常见病毒的特性

版权声明：文章版权均归作者，技术仅供参考。 https://blog.csdn.net/weixin_42226171/article/details/86653247

工作中，常见的病毒包含一下几种。
1.系统病毒
系统病毒的前缀为win32,PE,win95,w32,w95等。这些病毒的共同特性是：可以感染Windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播，如CIH病毒。
2.蠕虫病毒
蠕虫病毒的前缀worm。这种病毒的共有特性是：通过网络或者系统漏洞进行传播，大部分蠕虫病毒会向外发送带毒的邮件，阻塞网络，如冲击波（阻塞网络），小邮差（发带毒邮件）等。
3.木马病毒和黑客病毒
木马病毒的前缀是Trojan。黑客病毒的前缀一般为Hack。木马病毒的共性是：通过网络或着系统漏洞进入用户的系统并隐藏，然后，向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过木马病毒对电脑进行控制。
现在这两种类型越来越趋向于整合，一般的木马有QQ消息尾巴木马Trojan.QQ3344,还针对网络游戏的木马Trojan.LMir.PSW.60。病毒名中如果有PSW或者PWD，一般表示这个病毒有盗取密码的功能（PSW和PWD一般为password的缩写）。黑客程序有网络枭雄（Hack.Nether.Client）。
4.脚本病毒
脚本病毒的前缀是Script。脚本病毒的共同特性是：使用脚本语言编写，通过网页进行传播，如红色代码（Script.Redlof）。脚本病毒的前缀有：VBS、JS（表明是和脚本写的），如欢乐时光（VBS.happytime）、十四日（Js.Fortnight.c.s）等。
5.宏病毒
宏病毒也是脚本病毒的一种，由于他的特殊性，因此，这里单独作为一类。宏病毒的前缀是Macro。这类病毒的共同特性是：能感染office系列文档，然后通过office通用模板进行传播，如著名的梅丽莎（Macro.Melissa）。
6.后门病毒
后门病毒的前缀是Backdoor。这类病毒的共同特性是：通过网络传播，给系统开后门，给用户电脑带来安全隐患，如IRC后门Backdoor.IRCBot。
7.种植程序病毒
这种病毒的共同特性是：运行时会从体内释放出一个或几个新的病毒到系统的目录下，有释放出来的新病毒产生破坏，如冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.worm.Smibag）等。
8.破坏性程序病毒
破坏性程序病毒的前缀是Harm。这种病毒的共同特性是：本身具有好看的图标以诱惑用户点击，当用户点击这类病毒是时，病毒便会直接对电脑产生破坏，如格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.killer）等。
9.玩笑病毒
玩笑病毒的前缀是Joke，也称作恶作剧病毒。这种病毒的共同特性是：以好看的图标来诱惑用户点击，单用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏，如女鬼（Joker.Girlhost）病毒。
10.捆绑机病毒
捆绑机的病毒前缀是Binder。这类病毒的共同特性是：病毒作者会使用特定的捆绑程序将病毒与一些常用的应用程序（QQ，IE）捆绑起来，表面上是一个正常文件，做伪装。但用运行这些捆绑病毒时，表面是运行这些应用程序，其实隐藏运行捆绑在一起的病毒，从而给用户造成危害，如捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。
11.勒索病毒，
这是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。
传播途径：通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞，而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统，因此也成为病毒攻击的重灾区，病毒可以通过漏洞在局域网中无限传播。相反，win10系统因为强制更新，几乎不受漏洞攻击的影响。
通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少，但对于有收发邮件、网页浏览需求的企业而言，依旧会受到威胁。
此外，对于某些特别依赖U盘、记录仪办公的局域网机构用户来说，外设则成为勒索病毒攻击的特殊途径。 [4]
攻击对象：勒索病毒一般分两种攻击对象，一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。
病毒规律编辑
该类型病毒的目标性强，主要以邮件为传播方式。
勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所 有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。
该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。
病毒分析编辑
一般勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为：
1、调用加密算法库；
2、通过脚本文件进行Http请求；
3、通过脚本文件下载文件；
4、读取远程服务器文件；
5、通过wscript执行文件；
6、收集计算机信息；
7、遍历文件。
样本运行过程：
该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTP GET 请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可实现对文件加密。
同时，在沙箱分析过程中发现了该样本大量的反调试行为，用于对抗调试器的分析，增加了调试和分析的难度。