病毒攻击的规模之大前所未有,需要通过复杂的国际调查寻找犯罪嫌疑人,欧盟刑警组织已和多国合作对此次攻击展开调查。
0条大神的评论