僵尸病毒（網絡病毒）

僵尸病毒（網絡病毒）

僵尸病毒 （網絡病毒） 次瀏覽 | 2022.10.19 10:23:55 更新 來源 ：互聯網 精選百科 本文由作者推薦 僵尸病毒網絡病毒

僵尸網絡病毒，通過連接IRC服務器進行通信從而控制被攻陷的計算機。

中文名

僵尸病毒

外文名

BotNet

病毒特征

連接IRC服務器

所屬領域

IT

別名

僵尸網絡病毒

簡介概述

僵尸網絡病毒，通過連接IRC服務器進行通信從而控制被攻陷的計算機。僵尸網絡(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網絡攻擊，如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。因此，不論是對網絡安全運行還是用戶數據安全的保護來說，僵尸網絡都是極具威脅的隱患。僵尸網絡的威脅也因此成為目前一個國際上十分關注的問題。然而，發現一個僵尸網絡是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網絡是目前互聯網上黑客最青睞的作案工具。

運行方式

此病毒有如下特征：

連接IRC服務器

1）連接IRC服務器的域名、IP、連接端口情況如下：

連接IRC服務器的域名、IP、連接端口情況

域名	IP端口	所在國家
194.109.11.65	TCP/6556，TCP/1023	荷蘭
64.202.167.129	TCP/6556，TCP/1023	美國

2）連接頻道：#26#，密碼：g3t0u7。

掃描地址

掃描隨機產生的IP地址，并試圖感染這些主機；

自身復制

運行后將自身復制到System etddesrv.exe；

系統保護

在系統中添加名為NetDDEServer的服務，并受系統進程rvices.exe保護。

清除流程

該蠕蟲在安全模式下也可以正常運行。但可以通過清除注冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下：

斷開網絡

恢復注冊表

打開注冊表編輯器，在左邊的面板中打開并刪除以下鍵值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinmalNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetworkNetDDEsrv

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetDDEsrv

4.需要重新啟動計算機

5.必須刪除蠕蟲釋放的文件

刪除在system下的netddesrv.exe文件。（system是系統目錄,在win2000下為c:winntsystem32，在winxp下為

c:windowssystem32）

6.殺毒

運行殺毒軟件，對電腦系統進行全面的病毒查殺；

7.安裝補丁

安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁。

事件報道僵尸病毒入侵全球電腦，190國政府企業資料遭竊

美國互聯網軟件安全公司NetWitness2010年2月18日表示，一種新型電腦病毒在過去一年半時間內已入侵全球2500家企業和政府機構的7.5萬臺電腦，病毒將這些電腦構成了一個龐大而危險的“僵尸網絡”，從中竊取大量重要秘密。這家公司將“僵尸網絡”稱為“Kneber僵尸網絡”。新病毒收集各“僵尸電腦”中的資料，并將之發送給黑客。這次襲擊規模龐大，包括金融機構、能源公司以及美國聯邦政府機構在內的全球將近2500家企業以及政府機構被入侵，受影響的電腦達到7.5萬部，涉及190多個國家，主要為美國、沙特阿拉伯、埃及、土耳其以及墨西哥等國家的電腦。

相關猜測：

黑幫組織

美國互聯網軟件安全公司NetWitness表示，屬下一名工程師今年1月為一家公司部署互聯網監控系統時發現“Kneber僵尸網絡”。經調查，黑客在2008年開始利用東歐的電腦，通過設在德國的指揮中心展開攻擊行動，誘使有關企業和政府機構的員工點擊有病毒的網站，或者打開附有病毒的電子郵件,從而入侵企業或政府網絡。據了解，一旦電腦受病毒感染，便會成為“僵尸網絡”的一部分，并通過大量發送感染病毒的電子郵件使更多企業和政府機構的電腦中招。NetWitness公司總裁約倫曾擔任美國國土安全部網絡安全主管。他表示，目前看來，新病毒于2008年底開始在德國肆虐，目前也蔓延到不少在中國應用的電腦上。公司目前所收集的證據顯示，這一襲擊很可能來自東歐的黑幫組織。

相關報告感染癥狀僵尸病毒宣傳畫

電影里人被僵尸咬到后也變成僵尸咬人的情節，上演了“手機”版本。昨日，央視《每周質量報告》報道了“手機僵尸”病毒的危害和成因。據悉，在9月的第一周，全國就發現將近一百萬部手機感染這種病毒。

北京手機用戶王女士發現自己沒發短信卻被莫名扣費，同時，她的朋友也在深更半夜收到了她發出的廣告短信。王女士在手機安全公司檢測后發現，她的手機中了“手機僵尸”的病毒。這種病毒能夠自動向手機中的聯系人發送廣告短信，并通過短信進行連續傳播，具有很強的攻擊性。

感染方式

專業人員發現，手機里一個名為手機保險箱的應用軟件中捆綁著一個小插件，其實就是一種手機病毒。中了病毒的手機，首先會將手機的SIM卡標識等配制信息上傳到黑客控制的服務器，然后黑客就可以通過服務器下發手機，控制手機隨時給任何號碼發送任何內容的短信。央視記者了解到，這種病毒具有罕見的攻擊性，所發出去的一些短信里面的鏈接也是藏有病毒的，一旦其他的人收到短信，點擊鏈接，則會被安裝上類似的病毒。而且，這部手機又會去攻擊別人的手機。

傳播特點

從事手機安全研究多年的北郵教授鄒仕洪稱，這種病毒的傳播特點有點像傳銷組織，一級感染一級，時間越長，被感染和控制的手機也就越多，它呈現指數級爆炸型增長。國家互聯網應急中心運行部主任周勇林稱，9月的第一周就發現全國將近一百萬部手機感染這種病毒。據悉，僵尸手機病毒很難被用戶和運營商發覺。

變種威脅

除了“手機僵尸”病毒，目前，網絡上還出現了病毒的變種，這種病毒能夠在手機鎖定的狀態下自動發送信息，很難被用戶察覺。同時，越來越多的手機病毒不但能逃過運營商的圍追堵截，甚至能夠將殺毒軟件殺掉。

傳播渠道

由于互聯網環境開放，很多人可以冒用IP，在論壇上發布帶有病毒的軟件供人下載，因此要追查病毒的制造者和傳播者很難。技術人員發現，在中了“手機僵尸”病毒的手機發送的短信中，有一大部分是廣告短信。據悉，游戲等網站往往把短信宣傳交給渠道商來做，而渠道商有可能是這種病毒的元兇。據業內人士介紹，渠道商發送一條短信要花費0.03元至0.05元，而每次一般要發送10萬條，這樣成本約為3000元，收益大約為6000元。而通過在短信中植入“手機僵尸”病毒，同樣花費3000元的成本，發送出的短信通過自動傳播，能帶來10倍，即6萬元的利潤。100萬部手機每天耗費用戶話費約為200萬元。

參考資料