Unleashing Chaos: The Lethal Spread of SQL Slammer Virus in 2003

扩展阅读

SQL slammer worm是一种针对未修补的Microsoft SQL 2000服务器的蠕虫（从技术上讲，是一种计算机蠕虫病毒），它在某些Internet主机上造成拒绝服务，并显著降低了一般Internet流量。从2003年1月25日UTC 05:30开始，它迅速传播，在10分钟内感染了7.5万名受害者。它在服务器之间传播，增加了UDP端口1434上的通信量，导致大量的网络流量降低网络性能并导致拒绝服务。SQL slammer不携带破坏性有效负载。虽然名为“SQL slammer蠕虫”，但该程序没有使用SQL语言；它利用了微软旗舰产品sqlserver数据库中的两个缓冲区溢出漏洞。其他名称包括W32。SQLExp.蠕虫, DDOS.SQLP1434.A，Sapphire worm、SQL_HEL和W32/SQLSlammer。

该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。因为蠕虫病毒能够容纳在一个数据包中，所以当计算机发出受感染的数据包时，它可以迅速传播。结果，它在2002年和2003年造成了几次拒绝服务攻击。微软在2002年提供了一个补丁，加上媒体对这种蠕虫病毒的报道增加，到2004年大大降低了感染的风险。

376字节的蠕虫数据包仅影响未运行SP3的SQL服务器，SP3是一种Windows软件服务包，其中包含一个修补程序，用于修复蠕虫所利用的缓冲区溢出漏洞。一小段蠕虫代码生成随机的IP地址，并从受感染的系统将自己发送到这些地址。

2003年1月25日SQL slammer爆发，一种新的Web服务器病毒在Internet上传播。许多计算机网络还没有做好防范攻击的准备，结果，该病毒使多个重要系统瘫痪。美国银行的ATM服务崩溃，西雅图市的911服务中断，美国大陆航空由于电子购票和登机错误而不得不取消几次航班。Slammer的攻击进度已得到充分记录。感染第一台Internet服务器仅几分钟后，Slammer病毒每隔几秒钟就使受害者数量增加一倍。首次攻击15分钟后，Slammer病毒感染了将近一半的服务器，这些服务器是Internet的支柱。

扩展阅读

2010年3月15日，金山安全实验室捕获一种新型的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如"鬼影"一般"阴魂不散"，所以称为"鬼影"病毒。该病毒也因此成为国内首个"引导区"下载者病毒。

鬼影病毒是指寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法清除的病毒。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒,病毒就象"鬼影"一样在中毒电脑上"阴魂不散"。

“鬼影”病毒的特征之一是安全软件不能正常运行，该病毒目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行，常见的修复工具也不能正常运行，请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。2010年，此工具适用于尚未变种的鬼影病毒，一旦该病毒变种，该专杀将会无效，在这里要提醒大家要注意上网时的网络防护，要定期开启杀软扫描，2010年，金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。

扩展阅读

CryptoLocker通常会以电子邮件附件的类型，包装成一个看似无害的电子邮件（通常使用合法公司的电子邮件外观）进行发送，或是经由僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件，通常是使用伪装的PDF文件附文件名与文件名称，利用Windows系统当中的文件扩展名规则，掩饰真正的EXE扩展名形式文件。部分情况下则会实际含有宙斯特洛伊木马病毒，以进行安装CryptoLocker。首次引导时，有效负载会以随机的名称，自行安装于我的文档，并于注册表登录一个编码，会导致于引导时引导。然后，该恶意软件会尝试连接被勒索者所控制的服务器与指令，一旦成功连接，该服务器就会产生一个2048位的RSA加密密钥配对，并且提交公开密钥到被感染的电脑。该服务器可能是一个本地代理服务器或其他的代理服务器，会频繁地在不同国家间进行重定位，增加追踪的困难度。

2013年11月，CryptoLocker的操作者开放了一个在线服务，允许用户不用CryptoLocker程序就能解密文件，并且必须于截止时间前下载解密密钥；这个过程包含了将解密文件样本上传到恶意软件的网站，然后在24小时内，网站会依据请求，查找匹配的密钥。一旦匹配成功，用户就能够进行在线付款；如果72小时的期限已过，付款价格将会增长到10比特币（在2013年11月上旬，换算汇率为超过3500美元）

扩展阅读

网游大盗(2007年) 是例专门盗取网络游戏帐号和密码的病毒， 其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的"网游大盗”变种jws是“网游大盗"木马家族最新变种之一，采用VisualC+ +编写，并经过加壳处理。“网游大盗” 变种jws运行后，会将自我复制到Windows目录下，自我注册为"Windows Down"系统服务，实现开机自启。

该病毒会盗取包括“魔兽世界”、"完美世界" 、“征途” 、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机旦中毒，就可能导致游戏帐号、装备等丢失。在07年轰动一时，网游玩家提心吊胆。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe等14个病毒文件，病毒文件之多比较少见，事实上这14个不同文件名的病毒文件系同一种文件，。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。