本篇文章给大家谈谈超级工厂病毒,以及超级工厂病毒病毒专杀对应的知识点,希望对各位有所帮助,不要忘了收藏本站!
这两天很多人都被比特币勒索病毒“永恒之蓝“给弄傻了,一言不合就加密硬盘,还只收比特币,简直让人没法沟通了。其实这“永恒之蓝”并不算是一个性质很恶劣的病毒,在漫长的病毒发展史上充其量就是一个小兄弟,而伴随着计算机发展这几十年,病毒与反病毒之间的斗争一直不曾消亡,接下来铁柱就跟大家介绍几个历史上最负盛名的“著名”病毒,看一看你是否中招过!
1. CIH(1998年)
提到病毒,首屈一指的莫过于当年的CIH了。它的厉害之处就在于,其他病毒破坏的都是电脑软件(充其量也就是操作系统、数据文件一级),而CIH破坏的是电脑硬件(让电脑无法开机)!当时恢复的方法,除了彻底清除硬盘数据外,还需要借助专业工具重写主板BIOS。也正是从那个时代开始,杀毒厂商才冒出了所谓的专杀工具,而主板厂商也因此开发出了双BIOS这样一些很奇葩的设计。
2. 红色代码(2001年)
“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒,感染运行Microsoft IIS Web服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全。
红色代码病毒
3. 冲击波(2003年)
冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的,该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机,找到后就利用DCOM/RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统奔溃。另外,该病毒还会对系统升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows 2000\XP\Server 2003\NT4.0。
制造冲击波变种的少年
4. 震荡波(2004年)
“冲击波”余音未消,“震荡波”又来了,时隔一年之后又一款和冲击波表现类似的电脑病毒重回网友电脑。从名称上看,这两款病毒貌似区别并不是很大,甚至连重启提示都长得一样一样的。但实际上冲击波利用的是系统RPC漏洞,而震荡波利用的则是系统LSASS漏洞。甭管怎么说吧,反正这两种病毒始终都是那个时代的噩梦!
与“冲击波”齐名的“震荡波”病毒
5. 熊猫烧香(2006年)
提到熊猫,我们总会想起那憨憨可爱的样子,谁能想到它也会摇身一变成为一款令人胆战心惊的计算机病毒呢?2006年底到2007年初短短两个月时间里,一款名叫“熊猫烧香”的病毒便席卷了整个神州大地,一时间各大网站、个人电脑都被一个很诡异的病毒图标所覆盖——一只正在烧香的熊猫。除了图标外,熊猫烧香也会更改部分系统文件,造成个人数据丢失。而它的始作俑者——湖北武汉新洲区人李俊,也在当年被判处4年有期徒刑!
很多人都见过的“熊猫烧香”
6. 磁碟机(2007年)
磁碟机病毒又名dummycom病毒,是近一个月来传播最迅速,变种最快,破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户!“磁碟机”现已经出现100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。
磁碟机病毒
7. 超级工厂病毒(2010年)
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。
火爆当年的“超级病毒”Stuxnet
8. WannaCry
WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。
目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,最终带来了这一次攻击了150个国家的勒索病毒。
WannaCry永恒之蓝病毒
写在最后
纵观这些年间计算机病毒的发展历史,不难发现,尽管病毒是伴随着计算机与互联网同步生成的一个产物,但随着各种安全防护工具普及,以及人们安全意识的提高,近些年类似“熊猫烧香”这样的恶性病毒已经越来越少见了。不过近期爆发的WannaCry还是给我们敲响了一记警钟,定期打补丁,定期给重要数据做备份,永远都不是一个落伍的话题!警钟长鸣,做好备份!
Worm.Win32.Stuxnet病毒分析名称:Worm.Win32.Stuxnet
病毒概述:
这是一个可以通过微软MS10-046漏洞(lnk文件漏洞),MS10-061(打印服务漏洞),MS08-067等多种漏洞传播的恶性蠕虫病毒。另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击,以获取其需要的信息。
技术细节:
传播方式:
1. 通过MS10-046漏洞传播
病毒运行后会拷贝自身到移动存储上并命名为~WTR数字.Tmp(动态库)和一个注入下列文件名的lnk文件组成:
Copy of ShortCut to .lnk
Copy of Copy of ShortCut to .lnk
Copy of Copy of Copy of ShortCut to .lnk…
在存在MS10-046漏洞的机器上,只需浏览这些lnk,Explorer.exe就会将~WTR数字.Tmp加载起来。
2. 通过MS10-061漏洞传播
该病毒还会利用打印机或打印机共享漏洞MS10-061漏洞传播。病毒会将自身拷贝到存在该漏洞的远程机器的%system%目录下,并利用WMI将其执行起来。
3. 通过共享文件夹传播
该病毒还会试图将自身拷贝到局域网共享文件夹下,并命名为类似DEFRAG(随机数字).tmp的名称。
4. 通过MS08-067漏洞传播
该病毒还会利用MS08-067漏洞传播。
病毒的主要功能以及大致流程:
当用户浏览可移动存储上的Copy of ShortCut to .lnk文件后,Explorer.exe会加载~WTR数字.Tmp,然后病毒会加载自身的另一个名为~WTR数字.Tmp的动态库。在加载该恶意dll时,病毒并没有通过普通的LoadLibrary函数加载,为了隐藏自身模块,同时为了达到不释放文件来加载病毒模块的目的,它采取了一个特殊方式。病毒会首先hook ntdll的一些导出函数,然后,它会构造一个特殊的并不存在的文件名如Kernel32.dll.aslr,然后以此为参数调用LoadLibrary,正常情况下,该调用会失败因为该文件并不存在,但是因为病毒已经提前Hook了Ntdll,hook函数会监控对此类特殊文件名的打开操作。如果发现是自身构造的虚假文件名,则会重定向到其他位置,比如另一个文件或者通常情况下是一块已经被病毒解密过的内存,这样,外界看到的是一个常见的模块名比如Kernel32,而实际上是病毒模块。这样病毒就达到了隐藏自身的目的。
之后病毒会运行lsass.exe并修改程序的内存,然后释放如下文件:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
%Windir%\inf\oem6C.PNF
%Windir%\inf\oem7A.PNF
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
并在可移动存储上创建~WTR数字.Tmp和Copy of ShortCut to .lnk等文件。
Mrxcls.sys 和Mrxnet.sys具有合法的数字签名。
由于调用了lsass.exe这个系统进程做坏事,因此在中毒机器内会看到至少3个lsass.exe进程。(有两个是病毒启动的)
然后病毒会将自身注入到services.exe,在services中,病毒会通过查找SOFTWARE\SIEMENS\STEP7,SOFTWARE\SIEMENS\WinCC\Setup等注册表项检测西门子软件。病毒还能禁用Windows Defender等杀毒软件的保护。
病毒具有后门功能: 病毒会通过80端口连接远程服务器并发送请求http://[SERVER_ADDRESS]/index.php?data=[DATA]
其中服务器地址为:
www.****
www.*****
发送的数据包括:
1、Windows版本信息
2、计算机名
3、网络组名称
4、是否安装了工控软件
5、网卡的IP地址
发送完毕数据后,病毒会等待服务器响应,之后病毒可以根据服务器的要求执行以下功能:
1、读文件
2、写文件
3、删除文件
4、创建进程
5、注入dll
6、加载dll并运行
7、更新配置信息
8、下载文件,解密并执行
Rootkit隐藏功能:
病毒具有良好的隐藏性。病毒会查找totalcmd.exe,wincmd.exe等进程,挂钩kernel32.dll的FindFirstFileW,FindNextFileW,FindFirstFileExW,Ntdll的NtQueryDirectoryFile,ZwQueryDirectoryFile函数隐藏其释放的.lnk或者~WTR(数字).tmp文件。使得通过此类文件查找工具也无法找到他们。
针对工控软件(SCADA)的攻击功能:
病毒会利用SieMens Simatic Wincc的默认密码安全绕过漏洞利用默认的用户名和密码并利用已经编写好的SQL语句读取数据库数据。漏洞详情:****
尝试从数据库中读取特定数据:
GracS\cc_tag.sav
GracS\cc_alg.sav
GracS\db_log.sav
GracS\cc_tlg7.sav
*.S7P
*.MCP
*.LDF
工控系统都包括一个可编程控制器,该控制器实际相当于一个小型的计算机系统,通过配置该系统,可以向控制器中写入新的控制逻辑,从而完成不同的功能。该控制器可以通过专门的软件连接到计算机,从计算机中可以编写工控程序并下载到工控系统中运行。
工控软件要进行控制和编程,需要通过西门子Step 7软件来进行控制,该软件要通过使用内部的s7otbxdx.dll同设备进行通信,病毒通过替换此dll来截获所有与设备间的访问。病毒自身导出了所有原始s7dotbxdx.dll的功能,然后病毒将原始的s7otbxdx.dll重命名为s7otbxsx.dll,然后将自身命名为s7otbxdx.dll,病毒内部再加载s7otbxsx.dll,这样,如果是病毒感兴趣的访问,则病毒可以替换设备传入或者传出的结果,对于其他访问,病毒直接重定向到原始的s7otbxdx.dll。
当向工控系统中写入控制代码时,病毒会修改写入的控制代码,从而感染工控系统。
实际上,在内部,病毒一共hook了16个函数,分别是:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
通过对这些函数的挂钩从而可以任意修改从计算机中写入到工控软件中的代码。当向工控软件正常写入程序时,病毒会感染写入的代码,将自身写入工控软件代码块的头部并修改工控软件的控制结构,使其入口点指向病毒代码。
另外病毒会监控所有与工控软件之间的读写通信,如果发现访问到被感染的块,则会修改返回结果隐藏块中的病毒代码,从而使用户不会发现。
超级工厂病毒。楼主下载运行360系统急救箱勾选强力查杀即可解决!
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。 传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。
超级工厂病毒最大的特点为:打破恶意程序只攻击用户电脑的“惯例”,将攻击目标偏向于用户的生活与生存环境上来。一旦用户的电脑不幸遭受“超级工厂病毒”-Stuxnet入侵,不但会使用户电脑变成任由其摆布的“肉鸡”,严重影响到用户的日常生活,而且还会引发“多米诺骨牌效应”,导致与受害用户联网的人群遭受同样攻击。
通过USB接口。
凡是感染了病毒的存储设备连接到USB接口上,病毒将自动复制侵入主机。
关于超级工厂病毒和超级工厂病毒病毒专杀的介绍到此就结束了,不知道你从中找到你需要的信息了吗?如果你还想了解更多这方面的信息,记得收藏关注本站。
发布时间:2023-04-30 06:18
上述文字是💠《超级工厂病毒病毒专杀 历史上最负盛名的电脑病毒 还记得"熊猫烧香"吗?》✨的美文内容,大家如想要阅读更多的短文学、文学名著、精品散文、诗歌等作品,请点击本站其他文章进行赏析。
版权声明:本文由互联网用户自发贡献,该文仅代表作者观点。芒果文学仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请发送邮件进行举报,一经核实本站将立刻删除。
vivo Y78+有三个版本,8GB+128GB售价1599元;8GB+256GB售价1799元;12GB+256GB售价1999元。配色方面,vivo Y78+有三个配色,分别为天青色、月影黑、暖阳金。 vivo已经官宣,vivo Y78+手机将于2023年4月...
本文目录一览: 1、烧碱的化学式 烧碱是什么 2、烧碱是什么?它有哪些用途呢 3、烧碱的用途是什么? 4、烧碱是什么 5、烧碱是什么? 烧碱的化学式 烧碱是什么 1、烧碱的化学式:...
导读:孩子今年5岁了,在上幼儿园,老师反映说在学校不老实,喜欢推人,挨个推,告诉他不能推小朋友,他嘴上答应,去了还推,说是在做游戏,老师也没辙了,有没有好办法,小孩...
本篇文章给大家谈谈别克赛欧,以及别克赛欧三厢对应的知识点,希望对各位有所帮助,不要忘了收藏本站! 内容导航: 别克赛欧的车速传感器坏了影响启动车吗 02年别克赛欧油箱里的...
进入BIOS里面bios里面设置开机先读取设备默认电脑硬盘设置CD-ROM (光盘) 或者 USBFlash Disk(u盘或移动硬盘)设置优先打开方法:电脑开机时按 DEL键 或者 F2键 进入BIOS-------选择Advanced...
白色的粘土做大概的。然后搓一点长条接上去然后用色粉上色。 之前我给孩子买的超市那种一包包的超轻粘土,孩子不会玩,后来浪费了很多,都扔掉了。后来就换了带绘本教程的那种...
电子设备的屏幕和我们的视觉体验息息相关,屏幕的刷新率越高我们的体验就越好,很多朋友好奇redmipad的刷新率和尺寸是多少,下面就由小编为大家介绍一下! redmipad屏幕刷新率多少...
导读:看到别人家的孩子都哇哇叫的读书,人家都说书中自有黄金屋,我也想让我的孩子有很强的阅读能力,还能拓展他的知识,对语文写作文也肯定有很大的帮助,但是我应该怎么培...
你是不是关闭了ansys的开机启动项?选择开机启动,就ok。 可以从网上下载专用的视频制作软件,通过播放它的时候把它录制下来啊 具体软件挺多的随便找一个就行了 maxwell的比较。两...
导读:搭搭撒撒的意思?下面为大家带来介绍。1、搭搭撒撒释义:眼皮下垂。引申为没精打采的样子。2、搭搭撒撒的拼音:[dā dā sā sā]。3、出处:明·周辑 1、搭搭撒撒释义:眼皮下...
本文目录一览: 1、椰子鞋带系法 2、椰子8种漂亮的系鞋带方法 3、椰子鞋鞋带怎么穿 4、椰子的系鞋方法 给你支一招 椰子鞋带系法 椰子鞋带系法如下: 1、先从鞋盒里面将YEEZY BOOST 3...
10月9日晚间,得利斯披露了公司与青岛新快进出口有限公司的战略合作协议,双方将充分发挥在资源、资金、管理、人才、市场等方面的优势,根据业务发展需要进行全方位合作,加强...
导读:刚上一年级的小孩,不爱写作业,现在每天放学回家以后还是只知道玩,我催他写作业,他就不高兴,有的时候还跟我闹脾气。其他孩子都是不输在起跑线上,他一年级就这么懒...
我们北京长虹官方服务电话:010-81101160 北京长虹电视维修,在选用配件方面严把质量关,直接从厂家购进配件,从而杜绝了假冒伪劣配件的使用。为我们的维修服务质量提供保障。 长...
导读:水貂绒裤子能水洗吗?下面一起来看看吧。1、水貂绒裤子是可以水洗的,但不要机洗,除非是用专业的机器进行清洗,但如果只是家用的普通洗衣机就不要用来洗水貂绒裤子 1、...
1、在浏览器上搜索水星路由器的IP地址,直接回车。 2、下一步,继续通过用户名和密码点击登录。 3、这个时候,需要找到图示按钮并选择进入。 4、如果没问题,就设置相关的无线网...