病毒

14 文章

病毒:回归本源

你们还记得”病毒”这个词从哪儿来吗?这里我说的是真正生物病毒,后来被IT安全专家们借用过来,命名为将自身代码插入其它目标以自我复制和传播的计算机程序。

反病毒软件基本要素:病毒、特征码和杀毒

曾几何时,我们开始反复讨论在数字世界该有的行为以及如何生存下去的方式。衷心希望我们所做的一切不是徒劳,同时读者们也能将这里所学的知识传授给自己的亲戚朋友。因为这真的很重要。但有时候,我们也想当然认为某些专用术语和表述是一种常识。因此在本篇博文中,我们将回过头来重新对杀毒软件的三项基本要素再做一番详述。

五种最怪异的木马病毒:滑稽、吓人又有些奇怪

回到MS-DOS年代,当时的网络黑客创建恶意软件主要是为了娱乐的目的,因此那那时候出现了许多奇特甚至有趣的计算机病毒。例如,有一种简单的恶意软件会将计算机屏幕上的图片上下颠倒摆放。一种被称为”Madman”的病毒会在计算机屏幕上显示一个红脸疯子双目圆睁的样子,并恐吓受害人有人正在监视,且”没人能救他们”。那个时候,如果不幸看到这样的图片,的确会有种毛骨悚然的感觉。 当然,有些病毒也相当具有危险性。2000年的时候,一名犯罪分子发送了题为”ILoveYou”的电邮,其中含有恶意附件LOVE-LETTER-FOR-YOU.TXT.vbs,实际上并非是文本文件而是VB脚本。这封”爱的邮件”在全球范围感染了超过300万PC电脑用户。该恶意软件最终大获成功:成为了2002年传播最广泛的计算机病毒。 但随着时间的推移:恶意软件显然发生了质变,不再单纯为了娱乐,更多是为了恶意攻击:而开发的目的也很简单—赚取不法收益。尽管如此,但就算现在我们依然能从众多以赚钱为目的的恶意软件中找出一些另类。在本篇博文中,我们就为读者们精心收集了5种怪异且”不合群”的恶意软件。 喜好社交的恶意软件 即便是最简单的恶意软件也能引起受害人的情绪反应。例如,一款典型的Skype木马病毒在受害人的联系人每次上线时,都会向他们发送”嗨”。结果显而易见:受害人的许多好友和熟人几乎都会同步作出回复。对于有些用户而言,这种体验相当可怕,因此他们称其为”内向的人所遇到的最可怕病毒。” 事实上,该病毒在在这一问候消息中添加了网络钓鱼链接,因此向所有人说”嗨”绝不是为了好玩那么简单。但该恶意软件之所以受到广泛关注,是因为每次感染一台PC电脑都引起一场有关无用通讯的”巨大海啸”。 贪婪的应用程序 通过盗用计算机性能挖掘比特比的木马病毒并不少见。就在去年,多款流行安卓应用的开发商决定做同一件事,那就是使用用户的智能手机”挖矿”。他们甚至还设法在一段时间内保守了秘密,原因是多数人没有在移动设备上安装反病毒软件的习惯,但只有在设备连接充电器时才会开始”挖矿”。 但这个想法从一开始就毫无实际性可言。一般来说,人们比特币挖矿使用的是配有昂贵显卡的高性能PC电脑,原因是挖矿需要高负荷的并行运算能力。移动设备的运算能力显然不足以完成这项艰巨的任务:例如,如果你用2015年最新款智能手机(比方说,Galaxy S4)挖一个比特币,整个计算时间需要3.4万年之久。且目前需要更长的时间,原因是比特币变得比过去更加难挖了。因此我们猜测,犯罪分子对比特币及其挖掘方式应该不怎么了解。 纠缠不清的木马病毒 尽管大多数安卓网银木马都努力”低调行事”,但却有一款采用了完全不同的策略:不断触动受害人异常敏感的神经。 该木马病毒起初与其它”同类”并无二异,将自己装扮成有用的应用程序,然后潜入智能手机内。一旦得手后,便会不断纠缠受害人:要求授予其管理员权限。就算用户关闭一个窗口,该木马也会再打开一个新的,周而复始永不消停。停止这一切的唯一方式是关闭电源,然后恢复至出厂设置—或者授予这一烦人的应用所要求的权限(注:显然这不是个好主意。) 有时候,同意总是比拒绝来的更容易些。有些用户因实在不堪烦扰只能授予权限,但仍无法求得”安宁”:该木马采用相同的策略”摇身一变”成为了默认短信应用,并不断要求受害人共享自己的信用卡信息。这份”固执己见”让最固执的孩子也自愧不如。 骑士大人 你甚至还有可能在最新木马病毒中遇到”唐吉坷德式的家伙”。就在去年,一种非常规形式的恶意软件Wifatch被曝光。或者我们应该称其为”goodware”。Wifatch会感染Wi-Fi路由器和其它联网设备并且…为它们打上补丁。 当Wifatch被发现的时候,其网络内包含了成千上万来自中国、巴西和美国的设备。 充满矛盾的木马病毒 Triada作为一款安卓平台上的木马病毒,其行为巧妙掩饰了真实能力。事实上,Triada能力可谓十分强大。该恶意软件能够黑客入侵Google操作系统的”心脏”—Zygote进程—且由于主要躲藏于受感染设备的RAM内,因此检测难度极高。 最重要的是,Triada拥有模块化结构。该结构并不像摩托罗拉的全新智能手机概念,而是为木马病毒提供全新强大功能的软件模块,如此Triada便能在其武器库内挑选最合适的”武器”—然后运用到用户身上。 如果你仍不相信这款手机恶意软件拥有极大危险性,可以看看这个:安全专家表示,Triada与计算机木马病毒相比编写得毫不逊色。千万不要忘了,Windows拥有多年与恶意软件斗争的经验,而这方面手机操作系统才只是新手而已。 总而言之,尽管Triada拥有功能强大的结构,但其行为却又出奇的”天真无邪”。除了窃取网银数据或挟持遭黑客入侵的设备外,只会向受害人显示广告—类似于简单的广告软件。此外,还会假冒浏览器载入的URL地址,并篡改主页和默认搜索引擎。 由于Triada的最终目的是从受感染的用户处盗取资金,因此一旦受害用户在其中几个应用中内购了物品—提升能力的道具、游戏货币及超酷的附加内容等,Trojan就会在同一时刻窃取通过短信发给应用开发商的资金。 我们并非是在怨天尤人,只是不明白为什么犯罪分子创建如此一款强大且复杂的解决方案,却只是为了完成一些简单的任务。除此之外,他们的不法收益也低于传统locker病毒和网银木马。 如你所见,不同寻常甚至怪异的木马病毒仍然比比皆是。但无论这些恶意软件多么有趣,都仍然具有危险性—因为编写它们的唯一目的就是为了窃取资金和个人数据,或者就是为了大肆破坏。 无论你是不希望遇到纠缠不清的木马病毒,不想被喜好社交的Skype恶意软件打扰,还是了解了今年头3个月中检测到1.7亿个恶意解决方案中任何一个,你都需要一款功能强大的安全解决方案。卡巴斯基安全软件多设备版能为您的数字生活保驾护航:无论是PC电脑、Mac电脑还是移动设备,我们都能提供全方位的安全保护。

多目的性恶意软件:木马病毒时而化身”三头犬”

就当人们都认为勒索软件危害性大不如前的时候,它突然来了个180度大变身:不再迅速传播而是发展出了第二种特性。下面就以2016年2月首次在互联网上发现的Cerber举例。 当时,Cerber因为其毛骨悚然的赎金索要通知方式而著称—多数勒索软件通过文字讯息索要赎金,而Cerber却独树一帜,通过语音通知受害人。但犯罪手法依然难离其宗:支付赎金,然后恢复文件。 额外的恶意行为 如今,包括Cerber在内的木马病毒仍然干着加密受害人数据的勾当,而大多数计算机用户并不知道如何应对。听上去好像是转移注意力的策略,不是吗? 似乎Cerber传播者对这一观点深表认同。该恶意软件的某些升级版—采用复杂的传播方式—最近几个月主动”自废武功”—但却衍生出额外的恶意行为:将受害人计算机添加到恶意的僵尸网络大军中。 这里简要介绍下Cerber恶意行为的先后顺序。首先,Cerber通过电邮附件的形式进入受害人计算机。一旦被打开,该病毒就会像其它勒索软件那样加密文件并向受害人索要赎金。但在这之后,安全研究专家发现,它还会进一步确认计算机联网状态,并将受感染的PC电脑用作其它目的。例如,实施分布式拒绝服务攻击或作为垃圾邮件程序使用。 日益增多的多目的性恶意软件 但Cerber并非是我们在2016年发现的首个拥有额外恶意行为的勒索软件。例如,Petya勒索软件为了加密受害人整个硬盘,通常要求用户首先授予权限,将Mischa添加到其安装路径以确保成功感染。而CryptXXX新增加的恶意行为是窃取受害人信息和比特币。 显然,勒索软件是一种高回报的网络犯罪工具。预计接下来各种多目的性勒索软件将层出不穷。始终关注安全行业最新动态并使用安全保护程序,能最大提升计算机的安全性。 如何防范Cerber 类似于Cerber这样的恶意软件,就其传播方式而言相对容易防范。为了最大降低成为Cerber受害人的概率—以及不幸中招后的危害性: 1.小心提防收到的任何一封邮件。千万不要点击明显是垃圾邮件内的链接,同时还应避免点击貌似是正当业务电邮甚至发自你认识和信任发件人电邮内的链接或附件。 2.备份文件。经常并定期进行备份。 3.无论是操作系统还是应用,只要有新补丁发布就立即安装。和垃圾邮件链接一样,未打补丁的漏洞也是恶意软件攻击通常的切入口。 4.运行,比如:卡巴斯基安全软件 —随时 —保持最新版本。另外,你还需对所有联网设备进行安全保护。卡巴斯基实验室的众多安全解决方案就能够成功检测出Cerber为Trojan-Ransom.Win32.Zerber。

事实还是谎言:计算机病毒能否真的损坏电脑硬件?

事实上,病毒损害电脑硬件是信息安全领域流传最广的讹传之一。但同时,也是最不标准的一个。事物的两面性可能是这一讹传长久存在的原因。 在20世纪末同时也是电脑时代即将来临的时候,电脑用户之间时常流传着发生在自己好朋友身上有关电脑遭病毒感染的可怕故事。在这些故事中,病毒常常”神通广大”,不仅能造成阴极射线管显示器交错’错误’,还能致使电脑硬件部件”完全烧毁”。在其它的故事版本中,恶意软件会造成硬盘驱动器猛烈’震动’,最终导致整个硬盘损毁。或者超频后的软驱会导致转子迅速过热从而造成危险。 与此同时,反病毒软件开发人员不时会打破这些讹传。不可否认,有些故事在理论上的确可行,但各硬件内置的极度安全保护机制完全能够阻止此类错误的发生。正如安全专家所说的,对于此类故障的担忧完全是毫无必要且多余的,因为根本不可能发生。 一些电脑用户表面上似乎对这些解释表示满意,但内心里对这些” 讹传”仍然坚信不疑。他们始终认为任何事都有可能发生,电脑供应商只是掩盖了事实真相。 然而,生活中原本就充满各种乐趣和惊喜。举个例子,在1999年的时候,当时广为传播的Win95.CIH病毒曾感染了数千台计算机。该恶意软件会篡改保存在硬盘以及主板BIOS芯片上的数据。导致其中一些受影响电脑无法启动,原因是引导程序损坏。而要想消除该攻击带来的不良影响,用户必须更换BIOS芯片并重写数据。 但这是就是对电脑所造成的物理损伤呢?答案是否定的。在经过一系列的处理后,主板就能被修复并重新回到正常工作状态。但常规’家庭急救箱’无法解决这一问题,还需要特殊的设备。 如今,情况就更加复杂了。 首先,所有单独硬件都附带了可重写的微程序,有时候还不止一个。这一趋势竟然没有影响到这一过于智能化硬件的紧固程度,对此我感到很惊讶。 每一种微程序经过多年的演变,已然成为了一种相当复杂的软件,且因其设计可能会遭受黑客攻击。一旦攻击成功,产生的后果并不总能立即解决。 拿硬盘的改进固件举例。就当时的记录来看,在卡巴斯基实验室专家分析Equation网络间谍活动时,还对植入不同硬盘型号微程序的间谍软件模块进行探究。这些恶意软件被用来对受影响硬盘进行完全控制;而即便格式化也无法立即修复。 使用常规工具箱无法更改固件—固件自行负责更新工作。你完全可以想象,更改固件的难度有多高。当然,如果你正巧手上有专业设备,就有可能更改任何一种微程序。而在现实生活中,一个受影响的硬盘只能直接当垃圾丢掉–从成本角度看这也是最好的选择。 这是否就能认定是物理损坏呢?仍然存在争议。但有关基于硬件漏洞的案例数量却在逐年增加。 其次,难以界定哪些设施可以被定义为’计算机’。比如,目前的所有汽车从某种程度上讲都可以算作是一台计算机—而更重要的是–这是一台装在轮子上的联网计算机。正如我们在最近有关远程入侵Jeep Cherokee车的公开演示中发现的,目前许多汽车都容易遭受远程入侵和病毒感染。 因此,黑客入侵是由黑客实施的,而不是计算机病毒—经过数年的专研,对于黑客来说简直是小菜一碟。然而,通过黑客攻击让行驶中的汽车停下来并撞向路边电线杆并不会让我们感到惊讶。我猜这可以算是物理损坏。 那么我们又回到文章开头提出的问题,计算机病毒是否真的能损坏电脑硬件呢?这到底是事实还是谎言? 可以说是事实。但这完全取决于你对“损坏”、”病毒”和”电脑”等名词的定义。

卡巴斯基中国地区每周病毒播报(2014年12月29日–2015年1月4日)

本周受关注恶意软件: 病毒名:Trojan.Win32.Lethic.a 文件大小: 20992字节 创建注册表: “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRun” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRunOnce” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” 创建文件: C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe 主要行为: 这是一个木马程序,运行后会将自己拷贝至”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe”,并添加到开机自启动,然后删除自身。接着其会通过远程线程注入的方式将恶意代码注入到系统进程”explorer.exe”中,并创建名为”zyan85asc”的互斥体,防止木马重复运行。最后该木马会连接远程地址”91.***.105.85:7700″,一旦连接成功则会允许远程主机控制受感染的电脑。此外,该木马程序还会使用Inline hook 的方式让当系统进程”explorer.exe”调用API “ntdll.RtlFreeHeap”时,执行其携带的恶意代码。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报(2014年12月8日–2014年12月14日)

本周受关注恶意软件: 病毒名:Trojan-Spy.Win32.Backoff.a.txt 文件大小: 53760字节 主要行为: 这是一个能够窃取用户敏感信息的木马程序。该木马运行后会获取计算机名、用户名、操作系统版本等信息。然后遍历进程并查找”outlook.exe”进程,找到则结束该进程。通过在搜索文件”%appdata%MicrosofttOutlook*.pst”,获取outlook保存用户邮件的数据库文件;接着搜索Mozilla浏览器的邮件工具–ThunderBird的配置文件”%appdata%Thunderbirdprofiles.ini”和ThunderBird的数据库文件”abook.mab”。它通过搜索以上文件,进而获得用户的邮件、邮件地址、邮件联系人等信息,并将获得到的用户敏感信息写入到”Emails.txt”中,然后通过HTTP请求将”Emails.txt”作为附件发送到远程地址”dns.******-host.org”,然后删除文件”Emails.txt”。最后该木马程序向”explorer.exe”进程注入一段shellcode,休眠3秒后自删除。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报(2014年12月1日–2014年12月7日)

本周受关注恶意软件: 病毒名:Trojan-Ransom.Win32.Fury.a 文件大小: 67584字节 创建文件: %appdata%UpdSysDrv32Xz32[8位随机字母].exe 创建注册表: HKEY_LOCAL_MACHINE]SOFTWAREMicrosoftWindows UpdSysDrvNamxz32=”[8位随机字母].exe” [HKEY_CURRENT_USER]SoftwareMicrosoftWindowsCurrentVersionRun UpdSysDrvX32z32=”%appdata%UpdSysDrv32Xz32[8位随机字母].exe” 主要行为: 这是一个木马程序,运用了PE映像切换的技术,将恶意代码注入到系统程序”svchost.exe”。首先,它会通过挂起的方式打开系统进程”svchost.exe”,然后通过ZwMapViewOfSection、ZwUnmapViewOfSection、ZwCreateSection等Native API将svchost.exe映射在内存中并修改了svchost.exe的入口点,使其跳转到恶意代码的入口。然后,它会利用ZwResumeThread恢复挂起的svchost.exe进程,使恶意代码被运行。恶意代码运行后,会从远程地址下载其他恶意程序;遍历所有硬盘并加密以下后缀名的文件”*.odp|*.xls|*.mdb|*.wb2|*.cdr|*.cr2|*.orf|*.srw|*.p7b|*.odm |*.accdb|*.mdf|*.dng|*.dcr|*.raf|*.x3f|*.p7c|*.odc|…”,然后弹出带有支付地址的锁屏窗口,提示用户支付相应费用来换取解密文件,从而达到敲诈勒索的目的。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报(2014年9月15日–2014年9月21日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Backdoor. MSIL.Agent.nmx 文件大小: 60416字节 主要行为: 这是一个用”Microsoft Visual C#”语言编写的后门木马程序。该木马会窃取用户的隐私信息,并且会被远程控制及接收远程计算机的指令,执行相应的恶意代码。它能够对用户的桌面截图,并将图片文件保存并压缩为.RAR文件;还可检测用户安装的杀毒软件,并获取杀毒软件的名称;此外,它还会检测用户是否安装摄像头,并能通过执行指令完成打开摄像头和关闭摄像头的操作。在获得用户的FTP软件FileZilla的账号和密码、获得计算机名、IP地址、操作系统类型等信息后,该木马还能通过多命令行接收指令,实施从指定网址下载文件、运行指定路径的文件、打开指定的网址、挂起指定进程、结束指定进程等操作。另外,该木马还能够编译脚本,将指定的脚本文件编译成可执行文件,最终将获得的信息通过网络发送到指定的地址。 专家预防建议: 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报((2014年9月8日–2014年9月14日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Backdoor.Win32.Bifrose.gbo 文件大小: 151430字节 创建文件: C:SetupCacheMgr.exe C:Setupcsetup.tmp 创建注册表: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun StubPath=”C:setupcachemgr.exe -as” HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components2CBE016A-8F28-4E0C-83A6-6079161294D7 StubPath=”C:setupcachemgr.exe -ax” 主要行为: 这是一个伪装成文件夹图标的后门程序。木马运行时首先将自己拷贝至C:SetupCacheMgr.exe,创建名为”2CBE016A-8F28-4E0C-83A6-6079161294D7″的互斥体,防止木马实例被重复运行。随后,它会将自身添加到开机自启动项,确保每次开机时运行木马程序,并创建新进程 “C:SetupCacheMgr.exe -ax”,创建文件 C:Setupcsetup.tmp,用来记录用户电脑被木马攻击的日期。利用受感染的主机对一些特定的IP地址进行DDos (分布式拒绝服务)攻击,使得被攻击目标无法对合法用户正常响应,然后从网址 “secure-*******updates.net/updates/system/update.php” 下载安全性未知的文件(URL已失效)。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。

卡巴斯基中国地区每周病毒播报(2014年9月1日–2014年9月7日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Trojan.Win32.Straftoz.c 文件大小: 189440字节 主要行为: 这是一个木马程序。该木马运行后会通过以下方法来反沙盒和反虚拟机:1、判断沙盒模块SbieDll.dll是否被加载;2、判断虚拟机的服务是否开启”\.HGFS” “.vmci” “.VBoxGuest”;3、创建名为”Frz_State”的互斥体,判断是否已经运行。如果满足任一条件,则直接退出木马程序。反之则执行恶意代码:通过窗体名获得”explorer.exe”进程句柄,通过远程线程将恶意代码注入到系统进程中,然后退出当前程序。注入到”explorer.exe”的恶意代码会查找%appdata%下的所有文件,并打开网址hdseriales*******andtvonline.com,最后删除木马程序,增强木马的隐蔽性。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报((2014年8月25日–2014年8月31日)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件: 病毒名:Trojan-Ransom.Win32.Onion.h 文件大小: 679424字节 创建文件: %temp%$随机数.exe %mydocuments%DecryptAllFiles $随机数.txt %mydocuments%AllFilesAreLocked $随机数.bmp %mydocuments%$随机数.html %windir%$随机数.job 主要行为: 这是一个木马程序。它会利用加密本地磁盘和网络映射盘上的文件,要求用户支付比特币来恢复被加密的文件。木马运行后首先将自己拷贝至 %temp%$随机数.exe,随后遍历磁盘,搜索所有的文件,通过判断文件后缀名来决定是否要加密,它会使用AES加密算法进行加密,将加密后的后缀名改为 *.ctbl。木马为了防止加密系统目录下的文件而导致系统运行出错,在遍历文件目录的时候不加密%Windows%目录下的文件。加密完成后,木马操纵者会要求用户到指定的网址发送信息和比特币来解密这些文件。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

爱心软件:五大有益的病毒程序

现如今,网络战争和网络黑手党四处横行,很难回想起计算机病毒和蠕虫程序还只是研究项目或恶作剧的时代了。那时候,写恶意软件没有利益驱动,也并不是每位病毒创建者都心怀恶意。这就是为什么一些程序员会孜孜不倦地探索编写”有用”病毒的可能性,或者尝试将编写的病毒产生的负面影响降至最低。在一些特殊情况下,病毒甚至能够清除危险的恶意软件,或优化计算机资源。下面让我们看看过往五大最知名的”爱心软件”(与恶意软件相对)病毒。 5. Creeper(1971年) 已知的最早的计算机病毒实际上是学术研究的成果,和你想的一样,这种病毒是无害的。它被命名为Creeper,出现在1971年,是由美国国防部国防高级研究计划局的一名雇员所编写的。这种原始的蠕虫病毒可查找网络中的其他计算机,当时这种病毒传播是小范围的局部事件,它在计算机之间移动的同时会进行自我复制,并显示”我是Creeper,有本事来抓我呀!”一旦Creeper在计算机中发现已有一个Creeper,就会跳过该计算机,继续寻找下一台计算机。它不会对计算机系统本身造成任何损害。 4. Stoned(1988年) Stoned是另一个非常”有意思”的病毒,它的主要用途是向用户发送消息。1998年在新西兰首次检测到此病毒。这是一种引导病毒,修改的是软盘的引导扇区,而不是可执行文件。和Creeper一样,它也不会给计算机造成任何损害。它只是在计算机引导期间在屏幕上显示一则消息:”你的计算机石化啦!”。有些采样中还包含更加具体的行动口号:”大麻使用合法化”。看样子,这一病毒传递的消息到2013才最终达到了要求的目的(大麻合法化纳入美国政策)。 3. HPS(1997年) “恶作剧病毒”的头衔一直牢牢把持在HPS手中,这是一种专门针对Windows 98操作系统开发的程序,但事实上在此系统发布之前,HPS就已经散播了好几个月了。关于此病毒离奇的一点是它只在每周六发作:一周一次发作时,它会将计算机中所有未压缩的位图对象全部翻转。通常这会导致Windows重启和关闭以镜像状态显示的图像。 2. Cruncher(1993年) Cruncher是九十年代的一种典型驻留型文件病毒。它会感染可执行文件,并使用算法(窃自当时流行的DIET实用程序)来压缩数据并对被感染文件打包,这样被感染文件的长度会比原始文件短,但功能并不受影响。这种病毒帮助用户释放硬盘空间。 1. Welchia aka Nachi(2003年) Welchia病毒是”最有助益的蠕虫病毒”竞赛中实力强劲的竞争选手。2003年,当时个人防火墙和定期软件更新还并不常见,因此计算机只要接入网线就很可能会感染上病毒。原因在于Windows网络相关组件中有严重漏洞,能被无数网络蠕虫病毒加以利用。其中散播最广的此类恶意软件是Lovesan(即aka Blaster),这种病毒能设法使某些公司的整个网络陷入瘫痪。Welchia利用的漏洞正与Lovesan的相同,但它的下一步操作却极出人意料,它会检查处理器内存中是否有Blaster病毒。若是检测到该病毒,则会使其停止运行,并从磁盘上删除整个恶意文件。但Welchia的善意之举还没完:删除恶意软件后,这个”善良”的病毒会检查系统中是否有更新可为该漏洞打补丁,然后该蠕虫病毒会渗透到系统中。如果没有发现系统中有这样的更新,它会启动从制造商网站进行下载。完成这一系列行动之后,Welchia会自行销毁。 如今,几乎所有的病毒在编写时只有一个目的:盗取资金或保密数据 千万别误解了我的意思,即便是无害或”有用”的病毒也不应该出现在你的计算机里。它们可能会因编程错误危害计算机,而这种错误可能编写病毒的程序员本身都无法修复。甚至功能单纯的程序也会对计算机产生负面影响,比如占用计算机资源。但如今”非恶意软件”概念本身与此无关。 “如今,几乎所有的病毒在编写时只有一个目的:盗取资金或保密数据。”卡巴斯基实验室全球研究与分析组首席安全专家Alexander Gostev如是说。