病毒

king

红色代码II
1
病毒名称：Win32.CodeRed2.8192 (红色代码II)
病毒类型：特洛伊木马
病毒简介：
“红色代码”病毒再次爆发，对全球数十万台电脑发动了进攻。 “红色代码”蠕虫能够迅速传播，并造成大范围的访问速度下降甚至阻断。“红色代码”蠕虫造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。
“红色代码2”是“红色代码”的改良版,。病毒作者对病毒体作了很多优化，同样可以对“红色代码”病毒可攻击的联网计算机发动进攻，,这种新变型不仅仅只对英文系统发动攻击，而是攻击任何语言的系统。而且这种病毒还可以在遭到攻击的机器上植入“特洛伊木马”，使得被攻击的机器“后门大开”。 病毒运行后，这个文件首先调用explorer.exe，然后修改注册表,设置键值
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Sfcdisable = -99
禁止系统缓存，也会设置如下键值：
SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\Virtual Roots\/C = c: \,,217
SYSTEM\CurrentControlSet\Services\W3SVC\
Parameters\Virtual Roots\/D = d: \,,217
而且改变注册值：
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/Scripts
和
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\/MSADC
这些设置会尽可能的运行相关目录下的root.exe文件并可控制机器。同时他们还可以在c:\ 或D:\进行远程控制，可以使黑客在远程取得对服务器的完全控制。它还拥有极强的可扩充性，通过程序自行完成的木马植入工作，使得病毒作者可以通过改进此程序来达到不同的破坏目的。当机器日期大于2002年10月时，病毒将强行重起计算机。

king

白宫病毒(VBS.WhiteHouse)
VBS.WhiteHouse 是一个采用 Visual Basic Script 语言编写的蠕虫病毒。它通过给 Microsoft Outlook 地址簿中的联系人分发 E-mail 来复制自己，此外，该病毒还会给某些特定的地址发送包含自身代码的邮件。
VBS.WhiteHouse 病毒感染计算机系统后，会在 Windows 操作系统的安装目录下生成 Profile.vbs，在系统目录下生成 Mdm.vbs、user.dll、Readme.html、system.dll 等文件，用于存储病毒代码。然后查找计算机所有本地硬盘和网络驱动器中的所有 html/htm、plg 和 asp 文件，将病毒代码加密成乱码后附在其头部，查找所有 vbs 文件，将其内容替换成病毒代码。
在留驻系统后，病毒便开始利用 Outlook 外发邮件，邮件的特征如下：
主题：从以下十个标题中随机抽取一个：
"Thanks for helping me!"
"The police are investigating the robbery"
"an application for a job"
"The aspects of an application process pertinent to OSI"
"What a pleasant weather. Why not go out for a walk?"
"These countries have gone / been through too many wars"
"We've fixed on the 17th of April for the wedding"
"The wind failed and the sea returned to calmness."
"the sitting is open!"
""
正文：(同主题)
附件：Readme.html
同时，病毒还会将这些邮件发往以下四个指定的地址：
"president@whitehouse.gov"
"vice.president@whitehouse.gov"
"first.lady@whitehouse.gov"
"mrs.cheney@whitehouse.gov"
在用户的计算机设置中，如果用户名、计算机名或者域名中包含以下字符，病毒就会删除本地硬盘中所有的文件和文件夹，并且在自动批处理文件 Autoexec.bat 中增加 DELTREE c:\ 语句，在下次启动计算机时删除 c:\ 盘全部内容：
"white home"
"central intelligence agency"
"bush"
"american stock exchang"
"chief executive"
"usa"
如果不包含以上字符，当 7 月或 9 月时，病毒会在系统目录下生成一个名为 75.htm 文件，将它增加到 Windows 的启动项里。该文件包含 window.navigate ('c:/con/con') 的脚本，该语句会使低版本的 Internet Explorer 产生错误。
在病毒解码后的代码中包含一句注释行：'@ thank you! make use of other person to get rid of an enemy, white trap _2001；在病毒原码中则可以看到一段 JavaScript 代码，并有两个包含一大段乱码的变量 jword 和 nword。

king

Worm.Sircam.137216(CAM先生）(金山毒霸命名）
1
病毒名称：Worm.Sircam.137216(CAM先生）(金山毒霸命名)
病毒类型：蠕虫病毒
病毒简介：
病毒感染过程介绍
Worm.Sircam.137216病毒是一个蠕虫病毒，如果不小心运行，它会拷贝自己的有效代码到
windows的system目录，名为Scam32.exe，并修改注册表HKLM\Software\Microsoft
\Windows\CurrentVersion\Run Services\Driver32指向该文件。以便下次启动时启动。
同时，它还会拷贝自己到Recycled目录，并修改注册表的exe文件关联（HKLM\SOFTWARE
\Classes\exefile\shell\open\command）指向改文件。
病毒发送附件时会选择一个正常文件做伪装，将自身代码放在前面，正常文件附加在后面。
在发送出去。当收信人打开附件，病毒文件会将自身文件和正常文件分开放到Recycled目
录，运行自身并打开正常文件。极具隐蔽性。病毒还会通过网络共享将自己拷贝到共享了
windows目录的其它机器中（windows目录）文件名为rundll32.exe，原来的
rundll32.exe改名run32.exe。

king

VBS.HappyTime病毒
1
病毒名称：VBS.HappyTime
病毒类型：VB SCRIPT病毒
病毒简介：
病毒感染过程介绍
VBS.Happytime 是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写，它既可在电子邮件的形式通过互联网进行传播，也可以在本地通过文件进行感染。
当用浏览器打开一个被感染的 html 文件时，病毒会设置网页的时间中断事件，每 10 秒运行执行 Help.vbs 一次，该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta 文件激活病毒，病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行。
若执行感染病毒的 VBS 文件，如果日期和月份数字之和是 13，则病毒会删除从 C: 盘找到的第一个 exe 或 dll 文件；如果是其他时间，则从 C: 盘找到第一个 html、vbs、htm 或 asp 文件，从文件内容中找到 mailto 语句，分解出若干收件人邮件地址，发送带有病毒附件(附件名 Untitled.htm)的邮件，然后置换文件内容为病毒代码。当病毒被执行的次数为 366 的整数倍时，如果当前时间的秒数值正好是偶数，则取得 Outlook Express 收件箱(不包括子目录)中所有信件的发件人地址和主题，然后以转发原信件为主题，给这些地址发送信件，附件为 Untitled.htm 病毒文件；如果秒数为奇数，则读取 Outlook 地址簿中所有联系人的 E-mail 地址，分别发送主题为 Help、附件为 Untitled.htm 病毒文档的邮件。此外，病毒还会修改桌面墙纸的设置，若无墙纸则会设置成 Help.htm，若有墙纸则修改为与原墙纸文件名相同，扩展名为 htm 的文件，而这些文件中带有病毒代码。
如果是通过脚本或其他方式运行病毒，则会在 C:\ 盘下第一个子目录下创建病毒文件 Help.vbs，在 %Windows% 目录下创建病毒文件 Untitled.htm 文件。修改注册表 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其中 XXXXXXXX 为缺省用户ID值)项下的三个键值。并查找 Windows\Web 目录下所有 htm、htt、vbs 和 asp 文件，从中找到 mailto 语句，分解出若干收件人邮件地址，发送带有病毒附件(附件名 Untitled.htm)的邮件，然后置换文件内容为病毒代码。 病毒脚本代码的第一行为 Rem I am sorry! happy time，可以此来判断一个文件是否已被感染。
病毒生成、修改和删除的文件
1、生成 C:\Help.htm，html 格式的病毒文件(嵌入 html 文件)；
2、在 C:\ 盘第一个子目录下生成 VBS 格式的病毒文件 Help.vbs 和 hta 格式的 Help.hta；
3、在 %Windows% 目录下生成 html 格式的病毒文件 Help.htm 或者与原墙纸文件同名的 html 格式文件(墙纸)；
4、每感染一次修改 C: 盘上一个 vbs、html 或者 asp 文件，将其改为病毒代码；
5、修改 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件；
6、每次月份加日期的数字之和为 13 时运行病毒会删除 C: 盘上一个 exe 或 dll 文件。
注册表的修改
1、在 HKEY_CURRENT_USER\Software 下新建 Help 项，然后新建 Count 键值用于记录病毒感染的次数；新建 FileName 键值用于指向下一次将要被删除的文件；新建 wallPaper 键值用于记录修改后的墙纸文件；
2、修改 HKEY_CURRENT_USER\Identities\XXXXXXXX\Software\Microsoft\Outlook Express\5.0\Mail(其 中 XXXXXXXX 为缺省用户ID值) 下键值 Message Send HTML 为 1；Compose Use Stationery 为 1；Stationery Name 为 %Windows%\Untitled.htm。
病毒的危害
1、破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码)；
2、大量散发病毒邮件，本地的联系人地址越多，收件箱中信件越多，散发邮件数量也越多；
3、逐次删除 C: 上可执行文件；
4、修改桌面墙纸的设置；
5、破坏 Windows 资源管理器中缺省的 Web 视图；
手工病毒清除
1、检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、%Windows% 目录下 Help.htm 或者与原墙纸文件 同名的 html 格式文件，若其中含有 Rem I am sorry! happy time 字符串，则删除该文件；
2、检查 C: 盘上所有 vbs、html 或者 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；
3、检查 %Windows%\Web 目录下所有 vbs、html、htt 和 asp 文件，若含有 Rem I am sorry! happy time 字符串，则删除该文件；
4、删除 HKEY_CURRENT_USER\Software 下 Help 项；
5、删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

king

Win32.Funlove4608(4099)病毒
1
病毒名称：Win32.Funlove4608(4099)
病毒类型：文件型
病毒简介：
Funlove病毒是一个Win32pe病毒，因病毒体内含有字符串"~Fun Loving Criminal~"而命
名为Funlove病毒。属驻留内存、感染文件型，感染EXE、SCR、OCX三种类型的文件，被感
染文件增长4099字节，病毒进驻系统后将会在Windows的System目录下建立flcss.exe文
件，是病毒本身的点滴器，长度4608字节。
Funlove病毒可以通过局域网进行传播，当染毒程序运行后，该病毒将创建一份名为
“flcss.exe"的文件，放在当前Windows系统的System目录下（NT系统中为System32），
并同时开启一个线程进行自身的传染，被感染的宿主程序运行时几乎没有时间延迟。
病毒的感染部分代码将搜索所有本地驱动器（从C:到Z:）以及网络资源（局域网上的共享
文件夹），在其中搜索带有EXE、SCR、OCX扩展名的文件，验证后进行感染，对齐最后一个
节之后将自身代码填入其中、修改PE程序入口代码，被感染文件长度通常会增加4099字节
或者更多。该病毒比较奇怪的地方是在感染前会先判断文件名称开头几个字母是否是
AMON、AVP3、_AVP、F_PR*、NAVW*、SCAN*、等等，如果是则不感染。

圣诞节病毒“Navidad”
1
圣诞节病毒“Navidad”
  圣诞节病毒“Navidad”一般以“NAVIDAD ．EXE ”为文件名，以电子邮件附件形式发送。计算机一旦感染上这一病毒，它将自动改写Windows 的注册表，改变扩展名为“．EXE ”的可执行程序的链接指向，并导致电脑系统绝大部分程序无法运行。
  当被感染的附件运行时，一个对话框将出现错误信息"UI."。接下来一个蓝眼睛图标将出现在系统状态栏中时钟图标的旁边（在计算机屏幕的右下角）。该病毒被保存在Windows系统目录下，文件名为winsvrc.vxd。如果用户将光标移到眼睛图标上，一个消息框将显示出来，上有 "Loestamosmirando...," 字样（意为：我们正在观察它）。如果用户点击这个图标，就会弹出一个按钮来，上面显示"Nuncapresionarestebotón"字样（意为：绝不要按这个按钮）。如果用户按下这个按钮，一个标题为"FelizNavidad"的消息框就会出现，框中消息内容为Lamentablementecayóenlatentaciónyperdiósucomputadora"（意为：圣诞快乐，不幸的是，你陷入诱惑之中并将失去你的计算机。）
  这个病毒可以通过关闭消息框的方式终止运行（按下消息框右上角的X）。对话框显示一个大的蓝色按钮，上面有"don'tpressme"（不要按我）。再显示下一个消息框时，用户可以按下"OK"按钮，终止这个程序，并使"眼睛"图标消失。
网络神偷
1
网络神偷Nethief
网络神偷是一个远程文件访问工具，可对本地及远程驱动器进行：新建文件、新建文件夹、
查找文件、剪切、复制、粘贴(包括：本地文件操作、上传、下载、同远程主机的文件复制
与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等
操作，并且所有操作均支持多选及文件夹操作。服务端运行原理更一般的远程控制黑客程序
不同，它利用“反弹端口”原理——服务端(被控制端)主动连接客户端(控制端)，为了隐
蔽起见，监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件
检查自己的端口，也难以发现。而控制端发给服务端的数据是通过一个第三方的空间来实现
的，一般用一个主页空间，控制端通过FTP写主页空间上的一个文件，而服务端定期用HTTP
协议读取这个文件的内容，当发现客户端让自己开始连接时，就主动连接。这样，控制端
就可以穿过防火墙，甚至还能访问局域网内部的电脑。

http://5460m.0163.com/