Posts Tagged ‘病毒’

超级病毒震网袭击伊朗核电站

星期一, 十月 4th, 2010

荀子在《劝学》中道:青,取之于蓝,而青于蓝;冰,水为之,而寒于水。黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。

  荀子在《劝学》中道:青,取之于蓝,而青于蓝;冰,水为之,而寒于水。黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙,对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。

  随着互联网不断扩张与升级,黑客魔爪已经从互联网延伸至汽车(相关阅读:红色警报!黑客入侵会导致汽车刹车失灵)、电网甚至成为国家之间战争的机器。在这个网民安全意识不够成熟、安全防护措施还不完善的黑产业无比红火的年代,在金钱与利益的驱动下,黑客越来越黑,病毒越来越毒。

  病毒与黑客成未来战争中的枪炮与士兵

  网络成为未来战争的兵家必争平台之一,在对未来战争规模的判断上,美国和俄罗斯的军事专家都认为爆发全面核战争的可能性几乎为零,未来战争将是综合性高技术的“非接触战争”,单靠某一种技术、某一种武器装备、某一种领域的优势,将很难左右武装冲突的结局。网络战和电子战固然将在未来战争中占据重要地位,但只有二者的结合即信息化战争,才是未来的主要战争形式。

病毒与黑客成未来战争中的枪炮与士兵

“军人是战争的主人,战争是为军人创造的”,这句话在未来战争中将不再适用。一些掌握尖端技术的“不穿军装的人”将在未来战场以外的地方决定着战争结局。这也许是新世纪新战争的最大特点。美国国防部现在已经开始网罗计算机“黑客”,准备在未来战争中将其用于瘫痪敌方计算机和通信指挥系统。

  近日,计算机安全专家发现了一种威力巨大的“网络蠕虫病毒”。在对这种名为“震网”的病毒进行了深入分析后,越来越多的人相信,这可能是全球第一种投入实战的网络武器,它的打击对象或许就是饱受西方谴责的伊朗布舍尔核电站。

  伊朗半官方的通讯社报道,该国核能机构正采取一切必要措施来清除入侵电脑系统的“蠕虫病毒”。外界普遍认为,该病毒可能系伊朗的敌人专门为破坏布舍尔核电站而“量身定做”的。据悉,这种病毒在今年7月被德国计算机专家确认。除伊朗外,该病毒还在印度、美国和印度尼西亚境内兴风作浪。

  《基督教科学箴言报》报道,这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
与传统的电脑病毒相比,“震网”病毒不会通过窃取个人隐私信息牟利。由于它的打击对象是全球各地的重要目标,且无需借助网络连接进行传播,因此被一些专家定性为全球首个投入实战舞台的“网络武器”。一旦这种软件流入黑市出售,其后果将不堪设想。美国国土安全部也成立专门机构应对“震网”病毒。

  由于“震网”病毒结构非常复杂,因此它应该是一个“受国家资助高级团队研发的结晶”。它不再以刺探情报为己任,而是能根据指令,分辨和破坏某些“极具争议”的要害目标。目前,全球已有至少4.5万个工业控制系统遭“震网”病毒光顾,对那些不属自己打击对象的系统,“震网”会在留下“电子指纹”后离开,继续寻找真正目标。

  据推测,负责建设布舍尔电站的俄罗斯工程技术人员所使用的U盘可能是本次病毒传播的重要渠道。目前还不清楚本次“蠕虫风波”是否会对该核电站在今年10月投入运行产生严重影响。很多电脑专家怀疑,美国和以色列或许就是“震网”病毒的幕后运作者,但始终没人公开出面证实或者否认此事。

  另据报道,伊朗总统内贾德25日则表示,如果西方国家能向伊境内核电站提供原料,该国可以考虑停止加工丰度为20%的浓缩铀。今年2月,由于未能同西方国家就上述问题达成一致,内贾德下令伊朗开始生产20%的浓缩铀。目前,伊朗能生产的浓缩铀丰度只有3.5%。西方国家认为,伊朗以开发核能为幌子研究核弹。

  针对这种说法,伊朗严词否认该国有意谋取核弹的传闻,并强调自己只是为了发电和其他民用需求才研究核能。外界普遍认为,伊朗需要取得丰度为90%的超浓缩铀才能取得加工核弹所需要的原料。

  据英国《每日邮报》报道,日前,世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒,其目的可能是要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料,按照计划,它本应在今年8月开始运行。

  “蠕虫”是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。这种Stuxnet病毒于今年6月首次被检测出来,是第一个专门攻击真实世界中基础设施的“蠕虫”病毒,比如发电站和水厂。目前互联网安全专家对此表示担心。
一些专家认为,Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括上个月竣工的布什尔核电站。它在入侵一台个人电脑后,会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件。它通过对软件重新编程实施攻击,给机器编一个新程序,或输入潜伏极大风险的指令。专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。

  卡巴斯基的高级安防研究员戴维·爱姆说,Stuxnet与其它病毒的不同之处,就在于它瞄准的是现实世界。他们公司已经和微软联手,查找程序中的编码漏洞,防止新病毒找到它。

  爱姆说,通常的大部分病毒像个大口径短枪到处开火,而Stuxnet像个狙击手,只瞄准特定的系统。一旦它们发现了编码缺陷,就好比找到了房子上的天窗,然后用一把羊头镐撬开一个更大的洞。Stuxnet被设计出来,纯粹就是为了搞破坏。

  德国网络安全研究员拉尔夫·朗纳已经破解了Stuxnet的编码,并将之公布于众。他坚信Stuxnet被设计出来,就是为了寻找基础设施并破坏其关键部分。他说,这是一种百分之百直接面向现实世界中工业程序的网络攻击。它绝非所谓的间谍病毒,而是纯粹的破坏病毒。

  朗纳说,Stuxnet病毒的高端性,意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据,它的意图很明显,就是执行破坏性攻击,毁掉大量的内部信息。这并非某个坐在父母家里的地下室里的骇客能干得出来的,这种攻击的来源指向的是一个国家。Stuxnet很可能已经攻击了它的目标,只不过我们还没有接到消息而已。

  近日,某国内知名安全公司监测到一个席卷全球工业界的病毒已经入侵我国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近 500万网民、及多个行业的领军企业遭此病毒攻击。某国内知名安全软件公司反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。

  某国内知名安全软件公司专家表示,这是世界上首个专门针对工业控制系统编写的破坏性病毒,它同时利用包括MS10-046、MS10-061、MS08-067等 7个最新漏洞进行攻击。这7个漏洞中,有5个是针对windows系统,2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中,目前有两个本地提权漏洞仍未修复。
该病毒通过伪装RealTek 与JMicron两大公司的数字签名,从而顺利绕过安全产品的检测。从编写手法上看,该病毒还有很大的改进余地,将来很可能出现同样原理的复杂病毒。

  据某国内知名安全软件公司技术部门分析,Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控,一旦攻击成功,则可能造成使用这些企业运行异常,甚至造成商业资料失窃、停工停产等严重事故。

  该病毒主要通过U盘和局域网进行传播,由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝,因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理,导致有人在局域网内使用了带毒U盘,则整个网络都会被感染。

  Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。截至目前,Stuxnet病毒已经感染了全球超过 45000个网络,伊朗、印尼、美国、台湾等多地均不能幸免,其中,以伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。

  据悉,早在今年7月,某国内知名安全软件公司就监测到了Stuxnet的出现,一直进行跟踪并积极研发出了解决方案,某国内知名安全软件公司安全专家提醒广大政府及企业级用户:一定要严格限制U盘在密级网络中的应用,如果必须使用的,则应该建立使用登记和责任追究制度。另外,某国内知名安全软件公司杀毒软件网络版也针对此病毒,提供了完善的U盘病毒预防、网络内安全管理、恶性病毒扫描等全套解决方案。

超级病毒-震网

星期一, 十月 4th, 2010

国家计算机病毒应急处理中心3日发布信息称,通过互联网络监测发现,一种利用微软公司漏洞的新型病毒“震网”(也称超级病毒,Stuxnet)出现,提醒用户小心谨防。

  国家计算机病毒应急处理中心提出4条应对措施:1、对重要部门的工业系统组织开展安全检查,并做好应急防范工作;2、安装微软公司MS10-046、MS08-067、MS10-061漏洞补丁程序;3、采取严格的技术和管理手段,规范移动存储介质的使用,阻止该病毒利用移动存储介质进行传播;4、关闭默认共享C$和admin$。可用netshareadmin$/del或netsharec$/del命令行实现关闭默认共享,阻止病毒在局域网中传播。
专家说,该病毒可以通过移动存储介质和局域网进行传播,并且利用西门子公司控制系统存在的漏洞感染数据采集与监视控制系统。后者广泛用于能源、交通、水利等系统,一旦遭受病毒侵害,会严重影响正常的生产和生活。

疑是手机病毒:上72ub

星期四, 四月 22nd, 2010

casino online wp-image-268″ />

2010年04月23日凌时晨开始,很多QQ用户群里都收到无数这样的信息,”上72ub com 有惊喜”,发送用户全部是一些手机登录QQ的用户,在网上也有很多人在反映这个问题.所以有理由怀疑这是一个专门针对手机用户的病毒在发作.又是一个靠病毒进行推广的案例.
建议发生上边问题的手机用户安装专门的手机病毒防护软件进行查杀.

鬼影病毒清除方法

星期四, 三月 18th, 2010

3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。
以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
金山安全反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
  李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
“鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。
  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。
  金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
该病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR- rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。
一、简介
  该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒。
  二、具体行为
  1、该病毒伪装为某共享软件,欺骗用户下载安装。
  病毒文件中包含3部分文件:
  A、原正常的共享软件。
  B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。
  C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。
  2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。
  3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
  4,病毒母体自删除。
  5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。
  6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
  7,b驱动会下载av终结者到电脑中,并运行。
  8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
  三、小结
  “鬼影”病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。
MBR(Master Boot Record),中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
  电脑系统开机过程介绍:
  开启电源开机自检–>主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动–>系统BIOS将主引导记录(MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。
[编辑本段]鬼影病毒的正确处理方法:
   关于“鬼影”这个病毒,我不想在这里敖述了,大家可以自己从网上去看一下,我这里只告诉大家怎样去治疗和预防。
  首先当你已经中了这个病毒了,那么你也不用紧张,这个病毒虽然传说是就算重装也不能删除的,这只是方法不对而已。所以才会重装后病毒还会继续发作的原因,下面我就告诉大家来治疗鬼影病毒的方法。
  首先,格式化C盘,再进入dos状态,运行fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步。
  1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的
  2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
  3、 直接用GHOST系统盘安装系统就OK了。[4] 
在WINDOWS时代之所以很少见,并不是因为做不到——早在1998年,CIH就告诉病毒编写者如何利用驱动技术绕开WINDOWS的核心保护机制——而是因为这么做的投入产出不成比例。DOS下的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠MBR了;而WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动MBR,这纯属费力不讨好。其实从这点就可以看出,写WINDOWS下的病毒木马,技术门槛比DOS下要低一些。
  不过这个病毒作者还是有一点创意:他将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中,这样就解决了自身代码在WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。
  解决这个病毒的方法其实也很简单,不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘,因为这样并不能修复MBR 而且根本不会改写MBR DBR DATA这三个区域,最简单明了的方法 使用windows系统安装盘自带的修复功能,按住R 键进入修复平台,稍等片刻-进入命令提示符-输入帐户名密码后 然后在命令提示符下输入Fixmbr 然后系统提示是否更新MBR主引导记录选择 是 并且再输入Fixboot 修复boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用WinPE工具箱进入WinPE系统 杀毒 就可以解决了。

Download

病毒的征兆

星期一, 一月 18th, 2010

文章来自kaspersky中国

被病毒感染的电脑有什么症状?
电脑被病毒感染并不总是一目了然的。在早期的病毒传播中,各种病毒、蠕虫、木马和间谍软件的始作俑者们就学会了用尽可能长的侵入周期来隐藏他们的恶意代码,并且消除这些程序在感染电脑时所留下的特征。这就是为什么我们一定要做到下面建议的这几点:安装网络安全软件、确保及时为操作系统安装安全补丁,并定期备份数据。
若要将被病毒感染的电脑症状一一列表是比较困难的,因为同样的症状有可能出自于软件或者硬件的问题。下面是一些实例:
你的电脑表现得有些奇怪,出现了一些你从来没有见过的状况。
你看到了一些出乎意料的信息或者图片。
你会突然听到奇怪的声音,事先没有什么征兆。
程序突然启动。
你的个人防火墙提示你有程序正在试图连接网络。(你并没有在运行这个程序)。
你的朋友告诉你他们接到了来自你的电子邮件,但事实上你并没有发送过。
你的电脑经常死机,或者程序运行非常缓慢。
你总是收到程序运行错误的报告。
当你开机的时候,操作系统并不运行。
你发现有一些文件或文件夹消失或被修改。
你的硬盘一直处于读取的状态(电脑机箱上的提示灯一直闪烁),而你并没有发现任何程序在运行。
你的浏览器运行有些反常,比如你无法关上浏览器的窗口。

我们应该怎么做?
断开计算机的互联网连接。
如果你的操作系统无法运行,请在安全模式下启动电脑(开启电脑的同时开始按F8,之后在出现的菜单中选择“安全模式”),或者从应急CD中启动。
确认你的反病毒签名特征库是最新的。如果可能的话,不要使用你认为已经感染了病毒的这台计算机来下载更新,使用另一台电脑来做这件事(比如你朋友的电脑)。还有一点非常重要:如果你的电脑的确被病毒感染了,而你又把它连接到了互联网上,那么恶意程序很有可能会远程发送一些你的重要信息到黑客手上,或者直接把它自己发送到你地址薄里面存储的邮箱地址中。
如果你在清理恶意程序的过程当中遇到了任何问题,请登陆你的网络安全供应商的网站,获取一些有针对性的实用方法来清理一些特定的恶意程序。
如果发现了恶意程序,请遵照你的网络安全供应商提供的指南来做。好的安全程序会请你选择是否清理被感染的目标,或者将可能受到感染的目标隔离,然后清除蠕虫和木马。它们还会创建一份报告,详细列出了受到感染的文件名称和在电脑中发现的所有恶意程序。
如果你的安全软件在电脑中找不到任何恶意程序,你的电脑可能并没有被感染。请检查电脑的硬件和安装在电脑中的软件(卸载没有许可证的软件和垃圾文件),确认你已经安装了最新的操作系统及应用程序补丁。
有必要的话,请联系你的网络安全供应商的技术支持部门,请他们给你一些更专业的建议。你也可以询问他们如何提交病毒样本,让专业的病毒研究员进行分析。