電腦後門病毒
後門病毒的字首是Backdoor。該類病毒的特性是通過網路傳播,給系統開後門,給使用者電腦帶來安全隱患。下面由小編給你做出詳細的介紹!希望對你有幫助!
後門病毒:
2004年年初,IRC後門病毒開始在全球網路大規模出現。一方面有潛在的洩漏本地資訊的危險,另一方面病毒出現在區域網中使網路阻塞,影響正常工作,從而造成損失。由於病毒的原始碼是公開的,任何人拿到原始碼後稍加修改就可編譯生成一個全新的病毒,再加上不同的殼,造成IRC後門病毒變種大量湧現。還有一些病毒每次執行後都會進行變形,給病毒查殺帶來很大困難。
1概念編輯
當一個訓練有素的程式設計師設計一個功能較複雜的軟體時,都習慣於先將整個軟體分割為若干模組,然後再對各模組單獨設計、除錯,而後門則是一個模組的祕密***。在程式開發期間,後門的存在是為了便於測試、更改和增強模組的功能。當然,程式設計師一般不會把後門記入軟體的說明文件,因此使用者通常無法瞭解後門的存在。
按照正常操作程式,在軟體交付使用者之前,程式設計師應該去掉軟體模組中的後門,但是,由於程式設計師的疏忽,或者故意將其留在程式中以便日後可以對此程式進行隱蔽的訪問,方便測試或維護已完成的程式等種種原因,實際上並未去掉。
這樣,後門就可能被程式的作者所祕密使用,也可能被少數別有用心的人用窮舉搜尋法發現利用。
從早期的計算機入侵者開始,他們就努力發展能使自己重返被入侵系統的技術或後門。本文將討論許多常見的後門及其檢測方法。更多的焦點放在Unix系統的後門,同時討論一些未來將會出現Windows NT的後門。本文將描述如何測定入侵者使用的方法這樣的複雜內容和管理員如何防止入侵者重返的基礎知識。當管理員懂的一旦入侵者入侵後要制止他們是何等之難以後,將更主動於預防第一次入侵。
大多數入侵者的後門實現以下二到三個目的:
即使管理員通過改變所有密碼類似的方法來提高安全性,仍然能再次侵入。使再次侵入被發現的可能性減至最低。大多數後門設法躲過日誌,大多數情況下即使入侵者正在使用系統也無法顯示他已線上。一些情況下,如果入侵者認為管理員可能會檢測到已經安裝的後門,他們以系統的脆弱性作為唯一的後門,重而反覆攻破機器。這也不會引起管理員的注意。所以在這樣的情況下,一臺機器的脆弱性是它唯一未被注意的後門。
2執行編輯
IRC病毒集黑客、蠕蟲、後門功能於一體,通過區域網共享目錄和系統漏洞進行傳播。病毒自帶有簡單的口令字典,使用者如不設定密碼或密碼過於簡單都會使系統易受病毒影響。
病毒執行後將自己拷貝到系統目錄下***Win2K/NT/XP作業系統為系統盤的system32,win9x為系統盤的system***,檔案屬性隱藏,名稱不定,這裡假設為xxx.exe,一般都沒有圖示。病毒同時寫登錄檔啟動項,項名不定,假設為yyy。病毒不同,寫的啟動項也不太一樣,但肯定都包含這一項:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
其他可能寫的項有:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy:xxx.exe
也有少數會寫下面兩項:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe
此外,一些IRC病毒在2K/NT/XP下還會將自己註冊為服務啟動。
病毒每隔一定時間會自動嘗試連線特定的IRC伺服器頻道,為黑客控制做好準備。黑客只需在聊天室中傳送不同的操作指令,病毒就會在本地執行不同的操作,並將本地系統的返回資訊發回聊天室,從而造成使用者資訊的洩漏。
這種後門控制機制是比較新穎的,即時使用者覺察到了損失,想要追查黑客也是非常困難。病毒會掃描當前和相鄰網段內的機器並猜測登陸密碼。這個過程會佔用大量網路頻寬資源,容易造成區域網阻塞,國內不少企業使用者的業務均因此遭受影響。
出於保護被IRC病毒控制的計算機的目的,一些IRC病毒會取消匿名登陸功能和DCOM功能。取消匿名登陸可阻止其他病毒猜解密碼感染自己,而禁用DCOM功能可使系統免受利用RPC漏洞傳播的其他病毒影響。
3清除編輯
所有IRC後門病毒都會在登錄檔HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下新增自己的啟動項,並且項值只有檔名,不帶路徑,這給了我們提供了追查的線索。通過下面幾步我們可以安全的清除掉IRC病毒。
1、開啟登錄檔編輯器,定位到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run項,找出可疑檔案的專案。
2、開啟工作管理員***按Alt+Ctrl+Del或在工作列單擊滑鼠右鍵,選擇“工作管理員”***,找到並結束與登錄檔檔案項相對應的程序。若程序不能結束,則可以切換到安全模式進行操作。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵***或者在啟動計算機時按住Ctrl鍵不放***,在出現的啟動選項選單中,選擇“Safe Mode”或“安全模式”。
3、接著開啟“我的電腦”,在“工具”選單下選擇“資料夾選項”,選擇“顯示所有檔案”,然後點選“確定”。再進入系統資料夾,找出可疑檔案並將它轉移或刪除,到這一步病毒就算清除了。
4、最後可手工把登錄檔裡病毒的啟動項清除,也可使用瑞星登錄檔修復工具清除。
4比較編輯
後門程式,跟我們通常所說的"木馬"有聯絡也有區別。
聯絡在於:都是隱藏在使用者系統中向外傳送資訊,而且本身具有一定許可權,以便遠端機器對本機的控制。
區別在於:木馬是一個完整的軟體,而後門則體積較小且功能都很單一。
而且,在病毒命名中,後門一般帶有backdoor字樣,而木馬一般則是trojan字樣。
5建議編輯
1、建立良好的安全習慣。
不要輕易開啟一些來歷不明的郵件及其附件,不要輕易登陸陌生的網站。從網上下載的檔案要先查毒再執行。
2、關閉或刪除系統中不需要的服務。
預設情況下,作業系統會安裝一些輔助服務,如FTP客戶端、Telnet和Web伺服器。這些服務為攻擊者提供了方便,而又對大多數使用者沒有用。刪除它們,可以大大減少被攻擊的可能性。
3、經常升級安全補丁。
據統計,大部分網路病毒都是通過系統及IE安全漏洞進行傳播的,如:衝擊波、震盪波、SCO***AC/AD等病毒。如果機器存在漏洞則很可能造成病毒反覆感染,無法清除乾淨。因此一定要定期登陸微軟升級網站下載安裝最新的安全補丁。同時也可以使用瑞星防毒軟體附帶的“瑞星漏洞掃描”定期對系統進行檢查。
4、設定複雜的密碼。
有許多網路病毒是通過猜測簡單密碼的方式對系統進行攻擊。因此設定複雜的密碼***大小寫字母、數字、特殊符號混合,8位以上***,將會大大提高計算機的安全係數,減少被病毒攻擊的概率。
5、迅速隔離受感染的計算機。
當您的計算機發現病毒或異常情況時應立即切斷網路連線,以防止計算機受到更嚴重的感染或破壞,或者成為傳播源感染其它計算機。
6、經常瞭解一些反病毒資訊。
經常登陸資訊保安廠商的官方主頁,瞭解最新的資訊。這樣您就可以及時發現新病毒並在計算機被病毒感染時能夠作出及時準確的處理。比如瞭解一些登錄檔的知識,就可以定期檢視登錄檔自啟動項是否有可疑鍵值;瞭解一些程式程序知識,就可以檢視記憶體中是否有可疑程式。
7、最好是安裝專業的防毒軟體進行全面監控
在病毒技術日新月異的今天,使用專業的反病毒軟體對計算機進行防護仍是保證資訊保安的最佳選擇。使用者在安裝了反病毒軟體之後,一定要開啟實時監控功能並經常進行升級以防範最新的病毒,這樣才能真正保障計算機的安全。
此文的人還:
電腦病毒巨集病毒的預防方式