1.目前传播较广的网络病毒的名称?
2.它的运行特征及危害表现?
3.目前较为流行的反病毒技术的技术原理,及其效果?
·1、目前传播较广的网络病毒的名称?
也许我说出来你会大吃一惊——3721以及上网助手!
·2、它的运行特征及危害表现?
病毒发作现象:
自动将浏览器的“搜索”功能重定向到一个叫www。 3721。com的网站,该站点为中文站,且无法修改;
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
带自动升级功能,每次用户上网使用ie时,该病毒会后台执行升级;
病毒自身特点:
自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供...全部
·1、目前传播较广的网络病毒的名称?
也许我说出来你会大吃一惊——3721以及上网助手!
·2、它的运行特征及危害表现?
病毒发作现象:
自动将浏览器的“搜索”功能重定向到一个叫www。
3721。com的网站,该站点为中文站,且无法修改;
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
带自动升级功能,每次用户上网使用ie时,该病毒会后台执行升级;
病毒自身特点:
自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。
但根据天缘的使用情况发现,在卸载后,该病毒程序依然驻留,启动时仍然加载,依然监视、改写注册表;
采用网络升级方式;该病毒为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该病毒建有公开的病毒升级站点www。
3721。com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;
以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。
前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到 下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;
被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。
从主动转向被动,可说是今年一些病毒的新特点。
病毒详细分析:
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:
在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加:
了解网络实名详细信息。
url 86 字节
清理上网记录。url 100 字节
上网助手。url 99 字节
卸载网络实名。lnk 1,373 字节
修复浏览器。url 103 字节
在WINDOWSDownloaded Program Files 下添加:
assis。
ico 5,734 字节
cns02。dat 1,652 字节
CnsHook。dll 56,320 字节
b 116,520 字节
CnsMin。dll 179,712 字节
f 378 字节
sms。
ico" 6,526 字节
yahoomsg。ico 5,734 字节
在WINDOWSSystem32Drivers 目录下添加:
s
添加注册表键值:
增加HKEY_LOCAL_MACHINESOFTWARE3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加两个子键
在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加
CnsHelper。
CH
CnsHelper。CH。1
CnsMinHK。CnsHook
CnsMinHK。CnsHook。1四个子键
在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加!CNS子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加五个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键
在HKEY_CURRENT_USERSoftware下增加3721子键
在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成 s文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是 s被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook。
dll和CnsMin。dll以及其自身不被删除;Cnshook。dll的作用则是提供中文实名功能,CnsMin。dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。
而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,原作者Quaful@水木清华)
防删除特性:
该病毒虽然自带一个所谓的“卸载程序”,但事实上核心部分的程序/注册表键值依然没有删除。
而且该病毒更是利用各种技术手段,具有极其强大的反删除特性。
windows系统启机(包括安全模式下)便会加载windows/system32/drivers下的 s,该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。
每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
·3、目前较为流行的反病毒技术的技术原理,及其效果?
随着计算机技术及反毒技术的发展,早期的防病毒卡亦象其它的计算机硬件卡(如汉字卡等)一样,逐步的衰落出市场,与此对应的,各种反病毒软件开始日益风行起来,并且经过十几年的发展,逐步经历了好几代反病毒技术的发展。
第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。
随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。
所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。
随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使反毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。收起