脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。
该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME“快乐时光”病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剥析中,发现部分病毒好象出于一个家族,其“遗传基因”相同,简单的说,是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说,与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不的不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
“病毒生产机”软件,其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”于相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付“病毒生产机”生产出的大量新病毒。
据港报载, 香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”, 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在,随时就有可能存在着“病毒暴增”的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传便了全世界。这种病毒生产机也传到了我国。
Windows9x、win2000操作系统的发展,也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows“CAW病毒生产机”, 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。
“CAW病毒生产机”能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
病毒有以下几项破坏:
1、当病毒驻留内存时,病毒会在每日的整点时间,如1:00, 6:00, 10:00,...,病毒就会删除一些特定的文件,如:.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。
2、当7月7日的时候CAW病毒就会发作,删除硬盘上的所有文件。
3、某些CAW.1XXX病毒有缺陷,被传染上该病毒的文件被破坏了,杀毒后文件也无法修复,只能用正常文件覆盖坏文件。病毒还有一个缺陷,即重复多层次感染文件,容易将文件写坏了。
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。
病毒本身就是只具有\'.code\'部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\\system目录下创建FLCSS.EXE文件,在其中只写入病毒的纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\\System32\\ntoskrnl.exe,被修补的文件不可以恢复只能通过备份来恢复。
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日象CIH病毒一样破坏硬盘数据与主板BIOS,该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。
该病毒被激活后,会象“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。
该病毒分裂时,会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS,这些都是子病毒,分别传染各自不同的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、WINDOWS的可执行程序,而且还感染EXCEL97/2000文件。
该病毒感染的文件的具体类型有:DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL等文件。
该病毒感染EXCEL97/2000文件的长度为16354字节,感染WIN_PE文件的长度为17408字节, 感染DOS的.COM、.EXE文件的长度为27552字节左右。
该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下,同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时,EXCEL会自动调用\\XLSTART子目录下的受病毒感染的文件,进而感染别的EXCEL文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽杀”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的软件中。
可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。心理扭曲的陈盈豪不甘心,又炮制了CIH-1.3版,并将破坏时间设在6月26日。
可是,还是两个月的时间,1.3版被人下载的不多,6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒,没看到很大的破坏,心理很不痛快。7月,又炮制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日,他要月月看到人们遭殃。
就在那一年,很不巧的是,当时在国内外上映的台湾电视剧的女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序中,大量的用户从网上下载使用,同时,该程序也被广泛的装进各种各样的盗版光盘中,三种版本的CIH病毒被广泛的扩散,当时的反病毒公司也没有及时的发现。
