从勒索病毒说起，盘点那些年来造成大范围破坏的病毒

最近两天，全球最热门的关键字之一的人是勒索病毒。对于一般人来说，只能选择等待相关补丁。关于勒索病毒，你需要知道以下这些

• 正版系统一样会中病毒，关键是打好补丁
• 交赎金不一定能解决问题。一方面，不是每个黑客都是不吃人间烟火的技术宅，也有一些是不守信义之徒。另外一方面，比你数据重要的人很多，等补丁，等专杀，不要盲目，恐慌
• win10系统不等于就是安全，需要升级到1703版本，这个版本才是修复了漏洞的系统版本
• 

  下载附件  保存到相册
• 点开 电脑-设置-系统-关于，就可以看到版本号，如下图黄色部分。
  建议大家不要恐慌，必然会有解决方法的。其实每隔一阵子就有这类型的大范围中招的病毒，每次安全公司都有解决方案。盲目相信裸奔，盲目鼓吹ghost完事解决的一知半解，才是真正容易中招的人
  一、微软WMF漏洞被黑客广泛利用,多家网站被挂马
  WMF文件格式漏洞是一个源于微软Windows操作系统的漏洞，被一个计算机安全邮件列表Bugtraq于2005年12月27日公开，在24小时内就成为一些恶意程序，例如间谍软件和木马程序的载体。
  简称是一看图片就中毒。
  该漏洞源于Windows的核心模块gdi32.dll处理WMF格式的方式，允许在计算机上不经过用户许可即执行代码。因此该漏洞成为恶意代码的载体，通常被用来暗中下载其他恶意软件。1月9日，Bugtraq报告另外两个WMF函数ExtCreateRegion和ExtEscape也有同样的漏洞，但是微软声称这两个漏洞只会造成性能问题。
  有消息说是微软自己加的后门，但是官方否定了。
  二、病毒假冒工行电子银行升级
  这是一个十分狡猾的盗取网上银行密码的木马病毒。该病毒名为TrojanSpy.Banker.yy，大小约110KB～120KB左右，病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。
  病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了账号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下：“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载“灰鸽子后门”病毒，感染该病毒的用户系统将被黑客远程完全控制。
  三、魔鬼波病毒爆发
• 

  下载附件  保存到相册
• 病毒名称：“魔鬼波”（Worm.IRC.WargBot.a），又称魔鬼冲击波病毒，它是IRCBot黑客后门病毒的新变种；“魔鬼波”（Worm.IRC.WargBot.b），该变种在变种a的基础上进行了加密处理。
• 

  下载附件  保存到相册
• 

  下载附件  保存到相册
• 

  下载附件  保存到相册
• 冲击波病毒是利用在2003年7月21日公布的RPC漏洞进行传播的，该病毒于当年8月爆发。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2000或XP的计算机，找到后就利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统奔溃。另外，该病毒还会对系统升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows 2000\XP\Server 2003\NT4.0。
  该病毒充分利用了RPC/DCOM漏洞，首先使受攻击的计算机远程执行了病毒代码；其次使RPCSS服务停止响应，PRC意外中止，从而产生由于PRC中止导致的一系列连锁反应。针对RPC/DCOM漏洞所编写的病毒代码构成了整个病毒代码中产生破坏作用的最重要的部分。
  四、光大证券网站多款软件被捆绑木马
  2006年8月访问光大证券阳光网的软件下载页面，可以看到软件列表，其中多个软件的安装程序捆绑了“网银木马”newup.exe。“网银木马”运行后，会监视IE浏览器正在访问的网页。如果发现用户正在登录工行个人银行，就会弹出伪造的登录对话框，诱骗用户输入登录密码和支付密码，通过邮件将窃取的信息发送出去。
  据说是光大证卷服务器遭到入侵所致
  五、威金病毒
  威金蠕虫，威金蠕虫感染Windows可执行文件，并会查找局域网中所有的共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等，窃取网络游戏玩家的账号和密码并发送给黑客。同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为“看看啊。我最近的照片～才扫描到QQ相册上的!”的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。
  简单来说，就是过去的QQ无缘无故发送的链接病毒
  
  六、磁碟机病毒
  磁碟机病毒并不是一个新病毒，早在2007年2月的时候，就已经初现端倪。当时它仅仅作为一种蠕虫病毒，成为所有反病毒工作者的关注目标。而当时这种病毒的行为，也仅仅局限于，在系统目录%system%system32com生成lsass.exe和smss.exe，感染用户电脑上的exe文件。
  病毒在此时的传播量和处理的技术难度都不大。
• 

  下载附件  保存到相册
• 然而在病毒作者经过长达一年的辛勤工作——数据表明，病毒作者几乎每两天就会更新一次病毒——之后，并吸取了其他病毒的特点（例如臭名昭著的AV终结者，攻击破坏安全软件和检测工具），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。
  七、熊猫烧香病毒
• 

  下载附件  保存到相册
• 熊猫烧香是一种恶性的计算机病毒，其与灰鸽子不同，是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，拥有感染传播功能，2007年1月初肆虐网络，它主要通过下载的档案传染，受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。2013年6月病毒制造者张顺和李俊伙同他人开设网络赌场，再次获刑。
  八、A V终结者病毒
  
  AV终结者”病毒运行后会生成后缀名.dat、.dll、.chm的文件，能够自动复制病毒文件和autorun.inf文件，当双击打开它时就等于打开了通往病毒的大门，这时候即使是重装系统也无济于事，根本不能彻底清除它。格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将进行第N次运行。你进入文件夹选项想显 示被隐藏的文件时会发现这里已经被病毒给禁止了。
  “AV终结者”能把电脑的安全防御体系彻底摧毁，还会破坏windows防火墙和安全模式，封堵用户的后路。同时它会下载并运行其他盗号病毒和恶意程序，严重威胁到用户的网络个人财产。
  九、机器狗病毒
• 

  下载附件  保存到相册
• 2007年，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件 userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。
  十、灰鸽子病毒
• 

  下载附件  保存到相册
• 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。
  灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。
  十一、CIH病毒
• 

  下载附件  保存到相册
• CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾，集嘉通讯公司（技嘉子公司）手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。 最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过网络传播到全世界各个角落。
  个人建议，防火墙，杀毒软件还是开着，补丁要打，别信那些用老爷机的裸奔派。
  所谓裸奔，不过就是内存，cpu烂而已