为什么这两年没再听说有什么大规模的电脑病毒爆发？ - 知乎1161被浏览168748分享邀请回答2.0K147 条评论分享收藏感谢收起51 条评论分享收藏感谢收起查看更多回答天极传媒：天极网全国分站
您现在的位置：
& >>盘点四十年来史上著名计算机病毒
盘点四十年来史上著名计算机病毒天极网软件频道 09:03
1Creeper、Elk Cloner、梅利莎 、爱虫 、求职信病毒
　　病毒危害惊人：数据被清空，网络连接被掐断，好好的机器变成了毒源，开始传染其他计算机。有报告显示，仅2008年，计算机病毒在全球造成的经济损失就高达85亿美元。
　　计算机病毒现身已多年，可以追溯到计算机科学刚刚起步之时，那时已经有人想出破坏计算机系统的基本原理。1949年，科学家约翰?冯?诺依曼声称，可以自我复制的程序并非天方夜谭。不过几十年后，黑客们才开始真正编制病毒。直到计算机开始普及，计算机病毒才引起人们的注意。下面我们盘点一下近四十年来比较著名的计算机病毒。
　　1.Creeper(1971年)
　　最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年，距今以后42年之久。当然在那时，Creeper还尚未被称为病毒，因为计算机病毒尚不存在。Creeper由BBN技术公司程序员罗伯特?托马斯(Robert Thomas)编写，通过阿帕网( ARPANET，互联网前身)从公司的DEC-10传播，显示“我是Creeper，有本事来抓我呀!(I'm the creeper， catch me if you can!)”。Creeper在网络中移动，从一个系统跳到另外一个系统并自我复制。但是一旦遇到另一个Creeper，便将其注销。
　　2.Elk Cloner病毒(1982年)
　　里奇.斯克伦塔(Rich Skrenta)在一台计算机上制造了世界上第一个计算机病毒。1982年，斯克伦塔编写了一个通过软盘传播的病毒，他称之为“Elk Cloner”，那时候的计算机还没有硬盘驱动器。该病毒感染了成千上万的机器，但它是无害的：它只是在用户的屏幕上显示一首诗，其中有两句是这样的：“它将进入你所有的磁盘/它会进入你的芯片。”
　　3.梅利莎 (Melissa，1999年)
　　Melissa病毒由大卫?史密斯(David L. Smith)制造，是一种迅速传播的宏病毒，它作为电子邮件的附件进行传播，梅丽莎病毒邮件的标题通常为“这是你要的资料，不要让任何人看见(Here is that document you asked for， don't show anybody else)”。一旦收件人打开邮件，病毒就会自我复制，向用户通讯录的前50位好友发送同样的邮件。因为它发出大量的邮件形成了极大的电子邮件信息流，它可能会使企业或其它邮件服务端程序停止运行，尽管Melissa病毒不会毁坏文件或其它资源。日爆发，感染了15%-20% 的商业计算机。
　　4.爱虫 (I love you， 2000年)
　　梅丽莎病毒爆发一年后，菲律宾出现了一种新的病毒。与梅丽莎不同的是，这次出现的是蠕虫病毒，具有自我复制功能的独立程序。这个病毒的名字叫爱虫 (I love you)。爱虫病毒最初也是通过邮件传播，而其破坏性要比Melissa强的多。标题通常会说明，这是一封来自您的暗恋者的表白信。邮件中的附件则是罪魁祸首。这种蠕虫病毒最初的文件名为LOVE-LETTER-FOR-YOU.TXT.vbs。后缀名vbs表明黑客是使用VB脚本编写的这段程序。很多人怀疑是菲律宾的奥尼尔?狄?古兹曼制造了这种病毒。由于当时菲律宾没有制定计算机破坏的相关法律，当局只得以盗窃罪的名义传讯他。最终由于证据不足,当局被迫释放了古兹曼。根据媒体估计，爱虫病毒造成大约100亿美元的损失。
　　5.求职信病毒(Klez，2001年)
　　求职信病毒是病毒传播的里程碑。出现几个月后有了很多变种，在互联网肆虐数月。最常见的求职信病毒通过邮件进行传播，然后自我复制，同时向受害者通讯录里的联系人发送同样的邮件。一些变种求职信病毒携带其他破坏性程序，使计算机瘫痪。有些甚至会强行关闭杀毒软件或者伪装成病毒清除工具。
　　求职信病毒出现不久，黑客就对它进行了改进，使它传染性更强。除了向通讯录联系人发送同样邮件外，它还能从中毒者的通讯录里随机抽选一个人，将该邮件地址填入发信人的位置。
2红色代码 、尼姆达、灰鸽子、SQL Slammer、MyDoom
　　6.红色代码 (Code Red， 2001年)
　　红色代码和红色代码Ⅱ(Code Red II)两种蠕虫病毒都利用了在 2000和Windows NT中存在的一个漏洞，即缓存区溢出攻击方式，当运行这两个操作系统的机器接收的数据超过处理范围时，数据会溢出覆盖相邻的存储单元，使其他程序不能正常运行，甚至造成系统崩溃。与其它病毒不同的是，Code Red 并不将病毒信息写入被攻击的， 它只是驻留在被攻击中。
　　最初的红色代码蠕虫病毒利用分布式拒绝服务(DDOS)对白宫网站进行攻击。安装了Windows 2000系统的一旦中了红色代码Ⅱ，蠕虫病毒会在系统中建立后门程序，从而允许远程用户进入并控制计算机。病毒的散发者可以从受害者的计算机中获取信息，甚至用这台计算机进行犯罪活动。受害者有可能因此成为别人的替罪羊。
　　虽然Windows NT更易受红色代码的感染，但是病毒除了让机器死机，不会产生其它危害。
　　7.尼姆达(Nimda，2001)
　　这种病毒也在2001年出现。尼姆达通过互联网迅速传播，在当时是传播最快的病毒。尼姆达病毒的主要攻击目标是互联网服务器。尼姆达可以通过邮件等多种方式进行传播，这也是它能够迅速大规模爆发的原因。
　　尼姆达病毒会在用户的操作系统中建立一个后门程序，使侵入者拥有当前登录账户的权限。尼姆达病毒的传播使得很多网络系统崩溃，服务器资源都被蠕虫占用。从这种角度来说，尼姆达实质上也是DDOS的一种。
　　8.灰鸽子(2001年)
　　灰鸽子是一款远程控制软件，有时也被视为一种集多种控制方法于一体的木马病毒。用户计算机不幸感染，一举一动就都在黑客的监控之下，窃取账号、密码、照片、重要文件都轻而易举。灰鸽子还可以连续捕获远程计算机屏幕，还能监控被控计算机上的，自动开机并利用摄像头进行录像。截至2006年底，“灰鸽子”木马已经出现了6万多个变种。虽然在合法情况下使用，它是一款优秀的远程控制软件。但如果做一些非法的事，灰鸽子就成了强大的黑客工具。
　　9.SQL Slammer (2003年)
　　Slammer，也称蓝宝石病毒，是一款DDOS恶意程序，透过一种全新的传染途径，采取分布式阻断服务攻击感染服务器，它利用 SQL Server 弱点采取阻断服务攻击1434端口并在中感染 SQL Server，通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染，造成 SQL Server 无法正常作业或宕机，使内部网络拥塞。在补丁和病毒专杀软件出现之前，这种病毒造成10亿美元以上的损失。蓝宝石病毒的传播过程十分迅速。和 Code Red 一样，它只是驻留在被攻击服务器的内存中。
　　10.MyDoom (2004年)
　　2004年2月，另一种蠕虫病毒MyDoom(也称Novarg)同样会在用户操作系统中留下后门。该病毒采用的是病毒和垃圾邮件相结合的战术，可以迅速在企业电子邮件系统中传播开来，导致邮件数量暴增， 从而阻塞网络。和其他病毒一样，这种病毒会搜索被感染用户计算机里的联系人名单，然后发送邮件。另外，它还会向搜索引擎发送搜索请求然后向搜索到的邮箱发邮件。最终，等搜索引擎收到数百万的搜索请求，服务变得非常缓慢甚至瘫痪。根据公司MessageLabs的资料显示，当时平均每12封邮件中就有1封携带这种病毒。和求职信病毒类似，MyDoom病毒也会进行邮件发信人伪装，这使通过邮件查询病毒来源变得极其困难。
3震荡波、Leap-A/Oompa-A、风暴蠕虫、熊猫烧香、AV终结者
　　11.震荡波 (Sasser，2004年)
　　德国的17岁Sven Jaschan2004年制造了Sasser和NetSky。Sasser通过的系统漏洞攻击。与其他蠕虫不同的是，它不通过邮件传播，病毒一旦进入计算机，会自动寻找有漏洞的计算机系统，并直接引导这些计算机下载病毒文件并执行，因此整个传播和发作过程不需要人为干预。病毒会修改用户的，不强行关机的话便无法正常关机。
　　Netsky 病毒通过邮件和网络进行传播。它同样进行邮件地址欺骗，通过22016比特文件附件进行传播。在病毒传播的时候，会同时进行拒绝式服务攻击(DoS)，以此控制网络流量。的专家认为，Netsky和它的变种曾经感染了互联网上1/4的计算机。
　　12.Leap-A/Oompa-A(2006年)
　　在斯克伦塔编写了第一个病毒后，病毒似乎绝迹了24年。2006年，Leap-A病毒，也称Oompa-A病毒出现。通过粉丝论坛上泄露的Leopard操作系统的照片在苹果用户中传播。一旦用户不小心感染了该病毒，它就会通过即时聊天程序iChat传播。当病毒进入苹果计算机后，会自动搜索iChat的联系人列表并向其中的好友发送信息，信息中附带一个损坏的JPEG图像附件。
　　病毒并不会对计算机产生太大的危害，但证明了即使是苹果计算机也有可能中毒的。随着苹果机的越来越流行，越来越多的针对苹果机的病毒将会出现。
　　13.风暴蠕虫(Storm Worm，2006年)
　　可怕的风暴蠕虫(Storm Worm)于2006年底最终确认。公众之所以称呼这种病毒为风暴蠕虫是因为有一封携带这种病毒的邮件标题为“风暴袭击欧洲，230人死亡”。有些风暴蠕虫的变种会把计算机变成僵尸或”肉鸡“。一旦计算机受到感染，就很容易受到病毒传播者的操纵。有些黑客利用风暴蠕虫制造僵尸网络，用来在互联网上发送垃圾邮件。许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。用户点击链接后，会自动下载蠕虫病毒。很多新闻社和博客认为风暴蠕虫是近些年来最严重的一种病毒。
　　14.熊猫烧香(06-07年)
　　熊猫烧香是一种经过多次变种的蠕虫病毒，日由25岁的中国湖北人李俊编写，2007年1月初肆虐网络。这是一波计算机病毒蔓延的狂潮。在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。那只憨态可掬、颔首敬香的“熊猫”除而不尽。反病毒工程师们将它命名为“尼姆亚”。病毒变种使用户计算机中毒后可能会出现蓝屏、频繁重启以及系统中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
　　15.AV终结者(2007年)
　　“AV终结者”又名“帕虫”， “AV”即是“反病毒”的英文(Anti-Virus)缩写，是一种是闪存寄生病毒，主要的传播渠道是成人网站、盗版电影网站、盗版软件下载站、盗版下载站。禁用所有杀毒软件以及大量的安全辅助工具，让用户计算机失去安全保障;破坏安全模式，致使用户根本无法进入安全模式清除病毒;AV终结者还会下载大量盗号木马和远程控制木马。AV终结者病毒病毒运行后会生成后缀名.da
4磁碟机、机器狗、震网、Conficker、OnlineGames系列盗号木马
　　16.磁碟机病毒(2007年)
　　这是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行;对于不能关闭的某些辅助工具会通过发送窗口信息洪水使得相关程序因为消息得不到处理处于假死状态;破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒，病毒会在每个分区下释放 AUTORUN.INF来达到自运行。感染除SYSTEM32目录外其它目录下的所有可执行文件。并且会感染RAR压缩包内的文件。病毒造成的危害及损失10倍于“熊猫烧香”。
　　17.机器狗病毒(2007年)
　　机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户带来严重的威胁。机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件(比如explorer.exe，userinit.exe，winhlp32.exe等)达到隐蔽启动;通过还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全。
　　18.震网(Stuxnet，)
　　震网是一种平台上针对工业控制系统的计算机蠕虫，它是首个旨在破坏真实世界，而非虚拟世界的计算机病毒，利用西门子公司控制系统(SIMATIC WinCC/Step7)存在的漏洞感染数据采集与监控系统(SCADA)，向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。这是有史以来第一个包含PLC Rootkit的计算机蠕虫，也是已知的第一个以关键工业基础设施为目标的蠕虫。据报道，该蠕虫病毒可能已感染并破坏了伊朗纳坦兹的核设施，并最终使伊朗的布什尔核电站推迟启动。不过西门子公司表示，该蠕虫事实上并没有造成任何损害。
　　19.Conficker病毒(2009年)
　　Conficker病毒是一种出现于2009年的计算机蠕虫病毒，针对的Windows。这种病毒利用了Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008和 Beta等版本操作系统所使用的Server服务中的一个已知漏洞。
　　20.OnlineGames系列盗号木马
　　这是一类盗号木马系列的统称，这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽，等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现。
（作者：腾讯科技责任编辑：杨玲）
天极新媒体&最酷科技资讯扫码赢大奖
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。
手机整机DIY企业级
pc软件手机软件盘点计算机史上最危险的五个病毒 你中过几个？
在计算机发展至今的岁月里，病毒都是一个绕不开的话题。电脑病毒的类型多种多样，它们中有的只会给电脑带来一些小麻烦，而还有一些更加危险的则有可能致使系统瘫痪或硬件受损。最近，Yahoo Tech就盘点了历史上最危险的5种电脑病毒。
1.ILOVEYOU
ILOVEYOU也许是计算机历史当中最危险的病毒。在当年，它感染了将近10%的可联网计算机，造成的经济损失高达100亿美元。这种病毒是通过电子邮件所传播的，其邮件标题就是&ILOVEYOU&。为了进一步增加诱惑力，又见当中还附带着一个题为&Love-Letter-For-You.TXT.vbs（给你的情书）&。如果你打开该文件，病毒会自动向Windows地址簿当中保存的前50个联系人发送相同的邮件。
Melissa计算机病毒在日登上了新闻头条。这种病毒同样通过邮件传播，并会包含一个名为&list.doc&的附件。点开附件之后，病毒会寻找到微软Outlook地址簿当中的前50个联系人，然后向他们发送一封题为&这是你要的文件&&不要给其他人看&的邮件。随后，FBI逮捕了病毒的制作者David L Smith，此人声称自己编写这条病毒是是为了纪念一位一见倾心的脱衣舞女郎，她的名字就叫Melissa。
My Doom是2004年爆发的病毒，它通过电子邮件传播，发件人地址和邮件主题完全随机，它所感染的计算机数量约为200万部。这种病毒的行为方式非常狡诈，收件人在收到邮件之后会看到一个类似于错误弹窗的窗口，当中写着&邮件处理失败&。而在点击该信息之后，其附件中的蠕虫病毒便会开始工作，向电脑地址簿内保存的地址继续发送邮件。外界认为，My Doom所造成的经济损失可能达到了380亿美元。
4.Code Red
通过利用微软Internet Information Server的漏洞，2001年出现的Code Red病毒开始将网络服务器作为攻击目标。这种病毒的危险之处在于，它并不需要开启邮件附件或执行文件，只要计算机连接至网络，它便会使其无法正常显示网页。Code Red造成了26亿美元的经济损失，受感染计算机多达100万部。在不到一周的时间里，该病毒搞垮了超过40万部服务器，就连白宫的网页服务器也没能幸免。
Sasser是2004年被发现的Windows蠕虫病毒。它利用了本地安全授权子系统服务（LSASS，用于监控本地账户的安全策略）存在的缓冲区溢出的易感染性，可致使计算机崩溃，不切断电源就难以进行重置。Sasser感染了数百万台计算机，一些重要的基础设施也受到影响，包括医院、航班和公共交通。
责编：梁爽
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号2016年全球计算机病毒排行榜中谁是No.1？ - 知乎专栏
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"contributes":[{"sourceColumn":{"lastUpdated":,"description":"嘶吼知乎小站，微信公众号：Pro4hou","permission":"COLUMN_PUBLIC","memberId":3093302,"contributePermission":"COLUMN_PUBLIC","translatedCommentPermission":"all","canManage":true,"intro":"回归最本质的信息安全。","urlToken":"roartalk","id":19665,"imagePath":"v2-4711cffff8f.jpg","slug":"roartalk","applyReason":"0","name":"嘶吼RoarTalk","title":"嘶吼RoarTalk","url":"/roartalk","commentPermission":"COLUMN_ALL_CAN_COMMENT","canPost":true,"created":,"state":"COLUMN_NORMAL","followers":2878,"avatar":{"id":"v2-4711cffff8f","template":"/{id}_{size}.jpg"},"activateAuthorRequested":false,"following":false,"imageUrl":"/v2-4711cffff8f_l.jpg","articlesCount":1227},"state":"accepted","targetPost":{"titleImage":"/v2-d91cd09abbc30be504ceff9_r.jpg","lastUpdated":,"imagePath":"v2-d91cd09abbc30be504ceff9.jpg","permission":"ARTICLE_PUBLIC","topics":[18953],"summary":"据Check Point收集的统计数据，勒索病毒第一次进入今年最危险的恶意软件的前3名。虽然每个人都知道勒索病毒的扩散是有多危险和多具破坏性，但是它的受害者数量并不是很多，在此之前从来没有排进前10名过，更不用说排在前3个了。勒索病毒的扩散似乎已经失去…","copyPermission":"ARTICLE_COPYABLE","translatedCommentPermission":"all","likes":0,"origAuthorId":0,"publishedTime":"T10:38:45+08:00","sourceUrl":"","urlToken":,"id":1512062,"withContent":false,"slug":,"bigTitleImage":false,"title":"2016年全球计算机病毒排行榜中谁是No.1？","url":"/p/","commentPermission":"ARTICLE_ALL_CAN_COMMENT","snapshotUrl":"","created":,"comments":0,"columnId":19665,"content":"","parentId":0,"state":"ARTICLE_PUBLISHED","imageUrl":"/v2-d91cd09abbc30be504ceff9_r.jpg","author":{"bio":"网络安全观察者","isFollowing":false,"hash":"8cc9acbaafb3f26be573","uid":556500,"isOrg":false,"slug":"hou-hou-4-12","isFollowed":false,"description":"嘶吼正式上线了（撒花！）网站地址：/ 欢迎访问","name":"嘶吼RoarTalk","profileUrl":"/people/hou-hou-4-12","avatar":{"id":"v2-2e80ce7ba6c46fe6910c","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"isBanned":false},"memberId":,"excerptTitle":"","voteType":"ARTICLE_VOTE_CLEAR"},"id":461200}],"title":"2016年全球计算机病毒排行榜中谁是No.1？","author":"hou-hou-4-12","content":"据Check Point收集的统计数据，勒索病毒第一次进入今年最危险的恶意软件的前3名。虽然每个人都知道勒索病毒的扩散是有多危险和多具破坏性，但是它的受害者数量并不是很多，在此之前从来没有排进前10名过，更不用说排在前3个了。勒索病毒的扩散似乎已经失去控制，这整件事情已经持续影响了今年整个夏秋季节，这个排进前三名的勒索病毒系列不是别的正是Locky。Locky的流行并不奇怪，大家都知道它在过去几个月进行了几次更新，并通过庞大的Necurs僵尸网络传播。根据MalwareTech收集的数据显示，有超过600万台僵尸主机发送带有Locky病毒的垃圾邮件。Check Point在上周发布的一份Proofpoint报告中证实了Locky的病毒正急剧扩散，该报告显示Locky在通过垃圾邮件传播的所有恶意文件附件中占比为97％。以下是基于Check Point数据前十名的完整排名，这个排名仅包含台式计算机的恶意病毒。移动通讯工具的恶意病毒前三名由HummingBad，Triada和Ztorg组成。1.ConfickerConficker是一种针对Windows计算机的病毒，它在2008年秋季时出现。尽管现在开始对Windows XP下手，而这个病毒也仍在不断演变中。当前Conficker会从一台主机感染到另一台主机,它不仅是一个“感染”的工具,它还可以从指定的C&C服务器下载其他恶意软件。该病毒会窃取主机的认证信息并且会禁用安全软件。2.Sality这种病毒出现在二十一世纪早期，更准确地说，是在2003年出现的。Sality能够通过不同的方法感染计算机，据说这种病毒是源于俄罗斯。Sality是一个多态的恶意软件，它不断进化，很难被检测到。它通过感染可执行文件，然后下载更复杂的恶意软件进行运作。就像Conficker，Sality是由一个庞大的僵尸网络所控制的。3.Locky这是一个勒索病毒系列，它出现在2016年初，以当前无法破解的加密算法锁定人们的文件。Locky通过利用工具包，宏恶意软件或通过包含JS，WSF，HTA或LNK文件的ZIP电子邮件附件进行传播。在大多数情况下，这些垃圾邮件来源于Necurs僵尸网络，由同组织进行管理，并传播Dridex银行木马。4.Cutwail它是通过使用Pushdo木马创建的僵尸网络，在2007年首次出现，用于发送垃圾邮件，有时也进行DDoS攻击。这种僵尸网络使用简单的星型架构与C&C服务器进行通讯。这也引出了一个问题，为什么迄今为止当局没有采取措施处理掉它。5.Zeus这是一个著名的银行木马，它的源代码早在几年前就泄漏了，Zeus也是目前大多数针对计算机用户的银行木马程序的基础。Zeus利用浏览器中间人监控键盘的输入记录，从而窃取客户的数据。6.Chanitor这种计算机病毒也被称为Hancitor或H1N1，Chanitor是一个恶意软件的媒介，只是其他更强大的恶意软件的一个垫脚石。黑客使用垃圾邮件来传播木马，在大多数情况下，Chanitor通过银行木马侵入到受害者的机器设备里。7.TinbaTinba也被称为Tiny Banker或Zusy，是世界上最小的银行木马之一。在过去，黑客喜欢用它来攻击亚洲国家的用户。这种木马通过页面注入在真正的银行门户上显示假的网页。8.Cryptowall它是作为CryptoLocker系列的变体而被创建的勒索病毒，现在则取代了CryptoLocker。骗子主要通过恶意广告和网络钓鱼来传播Cryptowall，目前没有解密器可以强行破解这种勒索软件的加密算法。9.Blackhole这是一个由29岁的俄罗斯人Dmitry Fedotov创建的漏洞利用工具包。在Fedotov被捕后，这个漏洞利用工具包已经开源了，并已在各个犯罪集团中互相传递。曾被认为是漏洞利用工具包市场中的巅峰之作，而如今，这个漏洞利用工具包在很大程度上已失去维护，并且跟其竞争对手相比已经没有任何优势了。10.Nivdort它也称为Bayrob，这种模块化后门木马是在2007年开发的，但最近经过改造，因此其活跃程度有了新的飙升。骗子通过垃圾邮件传播Nivdort，并使用它收集密码，修改系统设置以及下载其他恶意软件。注：本文参考来源softpedia","updated":"T02:38:45.000Z","canComment":false,"commentPermission":"anyone","commentCount":1,"collapsedCount":0,"likeCount":1,"state":"published","isLiked":false,"slug":"","isTitleImageFullScreen":false,"rating":"none","titleImage":"/v2-d91cd09abbc30be504ceff9_r.jpg","links":{"comments":"/api/posts//comments"},"reviewers":[],"topics":[{"url":"/topic/","id":"","name":"计算机病毒"}],"adminClosedComment":false,"titleImageSize":{"width":343,"height":256},"href":"/api/posts/","excerptTitle":"","column":{"slug":"roartalk","name":"嘶吼RoarTalk"},"tipjarState":"inactivated","annotationAction":[],"sourceUrl":"","pageCommentsCount":1,"hasPublishingDraft":false,"snapshotUrl":"","publishedTime":"T10:38:45+08:00","url":"/p/","lastestLikers":[{"bio":"「没什么可爱就没什么可悲。」","isFollowing":false,"hash":"c67d85d5c8db9d9b8168","uid":00,"isOrg":false,"slug":"xin-bu-zai-yan-70","isFollowed":false,"description":"funny when u're dead how people start listening","name":"青衿","profileUrl":"/people/xin-bu-zai-yan-70","avatar":{"id":"5e87dde101","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"isBanned":false}],"summary":"据Check Point收集的统计数据，勒索病毒第一次进入今年最危险的恶意软件的前3名。虽然每个人都知道勒索病毒的扩散是有多危险和多具破坏性，但是它的受害者数量并不是很多，在此之前从来没有排进前10名过，更不用说排在前3个了。勒索病毒的扩散似乎已经失去…","reviewingCommentsCount":0,"meta":{"previous":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/50/v2-b7f266c5e268a54e5da7_xl.jpg","links":{"comments":"/api/posts//comments"},"topics":[{"url":"/topic/","id":"","name":"渗透测试"}],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"bio":"网络安全观察者","isFollowing":false,"hash":"8cc9acbaafb3f26be573","uid":556500,"isOrg":false,"slug":"hou-hou-4-12","isFollowed":false,"description":"嘶吼正式上线了（撒花！）网站地址：/ 欢迎访问","name":"嘶吼RoarTalk","profileUrl":"/people/hou-hou-4-12","avatar":{"id":"v2-2e80ce7ba6c46fe6910c","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"isBanned":false},"column":{"slug":"roartalk","name":"嘶吼RoarTalk"},"content":"00
前言近日，Proofpoint的MatthewMesa和Axel F发现了一种新型钓鱼方式,攻击者将故障排除包 (troubleshooting pack)作为邮件附件,欺骗用户运行,隐蔽执行Payload。他们在文章中 介绍了攻击者采用的方法和隐藏手段,提示用户对此提高警惕。本文将站在技术研究的角度,介绍如何开发一个包含payload的故障排除包,并结合攻击思路分析防御方法,希望能帮助大家对这项技术有进一步的认识。01
简介Windows故障诊断平台:英文翻译Windows Troubleshooting Platform,缩写为WTP。开发商可基于该平台编写故障排除包(troubleshooting pack),帮助用户解决遇到的PC问题 WTP结构如图简要流程如下: 1. 检查故障排除包的数字签名,如果不可用,直接退出\n2. 依次执行检测脚本(detection scripts)、解决脚本(resolution scripts)、验证脚本 (verification scripts),尝试解决故障\n3. 生成结果报告和调试报告\n故障排除包:由五个组件构成:1. 故障排除清单(Troubleshooting manifest) \n2. 检测脚本(detection scripts) \n3. 解决脚本(resolution scripts)\n4. 验证脚本(verification scripts) \n5. 本地化资源(localized resources) \n详情如图02
开发故障排除包官方开发工具: TSPDesigner 注: 该工具包含于Windows 7 SDK中，实际测试只有v7.0和v7.1包含此工具Windows 7 SDK version 7.0需要搭配.NET Framework 3.5 SP1,下载地址如下: /en-us/download/details.aspx?id=3138\nWindows 7 SDK version 7.1需要搭配.NET Framework 4,下载地址如下: /en-us/download/details.aspx?id=8279\nTSPDesigner位于默认目录 C:\\ProgramFiles\\Microsoft SDKs\\Windows\\v7.1\\Bin\\TSPDesigner 下,包含以下内容: 详细开发介绍可参照: /en-us/library/windows/desktop/dd323712(v=vs.85).aspx\n下面实例演示如何通过TSPDesigner生成测试故障排除包 1.设置属性,也就是故障包的第一页Project Name: testwtpProject Description: troubleshooting pack test Privacy URL: 2.添加root cause,点击Add New Root Cause,设 置故障信息Root Cause ID: ServiceIsStoppedRoot Cause Name: The service is stopped.Root Cause Description: The service is stopped.You need enable it. 3.设置Troubleshooter 指定需要提升权限,关闭交互4.设置Resolver Resolver Name: StartTheService ResolverDescription: Start the service. Prompt the User: NoElevation: YesInteractions: No指定需要提升权限,关闭用户警告,关闭交互5.设置Verifier 选择No,不需要确定故障被解决6.设置Scripts 注:由于在步骤3、4指定了提升权限,所以此处的TroubleshooterScript和Resolver Script已经具有管理员权限，可在此处添加payload 7.设置数字签名选择Project-Options,找到Code Signing 可选择使用Test Certificate或是指定一个证书 测试默认选择Use Generated Test Certificate 8.生成选择Build-Build Pack 生成如下文件:1. TS_ServiceIsStopped.ps1对应Troubleshooter Script \nRS_ServiceIsStopped.ps1对应Resolver Script \n注: 查看这两个ps脚本可以发现其中包含的payload2. testwtp.diagpkg为清单文件,包含troubleshooting pack中的参数,格式为xml,具体语法可参考: /en-us/library/windows/desktop/dd323781(v=vs.85).aspx\n3.DiagPackage.cat保存该troubleshooting pack的数字签名 注:DiagPackage.cat文件中的数字签名可通过双击查看如图4.cab目录下的testwtp.diagcab为封装好的troubleshooting pack,包含以上文件的信息如图,运行过程中执行payload,弹出管理员权限的cmd.exe03
测试运行故障排除包将生成的.diagcab文件放到另一个测试系统 报错,如图这是由于使用的默认Test Certificate在新系统无法被识别,可在TSPDesigner同级目录下找 到证书文件 TestWindowsTroubleShooting.cer ,安装至受信任的根证书颁发机构,如图数字签名成功识别,如下图注: 此处显示的发布者名称对应签名证书使用的颁发者, 为 TestCertforWindowsTroubleShooting 当然,如果使用一个默认可信的证书,那么该故障排除包默认被信任,可直接运行 点击隐私声明,弹出步骤1中设置的Privacy URL:至此,成功实现测试故障排除包04
小结在渗透测试中,使用troubleshootingpack有如下好处: 1. 更加隐蔽,.diagcab文件不常见 \n2. 更具欺骗性,用户往往对故障排除功能失去警惕 \n3. 可直接获得管理员权限 \n4. 内嵌钓鱼页面,可指定隐私声明的链接\n防御建议: 微软在一开始就已经注意到了这个问题,所以为troubleshooting pack添加了数字签名验证, 所以当遇到troubleshooting pack时(比如某个操作触发了故障修复),首先要对发布者的身 份进行判断。注:微软提供的troubleshootingpack中发布者名称默认为Microsoft Corporation 注：本文属原创奖励计划文章，未经许可禁止转载","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T10:07:38+08:00","url":"/p/","title":"干货 | 故障诊断平台在渗透测试中的应用技巧","summary":"00 前言近日，Proofpoint的MatthewMesa和Axel F发现了一种新型钓鱼方式,攻击者将故障排除包 (troubleshooting pack)作为邮件附件,欺骗用户运行,隐蔽执行Payload。他们在文章中 介绍了攻击者采用的方法和隐藏手段,提示用户对此提高警惕。 本文将站在技术研究…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":0,"likesCount":1},"next":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"/50/v2-ab91adb7c5c81b248364b_xl.jpg","links":{"comments":"/api/posts//comments"},"topics":[{"url":"/topic/","id":"","name":"XSS"}],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"bio":"网络安全观察者","isFollowing":false,"hash":"8cc9acbaafb3f26be573","uid":556500,"isOrg":false,"slug":"hou-hou-4-12","isFollowed":false,"description":"嘶吼正式上线了（撒花！）网站地址：/ 欢迎访问","name":"嘶吼RoarTalk","profileUrl":"/people/hou-hou-4-12","avatar":{"id":"v2-2e80ce7ba6c46fe6910c","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"isBanned":false},"column":{"slug":"roartalk","name":"嘶吼RoarTalk"},"content":"摘要NoScript（也就是NoScript安全套件）是免费开源的安全套件，对非可信站点提供JavaScript，Java，Flash和其他插件进行保护，同时也提供一些额外的保护，从而最大限度的保护用户。NoScript 安全套件是一款火狐浏览器或者Mozilla内核浏览器的插件，主要是用来阻止浏览器运行非可信网站的JavaScript，flash，Java等，只有白名单内的站点才能运行这些代码。本篇文章主要是讨论几种不同的绕过NoScript安全套件的方式，同时提供了几个解决方案和修复建议。使用NoScript检测漏洞这类绕过方式是使用NoScript检测漏洞，这个漏洞主要被JulienVoisin和Gareth Heyes等研究员验证出来的。不过这类漏洞大多已经被修复了，这里就不详细介绍，大家可以直接看原文。利用白名单站点的Cross Site Script漏洞这种绕过方式就是通过报名单列表中的网站存在的Cross-Site Scripting漏洞。因为白名单中的站点是允许在浏览器中执行JavaScript脚本的，只要有一个简单的XSS漏洞就可以了。虽然NoScript本身也提供了cross-sitescript过滤器，但是他并不能完全阻止XSS攻击。验证安装NoScript的时候站点会被默认加入白名单中。这个站点中我找到了一个XSS漏洞，同时也已经上报给了Microsoft。这个漏洞的详情这里就不详细写，只写一些与绕过相关的部分。图1 站点中的xss漏洞证明这个浏览器安装了NoScript，可以看到，XSS被触发了，并没有被NoScript安全套件拦截。利用MITM攻击这种攻击方式和其他的都不同，是利用典型的MITM（中间热攻击）自动化绕过NoScript安全套件。我们现在已经知道NoScript是通过白名单上的站点来确定哪些网站可以自由执行脚本。也就是说，所有的安全全部依赖于白名单上网站的站点安全，以及该网站所在的内网的安全情况。那么，只要在内网中欺骗用户的浏览器，就能执行JavaScript脚本，NoScript就能被绕过。请注意，这并不是理论上的可行，接下来，我将对此进行演示：步骤重现1. 受害者使用Firefox，同时将NoScript安全套件开启\n2. 攻击者有权限进入受害者内网\n3. 受害者发送一个HTTP请求到一个web站点\n4. 攻击者拦截响应包，并且在其中注入一段隐藏的iframe代码，代码指向白名单内的站点\n5. 受害者的浏览器向白名单站点发送一个请求\n6. 攻击者拦截响应包，并且注入JavaScript代码\n7. 受害者的浏览器接收到改过的响应包\n8. 浏览器执行JavaScript\nPOC关于poc我写过很多，这里我用的是BetterCap框架，这是一款中间人攻击框架。在进行中间人攻击的时候，这个框架是非常好用的。我写的poc也是BetterCap的模块。使用方法：$bettercap -G [GATEWAY] -T [TARGET] --proxy--proxy-module hack_noscript_poc.rb\n现在，只要受害者浏览器发出一个HTTP请求，BetterCap就会自动完成剩下的所有工作图2 JavaScript执行了如上图，已经成功触发了或上的cross-site scripting漏洞，这也是通过BetterCap在内网对受害者进行中间人攻击的结果。解决方案以下建议可以减少此类问题：1. 将NoScript升级到最新版本\n2. 如果你想最大程度的保护自己，那么可以根据接下来的部分进行配置\n建议1. 确保“阻止除了HTTPS链接外的网站”选项为“Always”\n2. 验证白名单中的网站，删除不必要的站点\n注：本文参考来源于mazinahmed","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T10:39:53+08:00","url":"/p/","title":"如何用Cross-Site Scripting和MITM绕过NoScript安全套件","summary":"摘要NoScript（也就是NoScript安全套件）是免费开源的安全套件，对非可信站点提供JavaScript，Java，Flash和其他插件进行保护，同时也提供一些额外的保护，从而最大限度的保护用户。NoScript 安全套件是一款火狐浏览器或者Mozilla内核浏览器的插件，主要是…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":0,"likesCount":1}},"annotationDetail":null,"commentsCount":1,"likesCount":1,"FULLINFO":true}},"User":{"hou-hou-4-12":{"isFollowed":false,"name":"嘶吼RoarTalk","headline":"嘶吼正式上线了（撒花！）网站地址：/ 欢迎访问","avatarUrl":"/v2-2e80ce7ba6c46fe6910c_s.jpg","isFollowing":false,"type":"people","slug":"hou-hou-4-12","bio":"网络安全观察者","hash":"8cc9acbaafb3f26be573","uid":556500,"isOrg":false,"description":"嘶吼正式上线了（撒花！）网站地址：/ 欢迎访问","badge":{"identity":null,"bestAnswerer":null},"profileUrl":"/people/hou-hou-4-12","avatar":{"id":"v2-2e80ce7ba6c46fe6910c","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"isBanned":false}},"Comment":{},"favlists":{}},"me":{},"global":{"experimentFeatures":{"ge3":"ge3_9","ge2":"ge2_1","nwebStickySidebar":"sticky","newMore":"new","liveReviewBuyBar":"live_review_buy_bar_2","liveStore":"ls_a2_b2_c1_f2","isOffice":"false","homeUi2":"default","answerRelatedReadings":"qa_recommend_with_ads_and_article","remixOneKeyPlayButton":"headerButton","asdfadsf":"asdfad","qrcodeLogin":"qrcode","newBuyBar":"livenewbuy3","isShowUnicomFreeEntry":"unicom_free_entry_off","newMobileColumnAppheader":"new_header","zcmLighting":"zcm","favAct":"default","appStoreRateDialog":"close","mobileQaPageProxyHeifetz":"m_qa_page_nweb","iOSNewestVersion":"4.2.0","default":"None","wechatShareModal":"wechat_share_modal_show","qaStickySidebar":"sticky_sidebar","androidProfilePanel":"panel_b","nwebWriteAnswer":"experiment"}},"columns":{"next":{},"roartalk":{"following":false,"canManage":false,"href":"/api/columns/roartalk","name":"嘶吼RoarTalk","creator":{"slug":"missryan"},"url":"/roartalk","slug":"roartalk","avatar":{"id":"v2-4711cffff8f","template":"/{id}_{size}.jpg"}}},"columnPosts":{},"columnSettings":{"colomnAuthor":[],"uploadAvatarDetails":"","contributeRequests":[],"contributeRequestsTotalCount":0,"inviteAuthor":""},"postComments":{},"postReviewComments":{"comments":[],"newComments":[],"hasMore":true},"favlistsByUser":{},"favlistRelations":{},"promotions":{},"switches":{"couldAddVideo":false},"draft":{"titleImage":"","titleImageSize":{},"isTitleImageFullScreen":false,"canTitleImageFullScreen":false,"title":"","titleImageUploading":false,"error":"","content":"","draftLoading":false,"globalLoading":false,"pendingVideo":{"resource":null,"error":null}},"drafts":{"draftsList":[],"next":{}},"config":{"userNotBindPhoneTipString":{}},"recommendPosts":{"articleRecommendations":[],"columnRecommendations":[]},"env":{"edition":{},"isAppView":false,"appViewConfig":{"content_padding_top":128,"content_padding_bottom":56,"content_padding_left":16,"content_padding_right":16,"title_font_size":22,"body_font_size":16,"is_dark_theme":false,"can_auto_load_image":true,"app_info":"OS=iOS"},"isApp":false},"sys":{},"message":{"newCount":0},"pushNotification":{"newCount":0}}}