典型计算机病毒

9.1.4　典型计算机病毒

1.灰鸽子病毒

灰鸽子是国内一款著名后门病毒，其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门病毒都相形见绌。“灰鸽子”自2001年诞生之后，2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒之列，甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣，可以在网络上买到，客户端简易便捷的操作使刚入门的初学者都能充当黑客。

黑客可以通过此后门病毒远程控制被感染的电脑，在用户毫无察觉的情况下，任意操控用户的电脑，盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后，可自行删除灰鸽子文件，受害者根本无法察觉。

灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序，名字默认为G＿Server.exe。G＿Server.exe运行后将自己拷贝到Windows目录下（系统盘的windows目录），然后再从体内释放G＿Server.dll和G＿Server＿Hook.dll到windows目录下。G＿Server.exe、G＿Server.dll和G＿Server＿Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G＿ServerKey.dll的文件用来记录键盘操作。（G＿Server.exe这个名称并不固定，它是可以定制的。）

Windows目录下的G＿Server.exe文件将自己注册成服务，每次开机都能自动运行，运行后启动G＿Server.dll和G＿Server＿Hook.dll并自动退出。G＿Server.dll文件实现后门功能，与控制端客户端进行通信；G＿Server＿Hook.dll则通过拦截API调用来隐藏病毒，因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G＿Server＿Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

2.熊猫烧香病毒

熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

3.网银病毒

网上银行给我们的生活带来了很大的便利，其安全性一向很高，一般的病毒和木马极难威胁到它。但是，自从“网银大盗”及“网银小燕”等专门的网银病毒问世以来，网上银行的安全性就不断受到挑战。

网银病毒是由早期的键盘记录器发展而来，随着网络应用特别是网上支付的发展，使得键盘记录器具有很强的功利性和目的性。

网上支付和网上银行业务还未普及时出现的键盘记录器大多都是偷记用户按键信息的小程序。当键盘记录器的作者收到程序自动发来的记录文件后，便可以从中获得一些有用的信息。但是，如果键盘记录器不加选择地记录，其记录文件的容量会变得很大，而用户海量的击键行为也使得从文件中提取出有用信息的工作变得十分复杂。因此，这类程序并没有得到很大的发展，也没有引起人们足够的关注。自从首个“网银大盗”现身网络，此病毒开启了偷盗网上银行个人用户信息的先河，并立刻引起了公众强烈的反响。后来“网银大盗”出现变种，其共同之处在于：它们都是通过网络非主动地传播，只是在用户浏览某些网页、点击某些不明链接以及打开不明邮件的附件等操作时，才感染用户的电脑；盗取对象都是网上银行个人用户的账号和密码等，然后再利用转账和网上支付等手段来窃取用户网上银行中的存款。

网银病毒所采用的技术原理都是通过即时监控IE窗口的标题栏，判断当前窗口是否为相关网上银行的登录页面。一旦发现当前IE窗口与病毒体内所记录的银行登录页面相符，病毒便立即开始记录用户在键盘上输入的所有键值，以从中窃取用户网上银行的账号、密码和验证码等。这类病毒工作时避开了其他键盘输入的情况，直指网上银行的登录信息，目的性非常强，也大量节省了病毒作者后期从中提取有用信息的时间。“网银病毒”造成过用户财产丢失的真实案例。

4.U盘病毒

随着U盘等其他移动存储设备的普及，产生了新型的U盘病毒。顾名思义，U盘病毒就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞之后，U盘病毒的数量与日俱增。

病毒首先向U盘写入病毒程序，然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序，那么Window就会运行这个程序，引发病毒。一般病毒还会检测插入的U盘，并对其实行上述操作，导致一个新的病毒U盘的诞生。

病毒程序通常作为系统文件隐藏，一般系统文件是看不见的，所以这样就达到了隐藏的效果。有时也利用一般人们不会显示文件的后缀的习惯，将病毒文件伪装成其他文件，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。