簡介概述
僵屍網絡病毒,通過連接IRC服務器進行通信從而控制被攻陷的計算機。僵屍網絡(英文名稱叫BotNet),是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網絡攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息也都可被黑客随意“取用”。因此,不論是對網絡安全運行還是用戶數據安全的保護來說,僵屍網絡都是極具威脅的隐患。僵屍網絡的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網絡是非常困難的,因為黑客通常遠程、隐蔽地控制分散在網絡上的“僵屍主機”,這些主機的用戶往往并不知情。因此,僵屍網絡是目前互聯網上黑客最青睐的作案工具。
運行方式
此病毒有如下特征:
連接IRC服務器
1)連接IRC服務器的域名、IP、連接端口情況如下:
2)連接頻道:#26#,密碼:g3t0u7。
掃描地址
掃描随機産生的IP地址,并試圖感染這些主機;
自身複制
運行後将自身複制到Systemnetddesrv.exe;
系統保護
在系統中添加名為NetDDEServer的服務,并受系統進程services.exe保護。
清除流程
該蠕蟲在安全模式下也可以正常運行。但可以通過清除注冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下:
- 斷開網絡恢複注冊表打開注冊表編輯器,在左邊的面闆中打開并删除以下鍵值:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinmalNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkNetDDEsrv
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetDDEsrv
4.需要重新啟動計算機
5.必須删除蠕蟲釋放的文件
删除在system下的netddesrv.exe文件。(system是系統目錄,在win2000下為c:winntsystem32,在winxp下為
c:windowssystem32)
6.殺毒
運行殺毒軟件,對電腦系統進行全面的病毒查殺;
7.安裝補丁
安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁。
事件報道
僵屍病毒入侵全球電腦,190國政府企業資料遭竊
美國互聯網軟件安全公司NetWitness2010年2月18日表示,一種新型電腦病毒在過去一年半時間内已入侵全球2500家企業和政府機構的7.5萬台電腦,病毒将這些電腦構成了一個龐大而危險的“僵屍網絡”,從中竊取大量重要秘密。這家公司将“僵屍網絡”稱為“Kneber僵屍網絡”。新病毒收集各“僵屍電腦”中的資料,并将之發送給黑客。這次襲擊規模龐大,包括金融機構、能源公司以及美國聯邦政府機構在内的全球将近2500家企業以及政府機構被入侵,受影響的電腦達到7.5萬部,涉及190多個國家,主要為美國、沙特阿拉伯、埃及、土耳其以及墨西哥等國家的電腦。
相關猜測:
黑幫組織
美國互聯網軟件安全公司NetWitness表示,屬下一名工程師今年1月為一家公司部署互聯網監控系統時發現“Kneber僵屍網絡”。經調查,黑客在2008年開始利用東歐的電腦,通過設在德國的指揮中心展開攻擊行動,誘使有關企業和政府機構的員工點擊有病毒的網站,或者打開附有病毒的電子郵件,從而入侵企業或政府網絡。據了解,一旦電腦受病毒感染,便會成為“僵屍網絡”的一部分,并通過大量發送感染病毒的電子郵件使更多企業和政府機構的電腦中招。NetWitness公司總裁約倫曾擔任美國國土安全部網絡安全主管。他表示,目前看來,新病毒于2008年底開始在德國肆虐,目前也蔓延到不少在中國應用的電腦上。公司目前所收集的證據顯示,這一襲擊很可能來自東歐的黑幫組織。
相關報告
感染症狀
電影裡人被僵屍咬到後也變成僵屍咬人的情節,上演了“手機”版本。昨日,央視《每周質量報告》報道了“手機僵屍”病毒的危害和成因。據悉,在9月的第一周,全國就發現将近一百萬部手機感染這種病毒。
北京手機用戶王女士發現自己沒發短信卻被莫名扣費,同時,她的朋友也在深更半夜收到了她發出的廣告短信。王女士在手機安全公司檢測後發現,她的手機中了“手機僵屍”的病毒。這種病毒能夠自動向手機中的聯系人發送廣告短信,并通過短信進行連續傳播,具有很強的攻擊性。
感染方式
專業人員發現,手機裡一個名為手機保險箱的應用軟件中捆綁着一個小插件,其實就是一種手機病毒。中了病毒的手機,首先會将手機的SIM卡标識等配制信息上傳到黑客控制的服務器,然後黑客就可以通過服務器下發手機,控制手機随時給任何号碼發送任何内容的短信。央視記者了解到,這種病毒具有罕見的攻擊性,所發出去的一些短信裡面的鍊接也是藏有病毒的,一旦其他的人收到短信,點擊鍊接,則會被安裝上類似的病毒。而且,這部手機又會去攻擊别人的手機。
傳播特點
從事手機安全研究多年的北郵教授鄒仕洪稱,這種病毒的傳播特點有點像傳銷組織,一級感染一級,時間越長,被感染和控制的手機也就越多,它呈現指數級爆炸型增長。國家互聯網應急中心運行部主任周勇林稱,9月的第一周就發現全國将近一百萬部手機感染這種病毒。據悉,僵屍手機病毒很難被用戶和運營商發覺。
變種威脅
除了“手機僵屍”病毒,目前,網絡上還出現了病毒的變種,這種病毒能夠在手機鎖定的狀态下自動發送信息,很難被用戶察覺。同時,越來越多的手機病毒不但能逃過運營商的圍追堵截,甚至能夠将殺毒軟件殺掉。
傳播渠道
由于互聯網環境開放,很多人可以冒用IP,在論壇上發布帶有病毒的軟件供人下載,因此要追查病毒的制造者和傳播者很難。技術人員發現,在中了“手機僵屍”病毒的手機發送的短信中,有一大部分是廣告短信。據悉,遊戲等網站往往把短信宣傳交給渠道商來做,而渠道商有可能是這種病毒的元兇。據業内人士介紹,渠道商發送一條短信要花費0.03元至0.05元,而每次一般要發送10萬條,這樣成本約為3000元,收益大約為6000元。而通過在短信中植入“手機僵屍”病毒,同樣花費3000元的成本,發送出的短信通過自動傳播,能帶來10倍,即6萬元的利潤。100萬部手機每天耗費用戶話費約為200萬元。
