从尼姆达病毒开始,新病毒广泛的利于了IE的Ifarme漏洞在用户预览或打开信件的时候自动运行,这种入侵方式大大的降低了用户中毒的门槛,使得病毒传播速度大大加快。之前广泛传播的爱虫和Sircam,只是利用社交工程诱使用户点击运行病毒,分别用了一个月和两周的时间才传播到全球范围,而尼姆达和求职信病毒只用了三天和几个小时的时间就达到同样的效果,不能不说IE的Ifarme漏洞在这其中“居功至伟”,这类利用IE漏洞的病毒从去年到今年层出不穷,给我们平时的上网生活与工作带来诸多危险,让我们现在就来逐个认识此类病毒,为防范新病毒做好准备。
2001年09月18日“尼姆达” 变种家族nimda-nimda.e 被发现,第一个利用IE的Ifarme漏洞的病毒
2001年10月30日 变种Nimda.E 出现有史以来传播方式最多的病毒。
病毒特征:只要一预览邮件立刻中毒,同时读取用户信件,取出SMTP地址、邮箱地址,利用这些地址将带有蠕虫病毒信件对外发送,而且在局域网内传播。该病毒还能通过“即时聊天”以及“FTP程序”传播具有极高的传染性。它利用微软的Unicode漏洞采用类似“CodeBlue”蠕虫的攻击方式对外随机攻击网站。
“求职信”变种家族Wantjob(Klez.a-Klez.H)
2001年10月26日 Klez.A
2002年1月23日 Klez.F
2002年4月16日 Klez.k,Klezh
有史以来传播最广泛的病毒。
病毒特征:通过隐藏在邮件附件中进行传播,是用Visual C++编写的Windows PE EXE文件.除了通过电子邮件及本地局域网传播外,它还会在临时文件夹中创建一个Windows EXE文件,文件名以K开头,如KB180.exe,然后将Win32.Klez病毒写入此文件内。
利用的是IE的Iframe漏洞,预览后即会中毒。病毒会利用SMTP协议向外发送病毒邮件,邮件主题从病毒体的列表中随机选取一个:同时会向网络邻居的共享可写目录中写入病毒文件进行传播。
每逢偶数月的第13日,该蠕虫会自动运行,且覆盖被感染机器可用磁盘的所有文件,文件被覆盖后无法恢复,只有从备份中才能重新得到。
2001年10月25日 出现 “本.拉登” win32. BINLADEN
通过搜索ICQ网站来取得邮件地址,使用匿名的方式采用SMTP协议发送带毒邮件。该病毒利用了IFRAME漏洞。当我们预览含有病毒邮件时,病毒邮件体内脚本w代码在将被执行,如果计算机上所使用的Outlook浏览器存在该漏洞,计算机将被感染。
邮件带有一份名为BINLADEN_BRASIL.EXE的附件,该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当Outlook在收到该信件后,若Outlook存在漏洞的话,Outlook会认为该附件是一个声音文件而直接执行它
“挨立滋”病毒Worm.Alizee
2001年11月22日 Alizee病毒被发现,利用IE的IFRAME漏洞来进行侵入和传播。 Alizee病毒通过电子邮件散布,其主题不固定,附件名为“whatever.exe”,它在人们预览邮件、甚至还没有正式开启时,就会通过IE的漏洞自动运行来感染系统。
感染后的系统会利用IE通讯簿,向外发送带毒邮件,会成企业邮件服务器堵塞。其危害手法实际上已经过时,但没有更新IE的用户,或者是没有下载最新病毒代码的用户仍可能感染这种病毒。
2001年11月27日“坏透了”Worm.Badtrans 被发现
利用IE的IFRAME漏洞来进行侵入和传播, 即使不点击其中的附件,Badtrans病毒就会自动执行 ,这种感染方式与其他许多大量发送电子邮件的病毒相似。Badtrans.B Badtrans.B病毒把自己伪装成回复的邮件,具有更高的欺骗性。它还在被感染的计算机系统上安装特 洛伊木马程序,使攻击者能够访问被感染的计算机系统,并将被感染系统的IP地址发给病毒的作者。
执行后,Badtrans.B病毒能够记录通过键盘输入的所有数据,收集到的数据以加密的方式存储在硬盘上。
携带Badtrans.B病毒的电子邮件的附件为.MP3、.DOC或.ZIP类型的文件,但实际上是带有.SCR或.PIF等后缀的双扩展名文件
2001年12月20日 “笑哈哈”Worm_Shoho.A或Welyah。首先出现在亚洲,该病毒是用Visual Basic编写的,病毒文件大小为110592字节。它是一种基于Windows的常驻内存型病毒,通过E-mail方式传播,利用IE的漏洞自动执行,并向Microsoft Outlook地址簿中的邮箱反复发送自身,还会随机删除当前目录下的文件,造成系统不能启动。
该网络蠕虫不使用Outlook程序设置的SMTP(发送邮件服务器)来发送邮件,而是使用自身的SMTP引擎来发送E-mail带病毒信件。
该蠕虫病毒利用的是Iframe漏洞,一旦预览或打开邮件,其附件程序readme.txt.........PIF就会自动运行。该病毒作者非常狡猾,他将这个附件的两个扩展名称txt和PIF之间输入了长达125个空格,一般人很难发现还有PIF扩展名存在。
2002年05月11日 “中文求职信” worm.donghe.49152病毒出现,利用了IFRAME的漏洞使之能在预览时候(IE有漏洞的版本)运行。病毒运行是会将自己复制到windows的system目录,命名为Exporler.exe,并修改exe文件的关联,以使自己下次会再次激活。病毒自动获取用户地址薄中的信息乱发邮件。病毒体内还附带了一个VBS病毒,病毒发送邮件有两种形式,一种是将病毒自身作为附件发送,一种是将该VBS病毒作为附件(附件名为hello.vbs)发送。VBS部分的病毒会修改注册表的启动项以便自己下次能运行,同时修改了IE的默认起始页面。
2002年6月7日 “中国hacker”Win32.Runouce.6703被发现。这是一例感染型蠕虫,可感染Windows的PE可执行文件。它同样是以邮件的形式进行传播,病毒邮件具有如下特征:
1.与最近的病毒一样利用了iFrame的漏洞;
2.附件名为p.exe,长度为10799字节;
3.取得当前的计算机名,如:计算机名为test,并以计算机为名的hotmail邮箱向外发信;
2002年07月16日 “密码病毒”变种家族 W32.Frethem.a- W32.Frethem.k 被发现,此病毒在邮件被打开的时候,就可传播,也即意味着用户无须点击附件就会被感染。它是利用了微软IE的IFrame漏洞,由于许多用户仍未安装相应补丁,使得该病毒能伺机感染。会利用自己的SMTP引擎向Windows地址簿及.dbx, .wab, .mbx, .eml,.mdb文件中的邮件地址发送带毒邮件。
2002年7月29日 W32.Chir.B@mm被发现,该病毒既是一个网络共享、电子邮件蠕虫,又是一个文件感染型病毒,会利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件。它同时会搜索所有本地及网络驱动器,并感染后缀为.htm, .html, .exe及.scr的文件。由于利用了IFRAME及MIME漏洞,只要预览即会中毒。
2004年2月27日 “美女杀手 (Trojan.Legend.Syspoet.b)”病毒被发现,该病毒通过QQ发送虚假消息给在线好友,导致在线好友上当。病毒会将自己伪装成: http://qianhui.9966.org/zhaopian/me.jpg之类的网址,当用户点击该网址时会出现一副美女照片,当照片被打开的时候用户的电脑则已经被病毒感染。
2004年8月 QQ“缘”病毒被发现,该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
2005年9月15日 一种名为“书虫”的木马病毒(win32.Troj.QQMsgBook.mo)被发现,该病毒利用中秋佳节网友互相祝贺的机会,在网页上肆意传播,由于中秋贺词的逼真性,用户受到引诱下载病毒程序并运行,导致感染病毒。
看下面的内容之前笔者推荐你看看天极的专题《对付网页恶意代码》
首先,我们了解一下针对IE病毒的一些通用方法:
(1)可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。
(2)在IE设置中将ActiveX插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。方法是:打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。不过这样做以后,一些制作精美的网页我们也无法欣赏到了。
(3)及时升级系统和IE并打补丁。选择一款好的防病毒软件并做好及时升级,不要轻易地去浏览一些来历不明的网站。这样大部分的恶意代码都会被我们拒之“机”外。
