商业源码 史上20大计算机病毒
一谈计算机病毒,足以令人谈“毒”变色。硬盘数据被清空,网络连接被掐断,好好的机器变成了毒源,开始传染其他计算机。中了病毒,噩梦便开始了。有报告显示,仅2008年,计算机病毒在全球造成的经济损失就高达85亿美元。计算机病毒现身江湖已多年,可以追溯到计算机科学刚刚起步之时,那时已经有人想出破坏计算机系统的基本原理。1949年,科学家约翰冯诺依曼声称,可以自我复制的程序并非天方夜谭。不过几十年后,黑客们才开始真正编制病毒。直到计算机开始普及,计算机病毒才引起人们的注意。
1Creeper(1971年)
最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年,距今以后42年之久。当然在那时,Creeper还尚未被称为病毒,因为计算机病毒尚不存在。Creeper由BBN技术公司程序员罗伯特托马斯(Robert Thomas)编写,通过阿帕网( ARPANET,互联网前身)从公司的DEC PDP-10传播,显示“我是Creeper,有本事来抓我呀!(I'm the creeper, catch me if you can!)”。Creeper在网络中移动,从一个系统跳到另外一个系统并自我复制。但是一旦遇到另一个Creeper,便将其注销。
2Elk Cloner病毒(1982年)
里奇斯克伦塔(Rich Skrenta)在一台苹果计算机上制造了世界上第一个计算机病毒。1982年,斯克伦塔编写了一个通过软盘传播的病毒,他称之为“Elk Cloner”,那时候的计算机还没有硬盘驱动器。该病毒感染了成千上万的机器,但它是无害的:它只是在用户的屏幕上显示一首诗,其中有两句是这样的:“它将进入你所有的磁盘/它会进入你的芯片。”
3梅利莎 (Melissa,1999年)
Melissa病毒由大卫史密斯(David L Smith)制造,是一种迅速传播的宏病毒,它作为电子邮件的附件进行传播,梅丽莎病毒邮件的标题通常为“这是你要的资料,不要让任何人看见(Here is that document you asked for, don't show anybody else)”。一旦收件人打开邮件,病毒就会自我复制,向用户通讯录的前50位好友发送同样的邮件。因为它发出大量的邮件形成了极大的电子邮件信息流,它可能会使企业或其它邮件服务端程序停止运行,尽管Melissa病毒不会毁坏文件或其它资源。1999年3月26日爆发,感染了15%-20% 的商业计算机。
4爱虫 (I love you, 2000年)
梅丽莎病毒爆发一年后,菲律宾出现了一种新的病毒。与梅丽莎不同的是,这次出现的是蠕虫病毒,具有自我复制功能的独立程序。这个病毒的名字叫爱虫 (I love you)。爱虫病毒最初也是通过邮件传播,而其破坏性要比Melissa强的多。标题通常会说明,这是一封来自您的暗恋者的表白信。邮件中的附件则是罪魁祸首。这种蠕虫病毒最初的文件名为LOVE-LETTER-FOR-YOUTXTvbs。后缀名vbs表明黑客是使用VB脚本编写的这段程序。很多人怀疑是菲律宾的奥尼尔狄古兹曼制造了这种病毒。由于当时菲律宾没有制定计算机破坏的相关法律,当局只得以盗窃罪的名义传讯他。最终由于证据不足,当局被迫释放了古兹曼。根据媒体估计,爱虫病毒造成大约100亿美元的损失。
5求职信病毒(Klez,2001年)
求职信病毒是病毒传播的里程碑。出现几个月后有了很多变种,在互联网肆虐数月。最常见的求职信病毒通过邮件进行传播,然后自我复制,同时向受害者通讯录里的联系人发送同样的邮件。一些变种求职信病毒携带其他破坏性程序,使计算机瘫痪。有些甚至会强行关闭杀毒软件或者伪装成病毒清除工具。
求职信病毒出现不久,黑客就对它进行了改进,使它传染性更强。除了向通讯录联系人发送同样邮件外,它还能从中毒者的通讯录里随机抽选一个人,将该邮件地址填入发信人的位置。
6红色代码 (Code Red, 2001年)
红色代码和红色代码Ⅱ(Code Red II)两种蠕虫病毒都利用了在Windows 2000和Windows NT中存在的一个操作系统漏洞,即缓存区溢出攻击方式,当运行这两个操作系统的机器接收的数据超过处理范围时,数据会溢出覆盖相邻的存储单元,使其他程序不能正常运行,甚至造成系统崩溃。与其它病毒不同的是,Code Red 并不将病毒信息写入被攻击服务器的硬盘, 它只是驻留在被攻击服务器的内存中。
最初的红色代码蠕虫病毒利用分布式拒绝服务(DDOS)对白宫网站进行攻击。安装了Windows 2000系统的计算机一旦中了红色代码Ⅱ,蠕虫病毒会在系统中建立后门程序,从而允许远程用户进入并控制计算机。病毒的散发者可以从受害者的计算机中获取信息,甚至用这台计算机进行犯罪活动。受害者有可能因此成为别人的替罪羊。
虽然Windows NT更易受红色代码的感染,但是病毒除了让机器死机,不会产生其它危害。
7尼姆达(Nimda,2001)
这种病毒也在2001年出现。尼姆达通过互联网迅速传播,在当时是传播最快的病毒。尼姆达病毒的主要攻击目标是互联网服务器。尼姆达可以通过邮件等多种方式进行传播,这也是它能够迅速大规模爆发的原因。
尼姆达病毒会在用户的操作系统中建立一个后门程序,使侵入者拥有当前登录账户的权限。尼姆达病毒的传播使得很多网络系统崩溃,服务器资源都被蠕虫占用。从这种角度来说,尼姆达实质上也是DDOS的一种。
8灰鸽子(2001年)
灰鸽子是一款远程控制软件,有时也被视为一种集多种控制方法于一体的木马病毒。用户计算机不幸感染,一举一动就都在黑客的监控之下,窃取账号、密码、照片、重要文件都轻而易举。灰鸽子还可以连续捕获远程计算机屏幕,还能监控被控计算机上的摄像头,自动开机并利用摄像头进行录像。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。虽然在合法情况下使用,它是一款优秀的远程控制软件。但如果做一些非法的事,灰鸽子就成了强大的黑客工具。
9SQL Slammer (2003年)
Slammer,也称蓝宝石病毒,是一款DDOS恶意程序,透过一种全新的传染途径,采取分布式阻断服务攻击感染服务器,它利用 SQL Server 弱点采取阻断服务攻击1434端口并在内存中感染 SQL Server,通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染,造成 SQL Server 无法正常作业或宕机,使内部网络拥塞。在补丁和病毒专杀软件出现之前,这种病毒造成10亿美元以上的损失。蓝宝石病毒的传播过程十分迅速。和 Code Red 一样,它只是驻留在被攻击服务器的内存中。
10MyDoom (2004年)
2004年2月,另一种蠕虫病毒MyDoom(也称Novarg)同样会在用户操作系统中留下后门。该病毒采用的是病毒和垃圾邮件相结合的战术,可以迅速在企业电子邮件系统中传播开来,导致邮件数量暴增, 从而阻塞网络。和其他病毒一样,这种病毒会搜索被感染用户计算机里的联系人名单,然后发送邮件。另外,它还会向搜索引擎发送搜索请求然后向搜索到的邮箱发邮件。最终,谷歌等搜索引擎收到数百万的搜索请求,服务变得非常缓慢甚至瘫痪。根据网络安全公司MessageLabs的资料显示,当时平均每12封邮件中就有1封携带这种病毒。和求职信病毒类似,MyDoom病毒也会进行邮件发信人伪装,这使通过邮件查询病毒来源变得极其困难。
11震荡波 (Sasser, 2004年)
德国的17岁Sven Jaschan2004年制造了Sasser和NetSky。Sasser通过微软的系统漏洞攻击计算机。与其他蠕虫不同的是,它不通过邮件传播,病毒一旦进入计算机,会自动寻找有漏洞的计算机系统,并直接引导这些计算机下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。病毒会修改用户的操作系统,不强行关机的话便无法正常关机。
Netsky 病毒通过邮件和网络进行传播。它同样进行邮件地址欺骗,通过22016比特文件附件进行传播。在病毒传播的时候,会同时进行拒绝式服务攻击(DoS),以此控制网络流量。Sophos的专家认为,Netsky和它的变种曾经感染了互联网上1/4的计算机。
12Leap-A/Oompa-A(2006年)
在斯克伦塔编写了第一个病毒后,Mac病毒似乎绝迹了24年。2006年,Leap-A病毒,也称Oompa-A病毒出现。通过苹果粉丝论坛上泄露的Leopard操作系统的照片在苹果用户中传播。一旦用户不小心感染了该病毒,它就会通过即时聊天程序iChat传播。当病毒进入苹果计算机后,会自动搜索iChat的联系人列表并向其中的好友发送信息,信息中附带一个损坏的JPEG图像附件。
病毒并不会对计算机产生太大的危害,但证明了即使是苹果计算机也有可能中毒的。随着苹果机的越来越流行,越来越多的针对苹果机的病毒将会出现。
13风暴蠕虫(Storm Worm,2006年)
可怕的风暴蠕虫(Storm Worm)于2006年底最终确认。公众之所以称呼这种病毒为风暴蠕虫是因为有一封携带这种病毒的邮件标题为“风暴袭击欧洲,230人死亡”。有些风暴蠕虫的变种会把计算机变成僵尸或”肉鸡“。一旦计算机受到感染,就很容易受到病毒传播者的操纵。有些黑客利用风暴蠕虫制造僵尸网络,用来在互联网上发送垃圾邮件。许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。用户点击链接后,会自动下载蠕虫病毒。很多新闻社和博客认为风暴蠕虫是近些年来最严重的一种病毒。
14熊猫烧香(06-07年)
熊猫烧香是一种经过多次变种的蠕虫病毒,2006年10月16日由25岁的中国湖北人李俊编写,2007年1月初肆虐网络。这是一波计算机病毒蔓延的狂潮。在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。病毒变种使用户计算机中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且删除扩展名为gho的备份文件。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。
15AV终结者(2007年)
“AV终结者”又名“帕虫”, “AV”即是“反病毒”的英文(Anti-Virus)缩写,是一种是闪存寄生病毒,主要的传播渠道是成人网站、盗版**网站、盗版软件下载站、盗版电子书下载站。禁用所有杀毒软件以及大量的安全辅助工具,让用户计算机失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;AV终结者还会下载大量盗号木马和远程控制木马。AV终结者病毒病毒运行后会生成后缀名da
16磁碟机病毒(2007年)
这是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行;对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态;破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒,病毒会在每个分区下释放 AUTORUNINF来达到自运行。感染除SYSTEM32目录外其它目录下的所有可执行文件。并且会感染RAR压缩包内的文件。病毒造成的危害及损失10倍于“熊猫烧香”。
17机器狗病毒(2007年)
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户计算机带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorerexe,userinitexe,winhlp32exe等)达到隐蔽启动;通过还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全。
18震网(Stuxnet,2009-2010)
震网是一种Windows平台上针对工业控制系统的计算机蠕虫,它是首个旨在破坏真实世界,而非虚拟世界的计算机病毒,利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA),向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。这是有史以来第一个包含PLC Rootkit的计算机蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。据报道,该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示,该蠕虫事实上并没有造成任何损害。
19Conficker病毒(2009年)
Conficker病毒是一种出现于2009年的计算机蠕虫病毒,针对微软的Windows操作系统。这种病毒利用了Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008和Windows 7 Beta等版本操作系统所使用的Server服务中的一个已知漏洞。
20OnlineGames系列盗号木马
这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入**流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现。
第一,首先可以肯定的是,你的电脑之所以会出现这么多的毛病,都是由于那个可移动硬盘所引起的。所以,可以确定你的系统并米什么问题。。。
至于你说的‘桌面很干净上面一个图标也没有’,这很可能是因为那些蠕虫病毒已经破坏了系统文件夹里的explorerexe。“然后所有和网络有关的exe文件如qq、rtx(bqq)、飞信等都打不开了,接着用nod32杀毒什么也杀不出来”你说的这个嘛~应该也是那些病毒更改了系统里面的注册表,导致所有联网的程序和杀毒工具都不能运行。这样它才可以肆无忌惮的来破坏你系统里面的文件。这很有可能就是你杀毒不够彻底,米能杀死所有的毒吧。本人觉得,诺顿并不怎么好的。建议你还是用卡巴或者驱逐舰吧。这驱逐舰也挺厉害的。偶现在用的就是驱逐舰。。。。
第二,conimeexe 这个进程并不是什么病毒,所以你米必要去关注它咯。当然如果有很多和它相同名字的进程,那肯定就是病毒了。下面给你介绍一下这个进程的一些基本情况吧。
conime - conimeexe - 进程信息
进程文件: conime 或者 conimeexe
进程名称: conime
描述:
conimeexe是输入法编辑器相关程序。注意:conimeexe同时可能是一个bfghost10远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
出品者: 微软
属于: Microsoft
系统进程: 否
后台程序: 否
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 4
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
--------------------------------------
conimeexe进程说明:conimeexe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号! conimeexe同时可能是一个bfghost10远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。”
以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行cmdexe之后会出现。但是conimeexe并不是cmdexe的子进程,它的的父进程ID并没有在任务管理器中显示。
conime经常会被病毒利用感染,建议删除。可以用冰遁或手动删除(删除前要结束进程)
不过,删除之后,在CMD就不能输入中文了,如果有这个需要的朋友就不要删除它了。
文件位置:
C:\WINDOWS\system32\conimeexe
C:\WINDOWS\system32\dllcache\conimeexe
第三,下面偶就给你的所有进程作一个仔细的分析吧!!
一、ALGEXE
进程文件: algexe
进程名称: Application Layer Gateway Service
进程类别:其他进程
英文描述:
algexe is a part of the Microsoft Windows operating system It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall This program is important for the stable and secure running of your computer and should
中文参考:
algexe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务,为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。
出品者:Microsoft Corp
属于:Microsoft Windows Operating System
如果此文件在C:\windows\algexe:
这是一个病毒样本eraseme_88446exe 释放到系统中的。
C:\windows\algexe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。
特点:
1、C:\windows\algexe注册为系统服务,实现启动加载。
2、C:\windows\algexe控制winlogonexe进程。因此,在WINDOWS下无法终止C:\windows\algexe进程。
3、在IceSword的“端口”列表中可见C:\windows\algexe打开5-6个端口访问网络。
4、C:\windows\algexe修改系统文件ftpexe和tftpexe。与原系统文件比较,病毒改动后的ftpexe和tftpexe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftpexe和tftpexe被改名为backupftp和backuptftp,存放到C:\WINDOWS\system32\Microsoft\目录下。
手工杀毒流程:
1、清理注册表:
(1)展开:HKLM\System\CurrentControlSet\Services
删除:Application Layer Gateway Services(指向 C:\windows\algexe)
(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000
(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除:"SFCScan"=dword:00000000
(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"
2、重启系统。显示隐藏文件。
3、删除C:\windows\algexe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backupftp,改名为ftpexe;找到backuptftp,改名为tftpexe。然后,将ftpexe和tftpexe拖拽到system32文件夹,覆盖被病毒改写过的ftpexe和tftpexe。
algexe是什么病毒?
正常的algexe是windows自带的程序,只是有可能被病毒感染或者被伪装; 字串7
alg - algexe - 进程信息
进程文件: alg 或者 algexe
进程名称: Application Layer Gateway Service
描述:
algexe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
字串5
C:\windows\algexe病毒:
这是一个病毒样本eraseme_88446exe(样本来自“剑盟”)释放到系统中的。瑞星今天的病毒库不报。 字串1
C:\windows\algexe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。
字串9
特点:
1、C:\windows\algexe注册为系统服务,实现启动加载。
2、C:\windows\algexe控制winlogonexe进程。因此,在WINDOWS下无法终止C:\windows\algexe进程。
3、在IceSword的“端口”列表中可见C:\windows\algexe打开5-6个端口访问网络。
4、C:\windows\algexe修改系统文件ftpexe和tftpexe。与原系统文件比较,病毒改动后的ftpexe和tftpexe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b(见附图)。系统原有的正常文件ftpexe和tftpexe被改名为backupftp和backuptftp,存放到C:\WINDOWS\system32\Microsoft\目录下。
字串5
手工杀毒流程:
1、清理注册表:
(1)展开:HKLM\System\CurrentControlSet\Services
删除:Application Layer Gateway Services(指向 C:\windows\algexe)
字串1
(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000 字串8
(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除:"SFCScan"=dword:00000000
字串6
(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM" 字串8
2、重启系统。显示隐藏文件。
3、删除C:\windows\algexe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backupftp,改名为ftpexe;找到backuptftp,改名为tftpexe。然后,将ftpexe和tftpexe拖拽到system32文件夹,覆盖被病毒改写过的ftpexe和tftpexe
二、svchostexe LOCAL SERVICE
svchostexe NETWORK SERVICE
svchostexe NETWORK SERVICE
svchostexe SYSTEM
svchostexe SYSTEM
这5个进程是安全的。不是病毒。
正常进程里有5个左右的svchostexe
svchostexe,是系统必不可少的一个进程,很多服务都会多多少少用到它,svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。
不过要注意的是 由于这个程序本身特的殊性,很多木马制造者也盯上了这个文件!
三、System Idle Process进程的作用是在系统空闲的时候分派CPU的时间,它显示的超过80%以上的CPU资源并不是指的它占用了这么多CPU资源,恰恰相反,而是表示有80%以上的CPU资源空闲了出来,这里的数字越大表示CPU资源越多,数字越小则表示CPU资源紧张。
四、system
进程文件:System
进程名:System
描述:System - 系统 体制 计划
系统里确实有system这个进程,但注意,它并不是systemexe,可能是木马伪装而成的,还是先查查木马吧
进程文件:systemexe
进程名称:systemexe
描述:
systemexe是netcontroller木马病毒生成的文件,出现在c:\windows目录下,建议将其删除。但要系统的system进程区分开来。system进程是没有exe的,其信息可见:http://wwwpctutucom/tasklist/systemhtml
出品者:未知
属于:未知
系统进程:否
后台进程:否
使用网络:是
硬件相关:是
常见错误:未知
内存使用:未知
安全等级:4
间谍软件:否
广告软件:否
病毒:是
木马:是
system:[ 'sistəm ]
n
1 体系;系统[C]
2 制度,体制[C]
3 现存社会体制[the S]
4 秩序,规律[U]
5 方式,方法[C]
6 身体,全身[the S]
7 宇宙,世界[the S]
C语库函数
函数名: system
功 能: 发出一个DOS命令
用 法: int system(char command);
程序例:
#include <stdlibh>
#include <stdioh>
int main(void)
{
printf("About to spawn commandcom and run a DOS command\n");
system("dir");
return 0;
}
五、smss
进程文件: smss or smssexe
进程名称: Session Manager Subsystem
描述:
smssexe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smssexe也可能是win32ladexa木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面。
出品者:microsoft corp
属于:microsoft windows operating system
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
注意:smssexe进程属于系统进程,这里提到的木马smssexe是木马伪装成系统进程
如果系统中出现了不只一个smssexe进程,而且有的smssexe路径是"%WINDIR%\SMSSEXE",那就是中了TrojanClickerNogarda病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WININI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSSEXE"。手工清除时请先结束病毒进程smssexe,再删除%WINDIR%下的smssexe文件,然后清除它在注册表和WININI文件中的相关项即可。
六、csrss - csrssexe
进程文件: csrss 或者 csrssexe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:
csrssexe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrssexe也有可能是W32NetskyAB@mm、W32Webus Trojan、Win32Ladexa等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSSEXE进程,正常位于System32文件夹中,若以上系统中出现两个(其中一个位于Windows文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了TrojanGutta或W32NetskyAB@mm病毒。另外,目前新浪利用了系统漏洞传播的一个类似于病毒的小插件,它会产生名为nmgamexdll、sinaproc327exe、csrssexe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将Nmgamexdll文件与系统启动文件rundll32exe进行绑定,并且伪造系统文件csrssexe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameXdll、csrssexe,然后删除System32\NMGameXdll、System32\sinaproc327exe和Windows\NMWizardA14exe三个文件,再修改Windows文件夹中的csrssexe文件为任意一个文件名,从新启动计算机后删除修改过的csrssexe文件。
七、winlogonexe
是系统必须的文件,并不是病毒,这个文件的作用就是启动和关闭系统的,但是这个文件一定会在WINDOWS\SYSTEM32下,如果出现在别的文件夹下,那可能就是病毒了。
八、Servicesexe
进程文件: services 或者 servicesexe
进程名称: Windows Service Controller
描述:
servicesexe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,正常的servicesexe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32RandexR(储存在%systemroot%\system32\目录)和SoberP (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
九、lsassexe
是1个系统进程, 文件位于C:\windows\System32 目录下 你看任务管理器进程列表有多于1个lsassexe, 可以搜索硬盘上所有叫lsassexe的文件, 除了system32目录下那个, 别的都可以删除
进程文件: lsass or lsassexe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msginadll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsassexe服务崩溃,系统在30秒内重新启动。
十、spoolsvexe
这个是 系统自带的服务,作用是将文件下载到打印机以便斥候打印。如果你的电脑不需要打印功能,可以关闭这个服务。
关闭方法:
我的电脑->管理->服务和应用程序->服务->print spooler
右键,属性,停止,同时启动类型改为禁用 就可以了。
⑾、stormlivexe
官方说是解码器的更新程序 进入控制面板---管理工具---服务---Contrl Center of Storm Media---禁用 可以禁止随系统启暴风影音的一个进程 运行msconfig,到进程管理里面把那个进程前的对勾取消了就,下次就不在启动了 在你看片的时候它还会自动起来的` 在 控制面板 的 管理工具 中打开 服务 找到Contrl Center of Storm Media 双击 在服务状态下点 停止 在启动类型中选 已禁用 以后再启动系统就不会加载了
⑿、smagentexe
进程名称:smagent
描述:smagentexe是analog devices声卡驱动程序。
⒀、TTravelerexe
QQ自带的浏览器TT的进程
⒁、 ctfmon或ctfmonexe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmonexe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
常见错误: N/A
是否为系统进程: 否
CTFMONEXE是Office自动加载的文字服务,安装Office XP后,部分输入法变得非常难用,卸载Office XP后,它在控制面板中生成的文字服务仍然存在,任务栏中的输入法也没有恢复。目前,禁止文字服务自动加载的常用方法有三种:
1从系统配置实用程序(msconfigexe)里移除CTFMONEXE,这个方法并不能真正禁用文字服务,因为当启动Office程序时,文字服务还会自动加载。
2在“开始→运行”中键入“regeditexe”,打开“注册表编辑器”,展开分支“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run”,将CTFMONEXE项更名为“INTERNATEXE”即可。但此方法在启动Office后也会失效。
3以Windows XP为例介绍第三种方法的操作步骤:首先退出所有的Office 程序,进入“控制面板→添加/删除程序”,选择“Microsoft Office XP”项,点击“更改”;在维护模式对话框里选择“添加或删除功能”,然后点击“下一步”;展开“Office共享功能”,点击“中文可选用户输入方法”项,选择“不安装”,点击“更新”;然后进入“控制面板→区域和语言选项”,进入“语言”选项卡,点击“详细信息”,在已安装服务列表中,将除英语(美国)之外的其他输入法一一删除;最后点击“开始→运行”,键入“Regsvr32exe /U msimtfdll”注销Msimtfdll,接着键入“Regsvr32exe /U Msctfdll”注销Msctfdll。这种方法效果不错,但是操作太繁琐。
其实笔者还有个简单实用的方法,就是更名。Office自动加载CTFMONEXE时只能靠文件名来判断哪个程序是它所需要的,所以我们只需将系统目录(如“系统盘符\WINDOWS\System32\”)下的CTFMONEXE更名为INTERNATEXE(或者我们想让系统自动加载的其他程序)即可。
==============================
枪毙ctfmonexe,恢复你的默认输入法!
如果你的win2000系统装了officeXP或以上版本,它会在你和系统里留下一个可误的ctfmonexe,这真的是一个恶魔,曾经困扰了无数的网友。今天我决意执起正义之剑,斩妖除魔,还网友一个纯洁的中英文输入空间!
在对它行刑之前,我先来宣读一下他的罪状:
1 无论你打开什么窗口,总会弹出一个输入法工具体,并且默认是中文输入,非常讨厌。
2 它替换了原来的区域和输入法设置,并以一个文字服务的设置取而代之,而且不能设置默认的输入法。
3 结束掉原来的输入法工具进程internatexe,并令他不能在开机时起动。
4 将自己放在开机时启动的程序列表中,除非修改注册表,否则无法去除。
5 像病毒一样有重生能力,当你把ctfmonexe删了以后,他又会随着Office的启动而重新生成。
6 当你结束了ctfmonexe后,经常会出现输入法切换快捷键乱掉的情况。
好,经最高程序员审判庭批准,现对ctfmonexe执行死行,立即执行!
第一步:右击任务栏空白处,点“任务管理器”。
第二步:找到ctfmonexe,并终止它。
第三步:在系统目录下的system32目录下找到ctfmonexe,删除掉。
第四步:写一个最简单的api程序(代码见附录),编译后放到ctfmonexe所在目录,并更名为ctfmonexe。
第五步:点击“开始”菜单,点击“运行”,输入internatexe后点击确定。
第六步:重起计算机。
⒂、explorerexe
是一个系统环境进程
它是控制系统在某个环境下正常运行的进程.
比如,如果把这个进程删除,你将会看到桌面空白一片 所有图标和任务栏都不见了.它就是控制这些能正常工作的进程!
⒃、wuaucltexe
是Windows XP的自动更新进程卡巴斯基的主动防御很严格,卡巴报警是因为像wuaucltexe这些无毒的软件运行时需要注入其它进程,这种行为是入侵行为,因为它未经允许,同时把这些软件定义为风险软件。 风险软件不一定是病毒,几乎100%的软件不可能独立运行,都需要其他程序的支持,注入行为不可避免,类似的报警行为还有禁止访问注册表,自行运行浏览器(很多软件安装完之后都会弹出自己的网站)等等。 关闭卡巴斯基的主动防御功能,就可以了....你若想让卡巴斯基的主动防御功能开启,那你就等更新完成了再开启.
⒄、SRCDNotiexe:
是超级兔子魔法设置相关程序
所在位置::\Program Files\Super Rabbit\MagicSet\SRCDNotiexe(为你的安装盘)
呵呵。最后还是建议你重装下系统吧。那么多的问题,要是偶,早就烦死了。呵呵
二十年最强悍病毒排行榜
自从第一个计算机病毒爆发以来,已经过去了20年左右的时间。《InformationWeek》最近评出了迄今为止破坏程度最为严重的十大病毒。
上个世纪80年代上半期,计算机病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后, “大脑” (Brain)病毒出现了。1986年年初,人们发现了这种计算机病毒,它是第一个PC病毒,也是能够自我复制的软件,并通过52英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。
CIH
估计损失:全球约2,000万~8,000万美元,计算机的数据损失没有统计在内。
CIH病毒1998年6月爆发于中国,是公认的有史以来危险程度最高、破坏强度最大的病毒之一。
CIH感染Windows 95/98/ME等操作系统的可执行文件,能够驻留在计算机内存中,并据此继续感染其他可执行文件。
CIH 的危险之处在于,一旦被激活,它可以覆盖主机硬盘上的数据并导致硬盘失效。它还具备覆盖主机BIOS芯片的能力,从而使计算机引导失败。由于能够感染可执行文件,CIH更是借众多软件分销商之力大行其道,其中就包括Activision游戏公司一款名为“原罪”(Sin)游戏的演示版。
CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日,因此它也被称为切尔诺贝利病毒。但它不会感染Windows 2000/XP/NT等操作系统,如今,CIH已经不是什么严重威胁了。
梅利莎(Melissa)
损失估计:全球约3亿~6亿美元
1999 年3月26日,星期五,W97M/梅利莎登上了全球各地报纸的头版。估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司(Intel)、微软公司(Microsoft,下称微软)、以及其他许多使用Outlook软件的公司措手不及,为了防止损害,他们被迫关闭整个电子邮件系统。
梅利莎通过微软的Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。
该邮件包含以下这句话:“这就是你请求的文档,不要给别人看”,此外夹带一个Word文档附件。而单击这个文件(成千上万毫无疑虑的用户都是这么做的),就会使病毒感染主机并且重复自我复制。
更加令人恼火的事情还在后头——一旦被激活,病毒就用动画片《辛普森一家》(The Simpsons)的台词修改用户的Word文档。
我爱你(ILOVEYOU)
损失估计:全球约100亿~150亿美元
又称情书或爱虫。它是一个Visual Basic脚本,设计精妙,还有令人难以抗拒的诱饵——爱的诺言。
2000年5月3日,“我爱你”蠕虫病毒首次在香港被发现。
“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-YouTXTvbs”的邮件进行传输。和梅利莎类似,病毒也向Microsoft Outlook通讯簿中的联系人发送自身。
它还大肆复制自身覆盖音乐和文件。更可气的是,它还会在受到感染的机器上搜索用户的账号和密码,并发送给病毒作者。
由于当时菲律宾并无制裁编写病毒程序的法律,“我爱你”病毒的作者因此逃过一劫。
红色代码(Code Red)
损失估计:全球约26亿美元
“红色代码”是一种计算机蠕虫病毒,能够通过网络服务器和互联网进行传播。2001年7月13日,红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是,在此之前的六月中旬,微软曾经发布了一个补丁,来修补这个漏洞。
“红色代码”还被称为Bady,设计者蓄意进行最大程度的破坏。被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临wwwwormcom!”。随后,病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。
SQL Slammer
损失估计:由于SQL Slammer爆发的日期是星期六,破坏所造成的金钱损失并不大。尽管如此,它仍然冲击了全球约50万台服务器,韩国的在线能力瘫痪长达12小时。
SQL Slammer也被称为“蓝宝石”(Sapphire),2003年1月25日首次出现。它是一个非同寻常的蠕虫病毒,给互联网的流量造成了显而易见的负面影响。有意思的是,它的目标并非终端计算机用户,而是服务器。它是一个单包的、长度为376字节的蠕虫病毒,它随机产生IP地址,并向这些IP地址发送自身。如果某个IP地址恰好是一台运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件的计算机,它也会迅速开始向随机IP地址的主机开火,发射病毒。
正是运用这种效果显著的传播方式,SQL Slammer在十分钟之内感染了75万台计算机。庞大的数据流量令全球的路由器不堪重负,如此循环往复,更高的请求被发往更多的路由器,导致它们一个个被关闭。
冲击波(Blaster)
损失估计:20亿~100亿美元,受到感染的计算机不计其数。
对于依赖计算机运行的商业领域而言,2003年夏天是一个艰难的时期。一波未平,一波又起。IT人士在此期间受到了“冲击波”和“霸王虫”蠕虫的双面夹击。 “冲击波”(又称“Lovsan”或“MSBlast”)首先发起攻击。病毒最早于当年8月11日被检测出来并迅速传播,两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播,利用了Windows 2000/XP的一个弱点进行攻击,被激活以后,它会向计算机用户展示一个恶意对话框,提示系统将关闭。在病毒的可执行文件MSBLASTEXE代码中隐藏着这些信息:“桑(San),我只想说爱你!”以及“比尔盖茨(Bill Gates)你为什么让这种事情发生?别再敛财了,修补你的软件吧!”
病毒还包含了可于4月15日向Windows升级网站(Windowsupdatecom)发起分布式DoS攻击的代码。但那时,“冲击波”造成的损害已经过了高峰期,基本上得到了控制。
霸王虫(SobigF)
损失估计:50亿~100亿美元,超过100万台计算机被感染。
“冲击波”一走,“霸王虫”蠕虫便接踵而至,对企业和家庭计算机用户而言,2003年8月可谓悲惨的一月。最具破坏力的变种是SobigF,它 8月19日开始迅速传播,在最初的24小时之内,自身复制了100万次,创下了历史纪录(后来被Mydoom病毒打破)。病毒伪装在文件名看似无害的邮件附件之中。被激活之后,这个蠕虫便向用户的本地文件类型中发现的电子邮件地址传播自身。最终结果是造成互联网流量激增。
2003年9月10日,病毒禁用了自身,从此不再成为威胁。为得到线索,找出SobigF病毒的始作俑者,微软宣布悬赏25万美元,但至今为止,这个作恶者也没有被抓到。
Bagle
损失估计:数千万美元,并在不断增加
Bagle是一个经典而复杂的蠕虫病毒,2004年1月18日首次露面。这个恶意代码采取传统的机制——电子邮件附件感染用户系统,然后彻查视窗(Windows)文件,寻找到电子邮件地址发送以复制自身。
Bagle (又称Beagle)及其60~100个变种的真正危险在于,蠕虫感染了一台计算机之后,便在其TCP端口开启一个后门,远程用户和应用程序利用这个后门得到受感染系统上的数据(包括金融和个人信息在内的任何数据)访问权限。据2005年4月,TechWebcom的一篇文章称,这种蠕虫“通常被那帮为了扬名而不惜一切手段的黑客们称为‘通过恶意软件获利运动’的始作俑者”。
BagleB变种被设计成在2004年1月28日之后停止传播,但是到目前为止还有大量的其他变种继续困扰用户。
MyDoom
损失估计:在其爆发的高峰期,全球互联网的速度性能下降了10%,网页的下载时间增加了50%。
2004 年1月26日几个小时之间,MyDoom通过电子邮件在互联网上以史无前例的速度迅速传播,顷刻之间全球都能感受到它所带来的冲击波。它还有一个名称叫做 Norvarg,它传播自身的方式极为迂回曲折:它把自己伪装成一封包含错误信息“邮件处理失败”、看似电子邮件错误信息邮件的附件,单击这个附件,它就被传播到了地址簿中的其他地址。MyDoom还试图通过P2P软件Kazaa用户网络账户的共享文件夹来进行传播。
这个复制进程相当成功,计算机安全专家估计,在受到感染的最初一个小时,每十封电子邮件就有一封携带病毒。MyDoom病毒程序自身设计成2004年2月12日以后停止传播。
震荡波(Sasser)
损失估计:数千万美元
“震荡波”自2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了系统。
与先前多数病毒不同的是,“震荡波”的传播并非通过电子邮件,也不需要用户的交互动作。
“震荡波”病毒是利用了未升级的Windows 2000/XP系统的一个安全漏洞。一旦成功复制,蠕虫便主动扫描其他未受保护的系统并将自身传播到那里。受感染的系统会不断发生崩溃和不稳定的情况。
“震荡波”是德国一名17岁的高中生编写的,他在18岁生日那天释放了这个病毒。由于编写这些代码的时候他还是个未成年人,德国一家法庭认定他从事计算机破坏活动,仅判了缓刑。
边栏1:病毒纪年
1982
Elk Cloner病毒是实验室之外诞生的最早的计算机病毒之一。该病毒感染了当时风靡一时的苹果II型(Apple II)计算机。
1983
早 期的病毒研究人员,佛瑞德科恩(Fred Cohen),提出了“计算机病毒”(Computer Virus)的概念,并将其定义为“是一类特殊的计算机程序,这类程序能够修改其他程序,在其中嵌入他们自身或是自身的进化版本,从而来达到“感染”其他程序的目的。”
1986
“大脑”(Brain)病毒出现。这是一种启动区病毒,当计算机重启时,通过A驱动器中的软盘传播。该病毒不仅是最早的PC病毒,还是第一例隐蔽型病毒—被感染的磁盘并不会呈现明显症状。
1987
“李海”(Lehigh)病毒最早在美国的李海大学(Lehigh University)被发现。该病毒驻留内存,而且是第一个感染可执行文件的病毒。
同年,商业杀毒软件登上历史舞台,其中包括约翰迈克菲(John McAfee)的VirusScan和罗斯格林伯格(Ross Greenberg)的Flu_Shot。
1988
这一年诞生了最早在Mac系统传播的病毒,MacMag病毒和Scores病毒。
同年出现的Cascade病毒是第一个经加密后难以删除和修改的病毒。
第 一个广泛传播的蠕虫病毒是“莫里斯的蠕虫”(Morris Worm)病毒。蠕虫是病毒的一种,它们通过外界资源,比如互联网或是网络服务器,传播自身。美国国内一位著名计算机安全顾问的儿子,罗伯特T莫里斯 (Robert T Morris),将该病毒从麻省理工学院(MIT)释放到了互联网上。但是,他声称这一切纯属意外。
1989
“黑暗复仇者”(Dark Avenger)/“埃迪”(Eddie)病毒是最早的反杀毒软件病毒。该病毒会删除部分杀毒软件。
“费雷多”(Frodo)病毒出现。这个病毒感染文件后具有一定隐蔽性,当用户对被感染计算机进行目录列表检查时,被感染文件的大小也不会发生改变,极具隐蔽性。
1990
出 现了众多杀毒软件,其中包括沃尔夫冈斯蒂勒(Wolfgang Stiller)的“整合专家”(Integrity Master),帕姆凯恩(Pam Kane)的“熊猫反病毒”(Panda Anti-Virus)工具,以及雷格雷斯(Ray Clath)的Vi-Spy软件。到此时,杀毒程序作者和病毒制造者已经开始展开了全面的较量。
变形病毒出现。这些病毒随机改变特征,同时对自身进行加密,从而避免被发现。最早的此类病毒可能是1260/V2P1病毒。
加壳病毒(Armored Virus)首次出现。此类病毒很难分解。比如防护能力极强的顽固病毒,“鲸鱼”(Whale)病毒。
1991
“特奎拉”(Tequila)病毒出现。特奎拉具有隐蔽性,属于复合型态,具备保护外壳,同时会对自身变换加密,每次感染时都会采用不同的密钥。该病毒攻击主引导记录。主引导记录一旦被感染就会随之感染其他程序。
一种名为病毒制造实验室(Virus Creation Lab)的病毒软件编写工具库催生了一系列病毒。但是大多数该类病毒都充满漏洞,而无法制造真正的威胁。
复合型DAMN病毒由“黑暗复仇者变形引擎”(Dark Avenger Mutation Engine)编写,并且在1992年大行其道。
1992
“米开朗基罗”(Michelangelo)病毒出现后感染所有类型的磁碟。但是,该病毒的散播范围比媒体预先估计的要小一些。
1993
当年出现的Satanbug/Little Loc/Natas病毒是同一个病毒的不同变种。
Satanbug病毒具有很强的反杀毒软件功能:该变种能够检查到四种杀毒软件,并且破坏相关磁碟。这是杀毒软件研究人员历史上第一次和美国联邦调查局(FBI)联手逮捕并且起诉了这个还是孩子的病毒编写者
1994
危害相对较小的KAOS4病毒出现在一个色情新闻组之中,并且很快通过COMSPEC/PATH环境变量传遍全球。这是第一个利用环境变量来定位潜在攻击对象目录的病毒。
1995
第一个宏病毒出现。宏病毒利用软件自带的编程语言编写来传播,比如微软公司(Microsoft,下称微软)的Word、Excel和Access。
1996
Laroux/Excel宏病毒利用微软为应用软件宏语言环境设计的新型Visual Basic语言,进行大范围自我复制。但是该病毒危害非常有限。
Boza病毒出现并且感染了曾号称百毒不侵的Windows 95操作平台。
Staag病毒这一年出现并且感染了当时刚刚诞生不久的Linux操作系统。
1998
StrangeBrew病毒在Java环境下传播和发作。这是一个概念性病毒,没有攻击性。
危险的CIH病毒现身后感染了视窗(Windows)可执行文件,覆盖了硬盘和BIOS数据,并且让无数计算机系统瘫痪。这个别名为 “Chernobyl” 的病毒在全球范围内造成了2,000万~8,000万美元的经济损失。CIH病毒对中国用户发起大规模的进攻,受损计算机超过几十万台。
1999
毁灭性的梅利莎(Melissa)Word 97宏病毒是目前为止传播得最快的一种病毒。这个以一个脱衣舞女命名的病毒是群发邮件病毒的鼻祖。
蠕虫病毒开始产生比普通病毒更大的危害。“泡沫男孩”(Bubble Boy)病毒是第一个在用户打开电子邮件附件之前就感染系统的蠕虫病毒。在邮件被浏览之时,蠕虫病毒已经开始暗中传播。
2000
我爱你(ILoveYou)病毒,又称情书或爱虫,也是群发邮件病毒。被感染的计算机会向邮件地址簿中的所有人发送包含病毒的电子邮件。
借助人们对于情书的好奇心,该病毒迅速传遍全球,造成了大范围的电子邮件阻塞和企业亿万美元的损失。
第一次分布式拒绝服务(DoS)攻击同时侵袭了亚马逊公司(Amazon)、电子港湾公司(eBay)、谷歌公司(Google)、雅虎公司(Yahoo)和微软的网站,攻击长达数小时之久。
2001
Sircam蠕虫病毒把被感染电脑的个人文档和数据文件通过电子邮件四处发送。但是由于该病毒文件比较大,限制了自身的传播速度。
“尼姆达”(Nimda)病毒利用复杂的复制和传染技术,在全球范围内感染了数十万台计算机。
“坏透了”(BadTrans)蠕虫病毒可以截获并且向病毒作者传回受感染用户的信用卡信息和密码。但是该病毒聪明的自我复制机制在真正发挥作用之前就被防病毒软件发现,并且在其大范围传播之前被追踪清除。
2002
梅利莎病毒的编写者大卫史密斯(David L Smith)被判处在联邦监狱服刑20个月。
2003
SQL Slammer蠕虫病毒在十分钟内攻击了75万台计算机,几乎每十秒钟就将攻击数量翻倍。虽然病毒没有造成直接伤害,但是该蠕虫病毒让网络服务器过载,全球内互联网阻塞。
“冲 击波”(Blaster)蠕虫病毒在8月11日攻击了Windows 2000和Windows XP一个已经推出补丁的安全漏洞,让数十万台来不及打补丁的计算机陷入瘫痪。该病毒的最终目的是利用受感染的计算机在8月15日发动一次针对 Windowsupdatecom的分布式DoS攻击,但是病毒的危害到当天已经基本被控制。
我国的北京、上海、广州、武汉、杭州等城市也遭到了强烈攻击,从11日到13日,短短三天间就有数万台电脑被感染,4,100多个企事业单位的局域网遭遇重创,其中2,000多个局域网陷入瘫痪,对相关机构的电子政务、电子商务工作产生了伤害,造成了巨大的经济损失。
“霸王虫”(SobigF)是一个群发邮件病毒,通过不安全的网络共享感染系统。该病毒传播迅速,24小时之内自我复制超过百万次。“霸王虫” 病毒大规模爆发,波及亚洲、美洲和澳洲等地区,致使我国互联网大面积感染。这次比“冲击波”病毒更加强劲,截至8月14日22时,我国受袭击的局域网数量已增加到 5,800个。
参考资料:
0条评论