电脑后门病毒

2017-03-22

后门病毒的前缀是Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。下面由小编给你做出详细的介绍!希望对你有帮助!

后门病毒:

2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。

1概念编辑

当一个训练有素的程序员设计一个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是一个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。

按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。

这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。

从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法。更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现Windows NT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识。当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后,将更主动于预防第一次入侵。

大多数入侵者的后门实现以下二到三个目的:

即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入。使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志,大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下,如果入侵者认为管理员可能会检测到已经安装的后门,他们以系统的脆弱性作为唯一的后门,重而反复攻破机器。这也不会引起管理员的注意。所以在这样的情况下,一台机器的脆弱性是它唯一未被注意的后门。

2运行编辑

IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。

病毒运行后将自己拷贝到系统目录下(Win2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx.exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe

其他可能写的项有:

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/yyy:xxx.exe

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/yyy:xxx.exe

也有少数会写下面两项:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/yyy:xxx.exe

此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。

病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏。

这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。

出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

3清除编辑

所有IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run项,找出可疑文件的项目。

2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。再进入系统文件夹,找出可疑文件并将它转移或删除,到这一步病毒就算清除了。

4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。

4比较编辑

后门程序,跟我们通常所说的"木马"有联系也有区别。

联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。

区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。

而且,在病毒命名中,后门一般带有backdoor字样,而木马一般则是trojan字样。

5建议编辑

1、建立良好的安全习惯。

不要轻易打开一些来历不明的邮件及其附件,不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。

2、关闭或删除系统中不需要的服务。

默认情况下,操作系统会安装一些辅助服务,如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便,而又对大多数用户没有用。删除它们,可以大大减少被攻击的可能性。

3、经常升级安全补丁。

据统计,大部分网络病毒都是通过系统及IE安全漏洞进行传播的,如:冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染,无法清除干净。因此一定要定期登陆微软升级网站下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。

4、设置复杂的密码。

有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码(大小写字母、数字、特殊符号混合,8位以上),将会大大提高计算机的安全系数,减少被病毒攻击的概率。

5、迅速隔离受感染的计算机。

当您的计算机发现病毒或异常情况时应立即切断网络连接,以防止计算机受到更严重的感染或破坏,或者成为传播源感染其它计算机。

6、经常了解一些反病毒资讯。

经常登陆信息安全厂商的官方主页,了解最新的资讯。这样您就可以及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识,就可以定期查看注册表自启动项是否有可疑键值;了解一些程序进程知识,就可以查看内存中是否有可疑程序。

7、最好是安装专业的防毒软件进行全面监控

在病毒技术日新月异的今天,使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后,一定要开启实时监控功能并经常进行升级以防范最新的病毒,这样才能真正保障计算机的安全。

更多相关阅读

最新发布的文章