電腦后門病毒
電腦后門病毒
后門病毒的前綴是Backdoor。該類病毒的特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給用戶電腦帶來安全隱患。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的介紹!希望對你有幫助!
后門病毒:
2004年年初,IRC后門病毒開始在全球網(wǎng)絡(luò)大規(guī)模出現(xiàn)。一方面有潛在的泄漏本地信息的危險,另一方面病毒出現(xiàn)在局域網(wǎng)中使網(wǎng)絡(luò)阻塞,影響正常工作,從而造成損失。由于病毒的源代碼是公開的,任何人拿到源碼后稍加修改就可編譯生成一個全新的病毒,再加上不同的殼,造成IRC后門病毒變種大量涌現(xiàn)。還有一些病毒每次運(yùn)行后都會進(jìn)行變形,給病毒查殺帶來很大困難。
1概念編輯
當(dāng)一個訓(xùn)練有素的程序員設(shè)計一個功能較復(fù)雜的軟件時,都習(xí)慣于先將整個軟件分割為若干模塊,然后再對各模塊單獨(dú)設(shè)計、調(diào)試,而后門則是一個模塊的秘密入口。在程序開發(fā)期間,后門的存在是為了便于測試、更改和增強(qiáng)模塊的功能。當(dāng)然,程序員一般不會把后門記入軟件的說明文檔,因此用戶通常無法了解后門的存在。
按照正常操作程序,在軟件交付用戶之前,程序員應(yīng)該去掉軟件模塊中的后門,但是,由于程序員的疏忽,或者故意將其留在程序中以便日后可以對此程序進(jìn)行隱蔽的訪問,方便測試或維護(hù)已完成的程序等種種原因,實(shí)際上并未去掉。
這樣,后門就可能被程序的作者所秘密使用,也可能被少數(shù)別有用心的人用窮舉搜索法發(fā)現(xiàn)利用。
從早期的計算機(jī)入侵者開始,他們就努力發(fā)展能使自己重返被入侵系統(tǒng)的技術(shù)或后門。本文將討論許多常見的后門及其檢測方法。更多的焦點(diǎn)放在Unix系統(tǒng)的后門,同時討論一些未來將會出現(xiàn)Windows NT的后門。本文將描述如何測定入侵者使用的方法這樣的復(fù)雜內(nèi)容和管理員如何防止入侵者重返的基礎(chǔ)知識。當(dāng)管理員懂的一旦入侵者入侵后要制止他們是何等之難以后,將更主動于預(yù)防第一次入侵。
大多數(shù)入侵者的后門實(shí)現(xiàn)以下二到三個目的:
即使管理員通過改變所有密碼類似的方法來提高安全性,仍然能再次侵入。使再次侵入被發(fā)現(xiàn)的可能性減至最低。大多數(shù)后門設(shè)法躲過日志,大多數(shù)情況下即使入侵者正在使用系統(tǒng)也無法顯示他已在線。一些情況下,如果入侵者認(rèn)為管理員可能會檢測到已經(jīng)安裝的后門,他們以系統(tǒng)的脆弱性作為唯一的后門,重而反復(fù)攻破機(jī)器。這也不會引起管理員的注意。所以在這樣的情況下,一臺機(jī)器的脆弱性是它唯一未被注意的后門。
2運(yùn)行編輯
IRC病毒集黑客、蠕蟲、后門功能于一體,通過局域網(wǎng)共享目錄和系統(tǒng)漏洞進(jìn)行傳播。病毒自帶有簡單的口令字典,用戶如不設(shè)置密碼或密碼過于簡單都會使系統(tǒng)易受病毒影響。
病毒運(yùn)行后將自己拷貝到系統(tǒng)目錄下(Win2K/NT/XP操作系統(tǒng)為系統(tǒng)盤的system32,win9x為系統(tǒng)盤的system),文件屬性隱藏,名稱不定,這里假設(shè)為xxx.exe,一般都沒有圖標(biāo)。病毒同時寫注冊表啟動項(xiàng),項(xiàng)名不定,假設(shè)為yyy。病毒不同,寫的啟動項(xiàng)也不太一樣,但肯定都包含這一項(xiàng):
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
其他可能寫的項(xiàng)有:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy:xxx.exe
也有少數(shù)會寫下面兩項(xiàng):
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
此外,一些IRC病毒在2K/NT/XP下還會將自己注冊為服務(wù)啟動。
病毒每隔一定時間會自動嘗試連接特定的IRC服務(wù)器頻道,為黑客控制做好準(zhǔn)備。黑客只需在聊天室中發(fā)送不同的操作指令,病毒就會在本地執(zhí)行不同的操作,并將本地系統(tǒng)的返回信息發(fā)回聊天室,從而造成用戶信息的泄漏。
這種后門控制機(jī)制是比較新穎的,即時用戶覺察到了損失,想要追查黑客也是非常困難。病毒會掃描當(dāng)前和相鄰網(wǎng)段內(nèi)的機(jī)器并猜測登陸密碼。這個過程會占用大量網(wǎng)絡(luò)帶寬資源,容易造成局域網(wǎng)阻塞,國內(nèi)不少企業(yè)用戶的業(yè)務(wù)均因此遭受影響。
出于保護(hù)被IRC病毒控制的計算機(jī)的目的,一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統(tǒng)免受利用RPC漏洞傳播的其他病毒影響。
3清除編輯
所有IRC后門病毒都會在注冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下添加自己的啟動項(xiàng),并且項(xiàng)值只有文件名,不帶路徑,這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。
1、打開注冊表編輯器,定位到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run項(xiàng),找出可疑文件的項(xiàng)目。
2、打開任務(wù)管理器(按Alt+Ctrl+Del或在任務(wù)欄單擊鼠標(biāo)右鍵,選擇“任務(wù)管理器”),找到并結(jié)束與注冊表文件項(xiàng)相對應(yīng)的進(jìn)程。若進(jìn)程不能結(jié)束,則可以切換到安全模式進(jìn)行操作。進(jìn)入安全模式的方法是:啟動計算機(jī),在系統(tǒng)進(jìn)入Windows啟動畫面前,按下F8鍵(或者在啟動計算機(jī)時按住Ctrl鍵不放),在出現(xiàn)的啟動選項(xiàng)菜單中,選擇“Safe Mode”或“安全模式”。
3、接著打開“我的電腦”,在“工具”菜單下選擇“文件夾選項(xiàng)”,選擇“顯示所有文件”,然后點(diǎn)擊“確定”。再進(jìn)入系統(tǒng)文件夾,找出可疑文件并將它轉(zhuǎn)移或刪除,到這一步病毒就算清除了。
4、最后可手工把注冊表里病毒的啟動項(xiàng)清除,也可使用瑞星注冊表修復(fù)工具清除。
4比較編輯
后門程序,跟我們通常所說的"木馬"有聯(lián)系也有區(qū)別。
聯(lián)系在于:都是隱藏在用戶系統(tǒng)中向外發(fā)送信息,而且本身具有一定權(quán)限,以便遠(yuǎn)程機(jī)器對本機(jī)的控制。
區(qū)別在于:木馬是一個完整的軟件,而后門則體積較小且功能都很單一。
而且,在病毒命名中,后門一般帶有backdoor字樣,而木馬一般則是trojan字樣。
5建議編輯
1、建立良好的安全習(xí)慣。
不要輕易打開一些來歷不明的郵件及其附件,不要輕易登陸陌生的網(wǎng)站。從網(wǎng)上下載的文件要先查毒再運(yùn)行。
2、關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。
默認(rèn)情況下,操作系統(tǒng)會安裝一些輔助服務(wù),如FTP客戶端、Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便,而又對大多數(shù)用戶沒有用。刪除它們,可以大大減少被攻擊的可能性。
3、經(jīng)常升級安全補(bǔ)丁。
據(jù)統(tǒng)計,大部分網(wǎng)絡(luò)病毒都是通過系統(tǒng)及IE安全漏洞進(jìn)行傳播的,如:沖擊波、震蕩波、SCO炸彈AC/AD等病毒。如果機(jī)器存在漏洞則很可能造成病毒反復(fù)感染,無法清除干凈。因此一定要定期登陸微軟升級網(wǎng)站下載安裝最新的安全補(bǔ)丁。同時也可以使用瑞星殺毒軟件附帶的“瑞星漏洞掃描”定期對系統(tǒng)進(jìn)行檢查。
4、設(shè)置復(fù)雜的密碼。
有許多網(wǎng)絡(luò)病毒是通過猜測簡單密碼的方式對系統(tǒng)進(jìn)行攻擊。因此設(shè)置復(fù)雜的密碼(大小寫字母、數(shù)字、特殊符號混合,8位以上),將會大大提高計算機(jī)的安全系數(shù),減少被病毒攻擊的概率。
5、迅速隔離受感染的計算機(jī)。
當(dāng)您的計算機(jī)發(fā)現(xiàn)病毒或異常情況時應(yīng)立即切斷網(wǎng)絡(luò)連接,以防止計算機(jī)受到更嚴(yán)重的感染或破壞,或者成為傳播源感染其它計算機(jī)。
6、經(jīng)常了解一些反病毒資訊。
經(jīng)常登陸信息安全廠商的官方主頁,了解最新的資訊。這樣您就可以及時發(fā)現(xiàn)新病毒并在計算機(jī)被病毒感染時能夠作出及時準(zhǔn)確的處理。比如了解一些注冊表的知識,就可以定期查看注冊表自啟動項(xiàng)是否有可疑鍵值;了解一些程序進(jìn)程知識,就可以查看內(nèi)存中是否有可疑程序。
7、最好是安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控
在病毒技術(shù)日新月異的今天,使用專業(yè)的反病毒軟件對計算機(jī)進(jìn)行防護(hù)仍是保證信息安全的最佳選擇。用戶在安裝了反病毒軟件之后,一定要開啟實(shí)時監(jiān)控功能并經(jīng)常進(jìn)行升級以防范最新的病毒,這樣才能真正保障計算機(jī)的安全。
看了此文的人還看了:
5.電腦病毒清除軟件