内容发布更新时间 : 2025/4/2 17:05:40星期一 下面是文章的全部内容请认真阅读。
WINDOWS系统的BAT文件也是可执行文件类型之一,计算机病毒也经常会修改这些文件,来实现病毒传播和例如:
%windows%winstart.bat
该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。 还有Autoexec.bat 在DOS下每次都会自启动执行。 所以,这类文件在我们平常的系统维护中,也得特别注意。
2.2.4 修改启动文件夹
毒修改系统启动文件夹有以下两种方式: 1、当前用户的启动文件夹 可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项
2、公共的启动文件夹 可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项 病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。
2.3 常见病毒行为
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高式如何,我们都需要关注的是病毒的隐性行为!
2.3.1 计算机病毒的下载特性-Downloader 如大水牛下载者病毒
计算机病毒非常喜欢修改系统的启动文件夹,将病毒的快捷方式加入启动文件夹,以实现随系统自动启动的目的
过高内存资源、自动弹出/关闭窗口、自动终止某些进程(特别是反病毒软件进程)等各种不正常现象。无论病
很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本
当系统中此病毒后,病毒会自动下载病毒列表到%SystemRoot%system32nwizs.txt ,通过此列表下载的病毒会被再下载其他的计算机病毒文件。 大水牛病毒下载列表里面就包含: microsoft.exe (机器狗,专杀能清除) hosts.exe (是hosts 文件里面免疫了好多网址) arp.exe(大水牛下载者病毒最新程序)
cq.exe (里面包含黑客木马fei.exe和传奇盗号器lj.exe) wow.exe (魔兽盗号木马)
ddos.exe (DDOS 工具,会攻击文件中自带的config.txt 里指向的所有地址)
在%UserProfile%Local SettingsTemp 目录下。然后自动连接病毒下载列表的下载地址:http://520sb.cn/dir/ind??_
2.2.3 计算机病毒的后门特性-Backdoor
有时候病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。 如灰鸽子病毒
然后,通过控制端,对中毒机进行远程操控。
2.2.4 计算机病毒的信息收集特性-Stealer SMTP引擎发送到指定的某个指定的邮箱。 如:
QQ密码和聊天记录 网络游戏帐号密码 网上银行帐号密码
用户网页浏览记录和上网习惯 ……
这段时间流行比较厉害的相关的盗号木马,都具有信息收集的特性。
2.2.5 自身隐藏特性-Hide & Rootkit
显示权限等进行修改,以使其更加隐蔽不易被发现。
更有一些病毒会使用Rootkit技术来隐藏自身的进程和文件,使得用户更难以发现。
2.2.6 文件感染特性-Infector
正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。 有的文件型病毒会感染系统中其他类型的文件。
这类病毒的典型例子就是:PE_LOOKED 维京、PE_FUJACKS 熊猫烧香、机器狗病毒和磁碟机病毒。
2.2.7 网络攻击特性-Attacker
在受攻击的计算机上远程执行恶意代码。
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统
当系统在中毒之后,中毒机会自动将系统的相关资料,如IP地址,端口号,键盘记录等资料,发送到木马控制
大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信息通常都会被病
多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文
使用Rootkit技术的病毒,通常都会有一个.SYS文件加载在系统的驱动中,用以实现Rootkit技术的隐藏功能。
文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文
一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象
一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计如振荡波病毒、狙击波病毒,ARP攻击等。
大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪