電子郵件病毒走過十年

　　作者：上方文Q

　　我們似乎生活在一個擁有無窮無盡病毒的世界裡，但事實上如果單看某些特定類型病毒的話，它們的歷史並不長，比如電子郵件病毒就只有十年，但開創這一新領域的“梅麗莎”(Melissa)相當厲害，據估計感染過100多萬台PC，造成損失逾800萬美元。

　　梅麗莎病毒於1999年3月爆發。它會偽裝成一封來自朋友或同事的“重要信息”電子郵件，正文只有一句話“這是你要的文檔...不要給別人看哦:)”，附件LIST.doc裡包含能夠訪問80個色情網站的密碼。該病毒通過Word 97/2000、Excel 97/2000/2003傳播，一旦被用戶打開就會向受感染電腦內OutLook 97/98地址簿的頭50個聯系人發送帶毒郵件，繼續擴散。

　　梅麗莎並不會刪除電腦內的系統文件，但大量發送電子郵件會導致企業郵件系統癱瘓，進而摧毀整個互聯網郵件系統。

　　梅麗莎後來衍生出了至少四個變種，其中有些危害更大，會直接刪除重要的Windows系統文件，導致系統癱瘓。

　　該病毒的作者是時年31歲的美國新澤西州的David Smith，當年4月1日就被美國政府捉拿歸案，後來在2002年被判入獄20個月、罰款5000美元、參加社區服務、禁止接觸電腦和互聯網，這也是美國第一次對電腦病毒制造者進行嚴厲懲罰。

　　過去二十年來的其他重要病毒還有：“Creeper”(爬行者)，二十世紀七十年代初誕生，普遍被視為史上第一例計算機病毒，蠕蟲型；1992年的“Michelangelo”(米開朗基羅)，惡性引導區型病毒，摧毀了數百萬台電腦，並讓3月6日成為一個惡夢；1995年的“Concept”，第一例宏病毒；1998年的“CIH”，第一個破壞硬件(BIOS)的病毒，每年4月26日爆發；2000年的“ILOVEYOU”(我愛你)，史上破壞規模最強的惡意病毒，估計至少100億美元。

典型的梅麗莎郵件病毒

　　作者：木淼鑫

　　【賽迪網-IT技術報道】系統原本關閉的自動播放功能突然莫名其妙的被打開，隱藏的系統文件也無法看到，這不是什麼系統故障，都是盜號木馬“瑪格尼亞”新變種Trojan/PSW.Magania.czi在搗鬼。

　　“瑪格尼亞”變種czi采用高級語言編寫，並且經過加殼保護處理。

　　“瑪格尼亞”變種czi運行後，會在被感染計算機系統的 “%SystemRoot%/”目錄下釋放惡意程序“1.exe”。該惡意程序運行後，又會自我復制到“%SystemRoot%/system32/” 目錄下並重新命名為“rttrwq.exe”。同時，還會在相同目錄中釋放惡意DLL組件“mkfght*.dll”，並設置上述文件的屬性為“系統、只讀、隱藏”。

　　“瑪格尼亞”變種czi是一個盜取“熱血江湖”、“十二之天Online”、“ 冒險島Online”等網絡游戲賬號的木馬程序，運行後會在被感染計算機的後台秘密監視系統中運行的指定游戲進程。一旦發現這些進程的存在，便會通過鍵盤鉤子等手段盜取網絡游戲玩家的游戲賬號、游戲密碼、倉庫密碼等信息，並在後台將竊取到的玩家機密信息發送到駭客指定的遠程服務器站點上，致使游戲玩家的賬號、裝備、物品、金錢等丟失，給游戲玩家造成了不同程度的損失。

　　“瑪格尼亞”變種czi還可以通過U盤等移動存儲設備進行傳播，同時還會通過強行篡改注冊表鍵值的方式開啟計算機中所有驅動器的自動播放功能，以及破壞“顯示系統隱藏文件”的功能。

　　“瑪格尼亞”變種czi會通過在注冊表啟動項中添加鍵值“ertyuop”的方式來實現開機後的自動運行。

　　作者：木淼鑫

　　【賽迪網-IT技術報道】近期你的電腦裡有否出現“Backdoor/Delf”後門家族新成員Backdoor/Delf.jkt的身影？如果答案是肯定的，那麼小心，你的電腦很可能已經成為了駭客的肉雞。

　　“Backdoor/Delf”變種jkt采用“Borland Delphi 6.0 - 7.0”編寫，並且經過加殼保護處理。

　　“Backdoor/Delf”變種jkt運行後，會自我復制到被感染計算機系統的 “%SystemRoot%/system32/”目錄下，並分別重新命名為“sys_temtray.exe”、“sys_temtray.jpg”和 “sys_temtray.txt”。同時，還會在該目錄下釋放惡意DLL組件“hz_sys_temtray.dll”和“keyHook.dll”。 “Backdoor/Delf”變種jkt運行時，會將釋放的惡意DLL組件插入到被感染計算機系統的“spoolsv.exe”進程中隱密運行，以此隱藏自我，防止被輕易地查殺。

　　“Backdoor/Delf”變種jkt會在被感染計算機系統的後台不斷嘗試與控制端(IP地址為：123.186.*.28:8760)進行連接，一旦連接成功，則被感染計算機便會淪為駭客的傀儡主機。駭客通過該後門可以向被感染計算機發送任意指令，從而執行惡意控制操作，其中包括：文件管理、進程控制、注冊表操作、遠程命令執行、屏幕監控、鍵盤監聽、鼠標控制、視頻監控等，會給被感染計算機用戶的個人隱私，甚至是商業機密等造成不同程度的損失。

　　同時，駭客還可以向被感染計算機發送大量的病毒、木馬、流氓軟件等惡意程序，從而致使用戶面臨更加嚴重的威脅。該後門還可以進行自我更新，從而更好的躲避查殺，提高了自身的生存幾率。

　　另外，“Backdoor/Delf”變種jkt會在被感染計算機中注冊名為“WinServerVIEwee”的系統服務，以此實現後門程序的開機自啟。