Ejemplo de los peligros de los virus informáticos y las medidas preventivas efectivas que se deben tomar.
De dónde vienen los virus
Como soy escritor de TI, trato con editores y proveedores de software de forma regular. Un buen amigo mío, editor senior de Computerworld, me dijo una vez que la mayoría de los virus son desarrollados por las propias empresas de software antivirus y que "tienen métodos más inteligentes". El editor no dijo qué significaba eso. Mi conjetura es más o menos así: se contratan creadores de virus temporales en Internet y el código fuente se comparte entre empresas de software antivirus****.
Anteriormente, algunas personas sospechaban que muchos virus de alta calidad no podían ser creados de manera tan exquisita por una sola persona. Sus estilos de control de versiones y división de código eran diferentes, como si fueran desarrollados por un equipo.
Más tarde, una vez escribí un manuscrito para Guanghua Anti-Virus Software Company. Era para la versión del teléfono móvil de Guanghua. No tenía una muestra de virus para teléfonos móviles, así que le pregunté al técnico de Guanghua. El técnico dijo que era un secreto de la empresa y que no me lo podían comunicar. Más tarde, me reveló que entre los más de 100 virus de teléfonos móviles, a excepción de algunos virus de teléfonos móviles populares que son bien conocidos en el mundo, nadie ha oído hablar del resto. Todos fueron desarrollados internamente por Guanghua. Sólo su software antivirus puede acabar con él.
El comportamiento predeterminado en toda la industria.
¡Imposible! ¡Así es Internet!
Se nota con los pelos de los pies que más de 60 virus son creados por los propios fabricantes de software antivirus. ¡Algunos son sólo de nombre, mientras que otros son sustanciales! En resumen, la falta de comprensión del virus por parte de nuestros consumidores es como un paciente que no sabe qué le pasa y el médico dice: "El veneno se ha ido".
El primer virus de la historia fue creado por una empresa de software para luchar contra la piratería.
La generación anterior de jugadores de ordenadores todavía debería recordar el escándalo del virus que estalló en el KV300. Jiangling ha agregado un virus al KV300, que se activará una vez que sea pirateado.
Conocimientos antivirus que debemos aprender "¿Cómo se nombran los virus?"
La mayoría de las veces, utilizamos software antivirus para descubrir las puertas traseras de nuestras máquinas. A medida que aumenta la cantidad de nombres de virus, algunas personas se sentirán confundidas en este momento. Con una lista tan larga de nombres, ¿cómo puedo saber qué virus es?
De hecho, siempre que dominemos algunas reglas de nomenclatura de los virus, podemos juzgar algunas características de los virus en función de los nombres de los virus que aparecen en los informes del software antivirus****: El formato general es: lt; prefijo de virus gt ;.lt;Nombre del virusgt;.lt;Sufijo de virusgt;
El prefijo de virus se refiere al tipo de virus, que se utiliza para distinguir la clasificación racial de los virus. Los distintos tipos de virus tienen distintos prefijos. Por ejemplo, el prefijo de nuestros virus troyanos comunes es Trojan, el prefijo de los virus gusanos es Worm, y así sucesivamente.
El nombre del virus se refiere a las características familiares del virus y se utiliza para distinguir e identificar la familia del virus. Por ejemplo, los famosos apellidos del virus CIH se unificaron como "CIH" y el nombre de. la familia de gusanos de ondas oscilantes era "Sasser".
Virus
El sufijo virus es una variante de un virus y se utiliza para distinguir variantes específicas dentro de una familia de virus. Generalmente se representa con 26 letras en inglés. Por ejemplo, Worm.Sasser.b se refiere a la variante B del gusano de ondas de choque, por lo que generalmente se le llama "variante de onda de choque B" o "variante de onda de choque B". Si el virus tiene muchas variantes, se puede utilizar una combinación de números y letras para representar el identificador de la variante.
A continuación se adjuntan explicaciones de algunos prefijos de virus comunes (para el sistema operativo Windows que utilizamos más):
1. Virus del sistema
Los virus del sistema tienen los siguientes prefijos: Win32, PE, Win95, W32, W95, etc. Estos virus generalmente son **** y tienen la característica de poder infectar archivos *.exe y *.dll del sistema operativo Windows y propagarse a través de estos archivos. Como el virus CIH.
2. Virus gusano
El prefijo de virus gusano es: Este tipo de virus tiene la característica de propagarse aprovechando las vulnerabilidades de la red o del sistema. La mayoría de los virus gusano tienen la capacidad de enviar características. de correos electrónicos venenosos y bloqueo de red. Como onda de choque (bloqueando la red), pequeño cartero (enviando correo venenoso), etc.
3. Virus troyano, virus hacker
El nombre del prefijo del virus troyano es: El nombre del prefijo del virus troyano y del virus hacker es generalmente Hack. El virus troyano **** tiene la característica de ingresar al sistema del usuario a través de vulnerabilidades de la red o del sistema, ocultarlo y luego filtrar información del usuario al mundo exterior, mientras que el virus hacker tiene una interfaz visual y puede controlar de forma remota la computadora del usuario. Los virus troyanos y los virus piratas suelen aparecer en pares, es decir, el virus troyano es responsable de invadir la computadora del usuario y el virus pirata está controlado por el virus troyano. Actualmente, estos dos tipos de troyanos se fusionan cada vez más. Los troyanos comunes incluyen el troyano de cola de mensaje QQ, Trojan.QQ3344, y es posible que encuentre más virus troyanos dirigidos a juegos en línea, como Trojan.LMir.PSW.60. Cabe agregar aquí que el PSW o PWD en el nombre del virus generalmente indica que el virus tiene la función de robar contraseñas (estas letras generalmente son la abreviatura de "contraseña" en inglés) y algunos programas piratas como: Network. Cliente), etc.
4. Virus script
El prefijo de virus script es: virus script**** Tiene las características de los virus escritos en lenguaje script y se propagan a través de páginas web, como por ejemplo. código rojo (Script .Redlof). Los virus de script también tienen los siguientes prefijos: VBS, JS (que indica qué script utilizar), como Happytime (VBS.Happytime), Fortnight (Js.Fortnight.c.s), etc.
5. Virus de macro
De hecho, el virus de macro también es un tipo de virus de script. Debido a su particularidad, aquí se considera una categoría separada. El prefijo de un virus de macro es: macro, y el segundo prefijo es uno de Word, Word97, Excel, Excel97 (y tal vez otros). Cuando los virus que solo infectan documentos WORD de WORD97 y versiones anteriores usan Word97 como segundo prefijo, el formato es: Macro.Word97; cuando los virus que solo infectan documentos WORD de versiones posteriores a WORD97 usan Word como segundo prefijo, el formato es: Macro; Word97: el virus de documentos Macro.Word97EXCEL usa Excel97 como segundo prefijo y el formato es Macro.Excel97. Entre ellos, solo el virus de documentos EXCEL después de la versión EXCEL97 usa Excel como segundo prefijo y el formato es: Macro.Excel. : Macro.Excel, con Y así sucesivamente. Este tipo de virus se caracteriza por poder infectar documentos de la serie OFFICE para luego propagarse a través de plantillas generales de OFFICE, como por ejemplo el famoso Macro.Melissa.
6. Virus de puerta trasera
El prefijo de virus de puerta trasera es: Este tipo de virus tiene las características de propagarse a través de la red para abrir la puerta trasera del sistema y traer riesgos de seguridad al sistema. computadora del usuario.
7. Virus del programa de plantación de virus
Este tipo de virus se caracteriza por liberar uno o varios virus nuevos del cuerpo al directorio del sistema cuando se ejecuta, causando daños al liberar nuevos virus. . Por ejemplo, Glacier Seeder (Dropper.BingHe2.2C), MSN Shooter (Dropper.Worm.Smibag), etc.
8. Virus de programas destructivos
Los virus de programas destructivos tienen el prefijo Harm. Se caracterizan por un hermoso ícono que atrae a los usuarios a hacer clic en este tipo de virus. el virus Dañará directamente la computadora del usuario.
Por ejemplo: formatear la unidad C (Harm.formatC.f), comando asesino (Harm.Command.Killer), etc.
9. Virus Broma
El prefijo de Virus Broma es "Broma": también conocido como virus Broma. Este tipo de virus se caracteriza por utilizar sus hermosos íconos para atraer a los usuarios a hacer clic. Cuando los usuarios hacen clic en este tipo de virus, el virus realizará varias operaciones destructivas para asustar al usuario. De hecho, el virus no tiene ningún efecto en la computadora del usuario. . cualquier daño.
10.Virus Binder
El prefijo del virus Binder es: Binder. La característica de este tipo de virus es que el autor del virus utilizará programas de paquete específicos para empaquetar el virus con algunas aplicaciones como QQ e IE. En la superficie, es un archivo normal cuando el usuario ejecuta estos paquetes. virus, ejecutará la aplicación en la superficie y luego la ocultará. Cuando los usuarios ejecutan estos virus empaquetados, estas aplicaciones se ejecutarán en la superficie y luego ocultarán los virus empaquetados, causando daño a los usuarios. Por ejemplo: Binder.QQPass.QQBin, Binder.killsys, etc.
Los anteriores son los prefijos de virus más comunes. A veces también veremos algunos otros prefijos de virus menos comunes. Aquí hay una breve introducción:
DoS: dirigido al host o ataque DoS. en el servidor
Exploit: difundir automáticamente las propias vulnerabilidades del sistema de la otra parte o de uno mismo, o uno mismo es una especie de herramienta de desbordamiento
HackTool: Hacker Tool: Hacker Tool : Puede que no destruya su máquina, pero otros lo utilizarán para utilizarlo como sustituto para destruir las máquinas de otras personas.
Después de detectar el virus, puede utilizar el método anterior para determinar la situación básica del virus y estar al tanto de él. Cuando el software antivirus no puede detectar y eliminar troyanos automáticamente y usted planea utilizar métodos manuales, esta información le será de gran ayuda
Métodos generales para detectar y eliminar troyanos manualmente
1. Acerca de los troyanos
Un caballo de Troya es esencialmente un programa cliente/servicio de red. El principio del modelo de red cliente/servicio es que un host proporciona servicios (servidor) y otro host recibe servicios (cliente). El host como servidor generalmente abre un puerto y escucha de forma predeterminada. Si un cliente envía una solicitud de conexión (Solicitud de conexión) a este puerto del servidor, el programa correspondiente en el servidor se ejecutará automáticamente para responder a la solicitud del cliente. El programa se llama demonio. En el caso del troyano del que hablamos anteriormente, el terminal controlado es equivalente al servidor, el terminal controlador es equivalente al cliente y el terminal controlado proporciona servicios al terminal controlador.
2. Buscar troyanos
Debido a que los troyanos se basan en programas de control remoto, la máquina donde se encuentre el troyano tendrá un puerto específico. Generalmente, los sistemas utilizados por particulares sólo tienen tres puertos: 137, 138 y 139 como máximo cuando están encendidos. Si se conecta, habrá otros puertos. Estos puertos se abrirán cuando la máquina se comunique con el host en línea. IE generalmente abrirá los puertos continuamente: 1025, 1026, 1027..., QQ abrirá 4000, 4001... y otros puertos.
Utilice el comando netstat -na desde la línea de comandos de DOS para ver todos los puertos abiertos en la máquina. Si descubre que, además de los puertos mencionados anteriormente, hay otros puertos ocupados (especialmente el puerto troyano), debe verificarlo con atención. ¡Es muy posible que "gane"! Por ejemplo, el puerto ocupado por el troyano "Glacier" es 7626, el puerto ocupado por Blackhole 2001 es 2001 y el puerto ocupado por Network Bull es 234444 ... Si encuentra que estos puertos están ocupados, básicamente puede juzgar que ¡Has sido infectado por un troyano!
3. Encuentre troyanos
En primer lugar, debe permitir que su sistema muestre archivos ocultos, porque los atributos de archivo de algunos troyanos están ocultos.
La mayoría de los troyanos se copiarán a sí mismos en el directorio del sistema y agregarán elementos de inicio (si no se copian en el directorio del sistema, serán fácilmente descubiertos. Los troyanos que no agreguen elementos de inicio no se ejecutarán al reiniciar ). Los elementos de inicio generalmente se agregan al registro y las ubicaciones específicas son las siguientes:
Todos los valores clave en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion comienzan con "ejecutar"; \Microsoft\Windows\CurrentVersion Default\Software\Microsoft\Windows\CurrentVersion;HKEY_USERS\."Ejecutar". El valor de la clave de inicio de 51 es:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Diagnostic Configuration"="C:\WINDOWS\SYSTEM\DIAGCFG. EXE "
El valor de la clave de inicio de Blue Flame 0.5 es:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run]
"Servicios de red" =" C:\\WINDOWS\\SYSTEM\tasksvc.exe"
Sin embargo, hay algunos programas troyanos que no se cargan en estos lugares. Están ocultos en los siguientes lugares:
<. p> ①En Win.iniEn el campo [Windows] de Win.ini, hay comandos de inicio "load=" y "run=". Generalmente, "=" va seguido de un espacio. "
Run=c:\windows\file.exe
load=c:\windows\file.exe
Cuidado, este archivo.exe es muy probablemente sea un troyano
② Inicie en System.ini
System.ini está ubicado en el directorio de instalación de Windows y el campo [arranque] shell=Explorer.exe es. una herramienta oculta que a los troyanos les gusta cargar. Ubicación de carga, el troyano normalmente cambiará esta frase a esta: shell=Explorer.exe Window.exe, donde window.exe es el troyano. Campo [386Enh] en System.ini Preste atención para marcar "driver= ruta\nombre del programa" en este campo. Este campo también puede ser utilizado por troyanos. Luego, hay tres campos [micrófono], [controladores] y [. drivers32] en System.ini, estos campos también desempeñan la función de cargar controladores, pero también son un buen lugar para agregar troyanos
③Cargar y ejecutar en Autoexec.bat y Config.sys
.Sin embargo, este método de carga generalmente requiere que el usuario de la consola establezca una conexión con el servidor. El programa troyano ha cargado el archivo con el mismo nombre cargado en el comando de inicio en el servidor para cubrir los dos archivos. La forma de este método no es muy encubierta, por lo que este método no es común, pero no debe tomarse a la ligera.
③ Utilice comandos troyanos con el mismo nombre de archivo cargado en el servidor para sobrescribir dos archivos. Este método no está muy oculto, por lo que este método no es común, pero no se puede tomar a la ligera.
④ Iniciar en Winstart.bat
Winstart.bat es un archivo por lotes especial nada menos que Autoexec.bat. Es un archivo que Windows puede cargar y ejecutar automáticamente. Se genera principalmente automáticamente para aplicaciones y Windows, y comienza a ejecutarse después de que Win.com se haya ejecutado y se hayan cargado la mayoría de los controladores (esto se puede hacer presionando la tecla F8 al inicio y luego seleccionando un método de inicio que rastree el paso del proceso de inicio). paso a paso para verlo). Dado que Winstart.bat puede completar las funciones de Autoexec.bat, el troyano se puede cargar y ejecutar exactamente como Autoexec.bat, lo que genera peligro.
⑤ Grupo de inicio
Los troyanos están ocultos en el grupo de inicio. Aunque no está muy oculto, es un buen lugar para la carga automática, por lo que a algunos troyanos les gusta quedarse aquí. La carpeta correspondiente al grupo de inicio es C:\Windows\Start Menu\Programs\StartUp La ubicación del registro es: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell Folders Startup="C:/windows/start menu\. programas \startup".
⑥*.INI
Es decir, el archivo de configuración de inicio de la aplicación. La consola utiliza las características de estos archivos para iniciar el programa y carga el archivo. con el mismo nombre que el comando de inicio del troyano Vaya al servidor y sobrescriba el archivo con el mismo nombre para lograr el propósito de iniciar el troyano.
⑦ Modificar asociaciones de archivos
La modificación de asociaciones de archivos es un método común utilizado por los troyanos (principalmente troyanos nacionales, la mayoría de los troyanos extranjeros no tienen esta función, por ejemplo, en circunstancias normales). El archivo txt abierto es un archivo Notepad .EXE, pero una vez que está en la asociación de archivos del troyano, el troyano modifica el archivo txt abierto para convertirlo en un archivo txt abierto. Por ejemplo, el famoso troyano Glacier utiliza este método para abrir. el troyano. Esto es lo que hace el troyano doméstico "Glacier". "Glaciar" se modifica modificando el valor clave en HKEY_CLASSES_ROOT\txtfile\shell\open\command, cambiando "C:\Windows\Notepad.exe 1" a "C:\Windows\Notepad.exe" 1", cambie "C :\Windows\Notepad.exe 1" a "C:\Windows\Notepad.exe 1". "Cambie a "C:\Windows\System\SYSEXPLR.EXE 1". De esta manera, una vez que haga doble clic en un archivo txt, el archivo que se abrió originalmente con el Bloc de notas ahora se convierte en el iniciador del programa troyano. ¡Qué cruel! Tenga en cuenta que no solo los archivos txt, sino también otros como HTM, EXE, ZIP, COM, etc., son objetivos de los troyanos. Para lidiar con este tipo de troyanos, solo puede verificar HKEY_CLASSES_ROOT\file type\shell. \open\command clave primaria para ver si el valor de la clave es normal
⑧Archivo incluido
Para lograr esta condición de activación, el troyano primero debe establecer una conexión con la consola y el servidor. y luego el usuario de la consola utiliza una herramienta para combinar el archivo troyano con una aplicación. Los programas se agrupan y luego se cargan en el servidor para sobrescribir los archivos originales, incluso si se elimina el troyano, se instalará. nuevamente mientras se ejecute la aplicación incluida con el troyano.
Si está vinculado a una aplicación (como un archivo del sistema), el troyano se iniciará cada vez que se inicie Windows.
Después de descubrir un archivo sospechoso, puede intentar eliminarlo, porque la mayoría de los troyanos se ejecutan en segundo plano y no se pueden encontrar presionando Ctrl Alt Supr, y lo que se ejecuta en segundo plano deberían ser procesos del sistema. Si no puede encontrarlo en el proceso de primer plano y no puede eliminarlo (dice que está en uso), entonces debe prestarle atención.
4. Borrado manual
Si descubre que su disco duro siempre lee los discos de manera inexplicable, la luz de la unidad de disquete a menudo se enciende sola y hay anomalías en la conexión de red y el mouse. pantalla, probablemente seas tú. Hay troyanos acechando en tu máquina. En este momento, deberías encontrar una manera de eliminarlos.
Entonces, ¿cómo eliminar troyanos sin borrar accidentalmente otros archivos útiles? Después de descubrir un programa sospechoso mediante el método anterior, primero puede verificar las propiedades del archivo. En términos generales, los archivos del sistema deberían haberse modificado en 1999 o 1998 y no deberían ser recientes (excepto en los sistemas que utilizan las últimas versiones de Win2000 y WinXP), y los archivos no deberían crearse muy cerca de ahora. Si el archivo ejecutable sospechoso que ve es reciente o incluso actual, significa que algo anda mal.
Primero verifique el proceso. Para verificar el proceso, puede usar software de terceros, como Windows Optimization Master, para usar su función "Ver proceso" para eliminar el proceso sospechoso y luego ver si el proceso. El puerto sospechoso original todavía está abierto (a veces es necesario reiniciar), si no, significa que su juicio es correcto y luego elimine el programa, de modo que elimine manualmente el caballo colgado. De esta manera puedes eliminar el troyano manualmente.
Si el troyano cambia la asociación de archivos TXT, EXE o ZIP, entonces necesita cambiar el registro. Si no sabe cómo cambiarlo, restaure el registro a la asociación de archivos que pueda hacerlo. restaurar antes. Puede ejecutar el comando scanreg/restore en DOS para restaurar el registro, pero este comando solo puede restaurar el registro de los cinco días anteriores (este es el valor predeterminado del sistema). Este comando puede restaurar fácilmente el registro modificado por troyanos). Este método puede restaurar fácilmente los valores de las claves de registro modificados por los troyanos y la operación es sencilla.