¿Los diez principales virus de Internet? (1)I-Worm/Blaster El virus I-Worm/Blaster (también conocido como virus "Storm") es un gusano de red. El tamaño de la muestra de virus interceptada por Jiang Min fue de 6176 bytes y los sistemas operativos infectados fueron Windows 2000 y Windows XP. El virus descarga y ejecuta el archivo de virus Msblast.exe, lo que eventualmente hace que la máquina deje de responder y se reinicie con frecuencia. Cada vez que el sistema se reinicie, el gusano se ejecutará automáticamente. Luego, el virus ataca a las máquinas en un segmento de red específico a través de la vulnerabilidad DCOMRPC. Envíe código de ataque a los 135 puertos de máquinas con segmentos de IP aleatorios. Después del éxito, cree un cmd.exe en el puerto TCP 4444. El virus "Shock Wave" también puede aceptar comandos externos, aceptar comandos en el puerto UDP 69 y enviar archivos al cuerpo del gusano de red Msblast.exe. Dentro de un cierto período de tiempo, se llevará a cabo un ataque DoS (denegación de servicio) en el sitio web de actualización del parche windowsupdate.com de Microsoft. (2)Yo-Gusano/Sobig. (x) Hasta el momento existen más de cinco variantes de la gran serie de gusanos de red I-Worm/Sobig (virus "grande"). La serie de gusanos I-Worm/Sobig puede buscar automáticamente direcciones de correo electrónico y todos los archivos en formatos wab, dbx, htm, html, eml y txt que puedan contener direcciones de correo electrónico. Todos los remitentes de las direcciones de correo electrónico escribieron direcciones falsas. Realmente no creas que esas personas te enviaron un gusano de red. Algunas direcciones de correo electrónico incluso están configuradas como support@yahoo.com, el correo electrónico de soporte técnico de Yahoo. Además, el virus puede buscar en el directorio de la máquina en una zona de red grabable y copiarse a sí mismo en ese directorio. (3)I-Gusano/Supkp. (10) Super Contraseña 007 Serie I-Worm/Supkp (virus "Super Contraseña Blackboy 007") es un virus que integra programas de gusanos, programas de puerta trasera y programas de piratas informáticos. La empresa de Jiang Min ha interceptado muchas variantes de este virus. El virus utiliza ipc para realizar una detección simple de contraseñas en cuentas de invitados y administradores. Si tiene éxito, intentará copiarse en el sistema remoto e intentará registrarse como servicio. Modifica partes relevantes del registro del sistema, lo que permite que el sistema active gusanos de red operando en texto sin cifrar. Los virus pueden abrir puertas traseras que roban las contraseñas de los usuarios y las envían a los buzones de correo. (4)I-Gusano/Mimail. (x) La serie de gusanos de red de correo electrónico I-Worm/Mimail (virus de correo electrónico) se propaga e infecta a través de programas cliente de correo electrónico de Microsoft. El asunto del correo electrónico es una cadena que puede cambiar. El archivo adjunto es el cuerpo de un virus y es un archivo comprimido. Tamaño del virus: 16 KB. Puede infectar plataformas Windows populares, incluidas Windows 9X, Windows NT, Windows 2000, Windows XP y Windows ME. Además de las características generales de algunos gusanos de red, este virus también tiene sus propias características. El gusano se propaga en forma de archivos comprimidos ZIP. En el pasado, la gente generalmente creía que la compresión ZIP no contendría virus, por lo que comprimían el paquete por curiosidad. Hasta ahora, el virus ha aparecido frecuentemente en múltiples variantes, todas las cuales han sido interceptadas por la compañía de Jiang Min. (5) Gusano de red de cuatro dimensiones I-Worm/Swen I-Worm/Swen (virus "de cuatro dimensiones") está escrito en C++. La longitud del virus es de 106496 bytes. El virus puede afectar a todas las plataformas Windows populares (incluidas Win95/98/Me/NT/2000/XP y WindowsServer2003). Se distribuye de diversas formas, incluido el correo electrónico, KaZaA, IRC, intercambio de Internet y grupos de noticias. A medida que viaja por el correo, su asunto, contenido y la dirección desde la que se envía el correo electrónico cambian aleatoriamente. Una vez que el virus infecta el sistema y se ejecuta, aparece un cuadro de diálogo que pretende ser "Microsoft Internet Update Pack". (paquete de actualización de Microsoft) e intenta finalizar la mayoría de los procesos de software de seguridad para evitar la detección del software antivirus. (6) Gusano de red I-Worm/Chian Shockwave Black Boy El virus I-Worm/Chian ("Shock Wave Black Boy") escanea frenéticamente segmentos de IP específicos enviando una gran cantidad de paquetes de datos a la red.
Si se encuentra el virus Shockwave, se eliminará y el sitio web de Microsoft descargará inmediatamente el parche de vulnerabilidad RPC. El virus fue adaptado de un programa de piratas informáticos por los creadores de virus. Aunque la intención original del creador del virus era luchar contra el virus de la "onda de choque", esto provocaba un funcionamiento inestable del sistema, reinicios, fallos, etc. , lo que provocó un fuerte aumento en el tráfico de la red y, finalmente, provocó una parálisis múltiple de la red. La longitud del virus es de 10240 bytes, el nombre del archivo interceptado es dllhost.exe y los sistemas infectados son gusanos de Windows que pueden modificar las asociaciones de archivos TXT del sistema. En una máquina infectada, el gusano de red puede activarse cada vez que un usuario abre un archivo de texto sin formato. Cuando estalla un virus, no sólo puede propagarse a través de correos electrónicos y herramientas de chat IRC, sino también registrar las pulsaciones de teclas, actualizar automáticamente su propio código y detener la operación y eliminación de muchos programas antivirus. Lo más astuto es que el virus cifra y almacena una gran cantidad de datos de configuración, lo que dificulta que los usuarios comunes obtengan la información de sus recursos. Se esconde de una manera muy especial. Cuando quiera ocultarse, automáticamente encontrará un archivo normal en el directorio de WINDOWS y luego inyectará su propio código en el archivo. Sin embargo, las propiedades del archivo, la información de derechos de autor, la información del clic derecho del archivo, etc. Todo parece estar bien, pero en realidad el archivo ha sido reemplazado por el gusano con código real. (8) GUSANOS. SQL. El virus HelperMsql Heizai "sql Heizai" es un virus de gusano raro con un cuerpo de virus extremadamente pequeño y un fuerte poder de propagación. El gusano aprovecha la vulnerabilidad de desbordamiento del búfer de Microsoft SQLServer2000 para propagarse y entra en un bucle infinito durante el proceso de propagación. En este bucle, el gusano utiliza el número aleatorio obtenido para generar una dirección IP aleatoria y luego envía su propio código al puerto 1434/UDP (el puerto abierto de Microsoft SQL Server). El gusano se propaga muy rápidamente, enviando su código a través de paquetes de difusión, atacando cada vez a las 255 máquinas posibles en la subred. Los tipos de máquinas vulnerables son todos los servidores de la serie NT con Microsoft SQL Server 2000 instalado, incluidos WinNT/Win2000/WinXP, etc. El gusano no infecta ni propaga el cuerpo del virus en forma de archivo, sino que se propaga en la memoria. (9) Win32/fun love .4099 El virus Win32/fun love 4099 es un virus Win32 que reside en la memoria e infecta archivos PE-EXE localmente y en la red. El virus en sí es sólo un archivo ejecutable. La parte "código" está en formato PE. Cuando se ejecuta el archivo infectado, el virus crea un archivo FLCSS.EXE en el directorio Windows\system y ejecuta el archivo generado. El módulo de infección escanea todas las unidades locales desde C: a z:, luego busca recursos de red, escanea subárboles en la red e infecta archivos PE con la extensión. OCX. Los virus SCR o .EXE pueden infectar archivos repetidamente y propagarse muy rápidamente dentro de una red de área local. (10) Polyboot (WYXB) Polyboot (también conocido como WYX.b) es un típico virus de arranque cifrado y residente en la memoria que infecta el sector de arranque principal y el área de arranque de DOS del primer disco duro. Esta infección es diferente de los virus de arranque comunes. También puede infectar el sector de arranque de los disquetes. Este virus almacena el sector de arranque inicial en diferentes ubicaciones, dependiendo de si es un sector de arranque DBR, MBR o disquete. No infectará ni destruirá ningún archivo, pero una vez que se rompa, destruirá el área de arranque principal del disco duro y provocará la pérdida de todas las particiones del disco duro y los datos del usuario. Los objetos infectados pueden estar en cualquier plataforma, incluidas: Windows, Unix, Linux, Macintosh, etc.