CopyRight©2021 139GAME.COM.CN All Right Reserved
2007年网游界现首位流行病毒大盗登场
时间:2024-08-07 13:05:01
编辑:
网游大盗(2007年) 是例专门盗取网络游戏帐号和密码的病毒, 其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的"网游大盗”变种jws是“网游大盗"木马家族最新变种之一,采用VisualC+ +编写,并经过加壳处理。
扩展阅读
网游大盗(2007年) 是例专门盗取网络游戏帐号和密码的病毒, 其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的"网游大盗”变种jws是“网游大盗"木马家族最新变种之一,采用VisualC+ +编写,并经过加壳处理。“网游大盗” 变种jws运行后,会将自我复制到Windows目录下,自我注册为"Windows Down"系统服务,实现开机自启。
该病毒会盗取包括“魔兽世界”、"完美世界" 、“征途” 、等多款网游玩家的帐户和密码,并且会下载其它病毒到本地运行。玩家计算机旦中毒,就可能导致游戏帐号、装备等丢失。在07年轰动一时,网游玩家提心吊胆。
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe等14个病毒文件,病毒文件之多比较少见,事实上这14个不同文件名的病毒文件系同一种文件,。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。
江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
划时代!1988年相关计算机事件揭秘:第一个Morris worm引领全新时代
第一个 worm 名为 Morris worm ,由Robert Tappan Morris于1988年11月2日创造。Morris worm通过利用Unix finger、rsh和sendmail命令中的漏洞传播。它没有造成任何损害,只是用来确定互联网的规模。
1988年11月2日星期三,那时互联网还很年轻,规模很小,由学者和工程师主导。这一切都是非常合议性的,安全工作的方式也没有太多,即使这个话题在理论上是存在的。
当时是康奈尔大学研究生的Robert Tappan Morris并没有试图“攻击”其他电脑,而是在互联网上发布了第一个大范围的恶意软件,即后来被称为Morris Worm。它改变了一切。
它用来尝试访问的一种方法是使用我们现在称之为dictionary attack的方法登录;也就是说,它有一个嵌入的“popular”密码列表。莫里斯的总部设在康奈尔大学,但他从麻省理工学院的一台电脑上启动了蠕虫病毒,试图隐藏其来源。代码还试图阻止一种可能的阻止机制。所有这些都表明,即使没有有效载荷,莫里斯显然知道他是在偷偷地闯入别人的电脑,不管他们是否喜欢。莫里斯当时还年轻,没有足够的经验去认识到他所做的是错误的。
Morris worm的源代码还显示,Morris试图控制worm的传播,但他对自己的代码比应该的更有信心。代码中的错误导致许多系统崩溃,基本上是所有的SunOS系统,并在许多其他系统上多次执行,吞噬系统资源。
下图是Morris worm完整源代码的磁盘
Robert Tappan Morris是第一个根据相当新的“计算机欺诈和滥用法”被判有罪并被判处三年缓刑和罚款的人。
Sasser Worm: Unleashing Chaos in April 2004
Sasser worm由Sven Jaschan创建,并于2004年4月发布。Sasser通过利用名为LSASS的Microsoft Windows组件中的漏洞感染计算机。萨瑟更改了部分操作系统,使用户很难关闭电脑。萨塞尔造成的破坏对商业市场造成了严重破坏,导致达美航空公司取消了几个航班,多家金融公司关闭了办事处。
扩展阅读
Sasser worm是一种computer worm,主要针对运行Microsoft OSS的计算机,如Windows XP和Windows 2000。Sasser worm通过利用易受攻击的网络端口进行传输。在没有用户干预的情况下,该worm可以很容易地从一台计算机传播到另一台计算机。
Sasser worm在2004年4月首次被发现。它属于一个自我执行的蠕虫家族,被称为 W32.Sasser。
Sasser worm是由一个名叫Sven Jaschan的德国计算机科学学生写的。worm在利用名为本地安全授权子系统服务(LSASS)的进程中的缓冲区溢出时首先被注意到,LSASS在系统上强制执行安全策略。它具有迅速向许多计算机传播的能力。Sasser worm使用TCP端口号445攻击计算机。(有一些微软研究人员也声称它可能使用端口139)。
在很短的时间内,Sasser-A、Sasser-B和Sasser-C的变种被发现影响了世界各地数百台计算机。
W32.Sasser worm系列也可以在运行Windows95、98和Me操作系统的计算机上运行。在某些系统上,该worm可能会导致LSASS.EXE崩溃,从而导致系统重新启动。
Unleashing Chaos: The Lethal Spread of SQL Slammer Virus in 2003
SQL slammer worm是一种针对未修补的Microsoft SQL 2000服务器的蠕虫(从技术上讲,是一种计算机蠕虫病毒),它在某些Internet主机上造成拒绝服务,并显著降低了一般Internet流量。从2003年1月25日UTC 05:30开始,它迅速传播,在10分钟内感染了7.5万名受害者。
扩展阅读
SQL slammer worm是一种针对未修补的Microsoft SQL 2000服务器的蠕虫(从技术上讲,是一种计算机蠕虫病毒),它在某些Internet主机上造成拒绝服务,并显著降低了一般Internet流量。从2003年1月25日UTC 05:30开始,它迅速传播,在10分钟内感染了7.5万名受害者。它在服务器之间传播,增加了UDP端口1434上的通信量,导致大量的网络流量降低网络性能并导致拒绝服务。SQL slammer不携带破坏性有效负载。虽然名为“SQL slammer蠕虫”,但该程序没有使用SQL语言;它利用了微软旗舰产品sqlserver数据库中的两个缓冲区溢出漏洞。其他名称包括W32。SQLExp.蠕虫, DDOS.SQLP1434.A,Sapphire worm、SQL_HEL和W32/SQLSlammer。
该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。因为蠕虫病毒能够容纳在一个数据包中,所以当计算机发出受感染的数据包时,它可以迅速传播。结果,它在2002年和2003年造成了几次拒绝服务攻击。微软在2002年提供了一个补丁,加上媒体对这种蠕虫病毒的报道增加,到2004年大大降低了感染的风险。
376字节的蠕虫数据包仅影响未运行SP3的SQL服务器,SP3是一种Windows软件服务包,其中包含一个修补程序,用于修复蠕虫所利用的缓冲区溢出漏洞。一小段蠕虫代码生成随机的IP地址,并从受感染的系统将自己发送到这些地址。
2003年1月25日SQL slammer爆发,一种新的Web服务器病毒在Internet上传播。许多计算机网络还没有做好防范攻击的准备,结果,该病毒使多个重要系统瘫痪。美国银行的ATM服务崩溃,西雅图市的911服务中断,美国大陆航空由于电子购票和登机错误而不得不取消几次航班。Slammer的攻击进度已得到充分记录。感染第一台Internet服务器仅几分钟后,Slammer病毒每隔几秒钟就使受害者数量增加一倍。首次攻击15分钟后,Slammer病毒感染了将近一半的服务器,这些服务器是Internet的支柱。
