反饋

殭屍病毒

（病毒）

殭屍網絡病毒，通過連接IRC服務器進行通信從而控制被攻陷的計算機。殭屍網絡(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一羣計算機，往往被黑客用來發起大規模的網絡攻擊，如分佈式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意“取用”。因此，不論是對網絡安全運行還是用户數據安全的保護來説，殭屍網絡都是極具威脅的隱患。殭屍網絡的威脅也因此成為一個國際上十分關注的問題。然而，發現一個殭屍網絡是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的“殭屍主機”，這些主機的用户往往並不知情。因此，殭屍網絡是互聯網上黑客最青睞的作案工具。

美國互聯網軟件安全公司NetWitness2010年2月18日表示，這種新型電腦病毒在過去一年半時間內已入侵全球2500家企業和政府機構的7.5萬台電腦，病毒將這些電腦構成了一個龐大而危險的“殭屍網絡”，從中竊取大量重要秘密。這家公司將“殭屍網絡”稱為“Kneber殭屍網絡”。新病毒收集各“殭屍電腦”中的資料，並將之發送給黑客。

中文名: 殭屍病毒
外文名: BotNet
別名: 殭屍網絡病毒
所屬領域: IT
病毒特徵: 連接IRC服務器

危害: 黑客控制的這些計算機所保存的信息都可被黑客隨意“取用”
遊戲大小: 14.12 MB
遊戲版本: 1.0.5
支持系統: iPhone4.3.1、 iPad4.3.1及以上

殭屍病毒運行方式

此病毒有如下特徵：連接IRC服務器

（1）連接IRC服務器的域名、IP、連接端口情況如下：

域名 IP 端口所在國家

194.109.11.65 TCP/6556，TCP/1023 荷蘭

64.202.167.129 TCP/6556，

TCP/1023 美國

194.109.11.65 TCP/6556，TCP/1023 荷蘭

殭屍病毒宣傳畫

64.202.167.129 TCP/6556，TCP/1023 美國

194.109.11.65 TCP/6556，TCP/1023 荷蘭

.無法解析 TCP/6556，TCP/1023

（2）連接頻道：#26#，密碼：g3t0u7。

掃描地址

掃描隨機產生的IP地址，並試圖感染這些主機；

自身複製

運行後將自身複製到System\netddesrv.exe；

系統保護

在系統中添加名為NetDDE Server的服務，並受系統進程services.exe保護。

殭屍病毒清除流程

該蠕蟲在安全模式下也可以正常運行。但可以通過清除註冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下：

斷開網絡

恢復註冊表

打開註冊表編輯器，在左邊的面板中打開並刪除以下鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv

需要重新啓動計算機

必須刪除蠕蟲釋放的文件

刪除在system下的netddesrv.exe文件。（system是系統目錄,在win2000下為c:\winnt\system32，在winxp下為c:\windows\system32）

殺毒

運行殺毒軟件，對電腦系統進行全面的病毒查殺；

安裝補丁

安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁。

殭屍病毒事件報道

殭屍病毒入侵全球電腦 190國政府企業資料遭竊

殭屍病毒宣傳畫

美國互聯網軟件安全公司NetWitness2010年2月18日表示，一種新型電腦病毒在過去一年半時間內已入侵全球2500家企業和政府機構的7.5萬台電腦，病毒將這些電腦構成了一個龐大而危險的“殭屍網絡”，從中竊取大量重要秘密。這家公司將“殭屍網絡”稱為“Kneber殭屍網絡”。新病毒收集各“殭屍電腦”中的資料，並將之發送給黑客。這次襲擊規模龐大，包括金融機構、能源公司以及美國聯邦政府機構在內的全球將近2500家企業以及政府機構被入侵，受影響的電腦達到7.5萬部，涉及190多個國家，主要為美國、沙特阿拉伯、埃及、土耳其以及墨西哥等國家的電腦。^[1]

相關猜測：

黑幫組織

美國互聯網軟件安全公司NetWitness表示，屬下一名工程師今年1月為一家公司部署互聯網監控系統時發現“Kneber殭屍網絡”。經調查，黑客在2008年開始利用東歐的電腦，通過設在德國的指揮中心展開攻擊行動，誘使有關企業和政府機構的員工點擊有病毒的網站，或者打開附有病毒的電子郵件,從而入侵企業或政府網絡。據瞭解，一旦電腦受病毒感染，便會成為“殭屍網絡”的一部分，並通過大量發送感染病毒的電子郵件使更多企業和政府機構的電腦中招。 NetWitness公司總裁約倫曾擔任美國國土安全部網絡安全主管。他表示，新病毒於2008年底開始在德國肆虐，也蔓延到不少在中國應用的電腦上。公司所收集的證據顯示，這一襲擊很可能來自東歐的黑幫組織。

殭屍病毒相關報告

殭屍病毒感染症狀

殭屍病毒宣傳畫

電影里人被殭屍咬到後也變成殭屍咬人的情節，上演了“手機”版本。昨日，央視《每週質量報告》報道了“手機殭屍”病毒的危害和成因。據悉，在9月的第一週，全國就發現將近一百萬部手機感染這種病毒。

北京手機用户王女士發現自己沒發短信卻被莫名扣費，同時，她的朋友也在深更半夜收到了她發出的廣告短信。王女士在手機安全公司檢測後發現，她的手機中了“手機殭屍”的病毒。這種病毒能夠自動向手機中的聯繫人發送廣告短信，並通過短信進行連續傳播，具有很強的攻擊性。

殭屍病毒感染方式

專業人員發現，手機裏一個名為手機保險箱的應用軟件中捆綁着一個小插件，其實就是一種手機病毒。中了病毒的手機，首先會將手機的SIM卡標識等配製信息上傳到黑客控制的服務器，然後黑客就可以通過服務器下發手機，控制手機隨時給任何號碼發送任何內容的短信。央視記者瞭解到，這種病毒具有罕見的攻擊性，所發出去的一些短信裏面的鏈接也是藏有病毒的，一旦其他的人收到短信，點擊鏈接，則會被安裝上類似的病毒。而且，這部手機又會去攻擊別人的手機。

殭屍病毒傳播特點

從事手機安全研究多年的北郵教授鄒仕洪稱，這種病毒的傳播特點有點像傳銷組織，一級感染一級，時間越長，被感染和控制的手機也就越多，它呈現指數級爆炸型增長。國家互聯網應急中心運行部主任周勇林稱，9月的第一週就發現全國將近一百萬部手機感染這種病毒。據悉，殭屍手機病毒很難被用户和運營商發覺。

殭屍病毒變種威脅

除了“手機殭屍”病毒，網絡上還出現了病毒的變種，這種病毒能夠在手機鎖定的狀態下自動發送信息，很難被用户察覺。同時，越來越多的手機病毒不但能逃過運營商的圍追堵截，甚至能夠將殺毒軟件殺掉。

殭屍病毒傳播渠道

由於互聯網環境開放，很多人可以冒用IP，在論壇上發佈帶有病毒的軟件供人下載，因此要追查病毒的製造者和傳播者很難。技術人員發現，在中了“手機殭屍” 病毒的手機發送的短信中，有一大部分是廣告短信。據悉，遊戲等網站往往把短信宣傳交給渠道商來做，而渠道商有可能是這種病毒的元兇。據業內人士介紹，渠道商發送一條短信要花費0.03元至0.05元，而每次一般要發送10萬條，這樣成本約為3000元，收益大約為6000元。而通過在短信中植入“手機殭屍”病毒，同樣花費3000元的成本，發送出的短信通過自動傳播，能帶來10倍，即6萬元的利潤。100萬部手機每天耗費用户話費約為200萬元。