本文目录一览:
911事件后的生物病毒事件
给你当时的网络报导
最近,除了恐怖分子制造美国“911”事件令全球局势紧张之外,互联网上也是新病毒倍出。
据悉,FBI的国家基础组织保护中心(NIPC)近日提醒各商业公司注意,最近网上打着“爱国主义”旗号的黑客行动十分频繁。同时NIPC警告,至少有一种病毒(LifeStage)的名字被改为WTC.txt.VBS,目的显然是为了使它传播得更广泛。
而计算机安全专家18日表示,一种破坏力较强的新病毒从18日开始已经象野火一样开始在互联网上蔓延,遭到攻击的不仅包括家用个人电脑而且包括商用服务器。专家指出,这种名为“尼姆达”的病毒也许传播范围和破坏程度甚至超过前一段时间极度肆虐的“红色代码”病毒。
专家表示,这种新病毒通过被感染的电子邮件进行传播,另外它还可以造成网站被感染,而一旦用户登陆遭到感染的网站并且其互联网浏览器没有安装修补软件,那么整个计算机系统都有可能遭到病毒感染。专家表示,到目前为止带有这种病毒的电子邮件大多没有主题,其附件一般都是“readme.exe”形式。
不过,专家指出迄今为止好象还没有发现这种新病毒具有删除计算机内文件或数据的能力,只是当这种病毒在进行自我复制时会导致计算机的运行变得缓慢。据称,这种病毒目前已在美国、欧洲以及拉丁美洲出现,而且很可能会以较快的速度向其他地区传播。
专家指出,这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与“红色代码”病毒相同。在实施攻击时,这种新病毒通常采用三种方式,一是通过电子邮件传输,二是攻击安全性不高的服务器,三是攻击软盘驱动器。
专家认为,这种新病毒之所以广泛传播是因为人们没有安装修补软件,因此敦促企业和个人用户尽快更新防毒软件。
据中国国家计算机病毒紧急反应中心称,北京、深圳和安徽等地的100多台计算机已经感染了尼姆达病毒。据悉,这100台计算机都是通过电子邮件感染尼姆达病毒的,日本农业部以及微软公司的日本网站都已受到了袭击,美国和日本专家都已经采取紧急措施对尼姆达采取防止措施,他们警告电脑用户要小心收发电子邮件,以防感染病毒。
另外,继“红色代码”、“蓝色代码”恶性病毒后,我国又发现一种名为“中国一号”的网络蠕虫病毒。计算机一旦遭到感染,将无法工作。
据了解,“中国一号”病毒是利用微软浏览器的漏洞,编写出的一种传播能力很强的病毒,可以传染WINDOWSNT、WINDOWS2000等操作系统。当浏览含有“中国一号”病毒的邮件时,病毒可以利用病毒体内的代码对计算机进行感染和破坏,并找出计算机内的电子邮件发送地址发送病毒本身。
专家介绍说,这个病毒兼有“欢乐时光”和“蓝色代码”病毒的破坏性,目前感染这一病毒的用户估计已经超过百万。
有谁知道这是什么病毒?要怎么才能清除呢?
病毒名称: Worm.Novarg.b
中文名称: 诺维格变种
威胁级别: 3A
病毒别名: SCO炸弹变种 [瑞星]
W32/Mydoom.b@MM [McAfee]
WORM_MYDOOM.B [Trend]
W32.Mydoom.b@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003
“诺维格”变种B(又名:SCO炸弹,英文又名:Mydoom.b)使用和原版病毒相同的传播机制,但更恶毒的是该病毒攻击的目标开始转向微软,在向SCO发起DoS(拒绝服务)攻击的同时也向微软的官方网站发起相同的攻击。另外,此次变种还加入了对单机用户的影响,它屏蔽了许多知名反病毒厂商、网络安全厂商的官方网站地址和升级地址,造成一些单机用户的反病毒软件和网络防火墙不能正常升级。
技术特点
A.创建如下文件:
%System%\Ctfmon.dll
%Temp%\Message:这个文件由随机字母通组成。
%System%\Explorer.exe
(注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
B.添加如下注册表项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
"Explorer" = "%System%\Explorer.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer" = "%System%\Explorer.exe"
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
%默认% = "%System%\ctfmon.dll"
以便病毒可随机自启动;
C.%System%\Ctfmon.dll的功能是一个代理服务器,开启后门;
D、病毒在如下后缀的文件中搜索电子邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
E、使用病毒自身的SMTP引擎发送邮件,他优先选择下面的域名服务器发送邮件,如果失败,则使用本地的邮件服务器发送。
gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.
用“系统退信”的方式传播,使人防不胜防;
F、可能的邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
正文:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:
.htm
.txt
.doc
第二个后缀可能如下:
.pif
.scr
.exe
.cmd
.bat
.zip
如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标
G.复制自身到Kazaa共享目录中,诱使其它KaZaa用户下载病毒。病毒复本的文件名如下:
icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro
扩展名可能如下:
.pif
.scr
.bat
.exe
H.修改系统hosts文件,屏蔽用户对以下网站的访问,造成不能升级反病毒等安全类软件:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www3.ca.com
I.从2004年2月1号开始开启多个线程对发动DOS攻击,从2月3日起对发起DOS攻击,直到2004年3月1日结束.
解决方案:
1、请升级您的金山毒霸到2004年1月30日的病毒库,并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵;
2、如果收到系统退信时,请不要打开退信中的附件;
3、不要打开陌生人邮件;
4、改变文件的查看方式,让文件显示完整的扩展名,使病毒无处藏身。病毒常用后缀为:.bat, .cmd, .exe, .pif, .scr,.zip。
打开显示完整扩展名的方法:
A、打开资源管理器,单击“工具”,再单击“文件夹选项”
B、选择“查看”标签项
C、找到“隐藏已知文件类型的扩展名”,取消前面的“勾”
D、点击“确定”即可。
5、请升级您的金山毒霸到2004年1月27日的病毒库,使全盘完全查杀来清除该病毒;
6、如果您没有金山毒霸,您可以登录使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入;
7、所有用户还可以尽快登录到 下载“诺维格”专杀工具,可解除病毒屏蔽的网站。
8、企业用户发现该病毒的形踪,请立即升级病毒库到最新,然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤,将病毒邮件过滤。
9、杀毒完毕后,请下载专杀工具()帮助修复HOSTS文件,解除病毒屏蔽的网站。
专家提醒:
1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时升级中,请多关注金山毒霸安全咨询网()上的最新病毒公告,或者订阅金山毒霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;
2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;
4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒
911事件令美国损失两千亿,为何黑客却宣称这是美国政府自导自演的呢?
2001年9月11日是令很多美国人都终生难忘的一天,恐怖分子劫持了两架民航飞机撞向了纽约世贸中心双子塔。随后两座建筑发生了爆炸并坍塌,灾难还并未就此结束,另一架被劫持的飞机撞向了美国国防部五角大楼!这就是震惊全世界的911事件,此次袭击造成美国将近3000人遇难,经济损失达到了2000亿美元,对全球经济的损害甚至可达一万亿美元!
除了造成了巨大的经济损失之外,还给美国民众尤其是亲历者的心头笼罩上了一层阴影,那样的惨烈的场景他们一辈子都不会忘记。要知道美国可是当今世界最强大的国家,两次世界大战美国虽然都参战了,但美国本土却一直没有受到战火的波及。而战后美国一跃成为超级大国,只有他们打别人的份,谁敢挑战美国啊?世人都知道美国军队恐怖战斗力,好莱坞电影中唯一能够和外星人有一战之力的就是美军了!但是恐怖分子却偏偏不给美国面子,这次对美国本土发动的袭击让美国政府颜面尽失。
美国军队在外国耀武扬威,却让恐怖分子轻易而举地对美国本土发动了袭击,美国民众自然觉得很不满:强大的美军有什么用?在好莱坞电影中无所不能的CIA、FBI为啥对恐怖分子的入侵毫无察觉?当知道恐怖分子入侵的时候,美国空军在干什么?其实美国一直采取的是“御敌于国门之外”的策略,在911年事件之后美国不得不加强对于本土的防御,而且还宣布出兵中东,彻底消灭中东的恐怖分子,报一箭之仇。
美国人为911事件的罪魁祸首就是基地组织的头目本拉登,美军在中东进行了长达10年的战争却始终未能找到本拉登。直到2011年才有人向美军报告了本拉登的行踪,美国出动特种部队将本拉登击毙。这样看来911事件始于结束了,本拉登死了,美国大仇得报。
然而令美国没有想到的是,一个神秘的黑客组织宣称他们掌握了美国政府有关911事件的机密文件。他们自称入侵了美国系统内部,窃取了很多机密资料,其中就包括911事件。该黑客组织说911事件其实是美国一手策划的,这样他们就能进入中东反恐了。不过大部分人都不认同这个说法,毕竟美国介入中东有很多借口,自己搞“苦肉计”实在是有些画蛇添足,而且911事件的损失这么大,说是美国自导自演的,显得有些说不过去。