cih病毒

⽊马病毒简介

病毒的分类：

很多时候⼤家已经⽤杀毒软件查出了⾃⼰的机⼦中了例如b.12、.15等等这些⼀串英⽂还带数

字的病毒名。

只要掌握⼀些病毒的命名规则，就能通过杀毒软件的报告中出现的病毒名来判断该病毒的⼀些公有的特性。

世界上那么多的病毒，反病毒公司为了⽅便管理，他们会按照病毒的特性，将病毒进⾏分类命名。虽然每个反病毒公司的命名规则都不

太⼀样，但⼤体都是采⽤⼀个统⼀的命名⽅法来命名的。⼀般格式为：<病毒前缀>.<病毒名>.<病毒后缀>。

病毒前缀是指⼀个病毒的种类，他是⽤来区别病毒的种族分类的。不同种类的病毒，其前缀也是不同的。⽐如我们常见的⽊马病毒的前

缀Trojan，蠕⾍病毒的前缀是Worm等等还有其他的。

病毒名是指⼀个病毒的家族特征，是⽤来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统⼀的“CIH”，振荡波蠕⾍病毒

的家族名是“Sasr”。

病毒后缀是指⼀个病毒的变种特征，是⽤来区别具体某个家族病毒的某个变种的。⼀般都采⽤26个英⽂字母来表⽰，如.b

就是指振荡波蠕⾍病毒的变种B，因此⼀般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种⾮常多（也表明该病毒⽣命⼒顽强

^_^），可以采⽤数字与字母混合表⽰变种标识。

综上所述，⼀个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有⾮常⼤的帮助的。通过判断病毒的类型，就可以对这个病

毒有个⼤概的评估。⽽通过病毒名我们可以利⽤查找资料等⽅式进⼀步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机⼦⾥呆着

的病毒是哪个变种。

下⾯附带⼀些常见的病毒前缀的解释（针对我们⽤得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

这些病毒的⼀般公有的特性是可以感染windows操作系统的*.exe和*.dll⽂件，并通过这些⽂件进⾏传播。如CIH病毒。注：CIH病毒

是⼀种能够紧的成语 破坏计算机系统硬件的恶性病毒，有时还会破坏计算机的BIOS。

2、蠕⾍病毒

蠕⾍病毒的前缀是：Worm。

这种病毒的公有特性是通过⽹络或者系统漏洞进⾏复制和传播，很⼤部分的蠕⾍病毒都有向外发送带毒邮件，阻塞⽹络的特性。病毒发

作时会在屏幕上出现⼀条类似⾍⼦的东西，胡乱吞吃屏幕上的字母并将其改形。⽐如冲击波（阻塞⽹络），⼩邮差（发带毒邮件）等。

3、⽊马病毒、⿊客病毒

⽊马病毒其前缀是：Trojan，⿊客病毒前缀名⼀般为Hack。

⽊马病毒的公有特性是通过⽹络或者系统漏洞进⼊⽤户的系统并隐藏，然后向外界泄露⽤户的信息，⽽⿊客病毒则有⼀个可视的界⾯，

能对⽤户的电脑进⾏远程控制。⽊马、⿊客病毒往往是成对出现的，即⽊马病毒负责侵⼊⽤户的电脑，⽽⿊客病毒则会通过该⽊马病毒来进

⾏控制。现在这两种类型都越来越趋向于整合了。⼀般的⽊马如QQ消息尾巴⽊马3344，还有⼤家可能遇见⽐较多的针对⽹络游

戏的⽊马病毒如.60。这⾥补充⼀点，病毒名中有PSW或者什么PWD之类的⼀般都表⽰这个病毒有盗取密码的功能，如：

⽹络枭雄（）等。⽊马程序危害在于多数有恶意企图，例如占⽤系统资源，降低电脑效能，危害本机信息安全（盗取QQ

帐号、游戏帐号甚⾄银⾏帐号），将本机作为⼯具来攻击其他设备等。

⽊马病毒通过特定的程序（⽊马程序）来控制另⼀台计算机。⽊马通常有两个可执⾏程序：⼀个是控制端，另⼀个是被控制端。“⽊

马”程序是⽬前⽐较流⾏的病毒⽂件，与⼀般的病毒不同，它不会⾃我繁殖，也并不“刻意”地去感染其他⽂件，它通过将⾃⾝伪装吸引⽤户下

载执⾏，向施种⽊马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的⽂件，甚⾄远程操控被种主机。“⽊马”与计算机⽹

络中常常要⽤到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“⽊马”则完有很强的隐蔽性。

传播⽅式：

1、通过邮件附件、程序下载等形式传播

2、通过伪装⽹页登录过程，骗取⽤户信息进⽽传播

3、通过攻击系统安全漏洞传播⽊马，⼤量⿊客使⽤专门的⿊客⼯具来传播⽊马。

4、脚本病毒

脚本病毒的前缀是：Script。

脚本病毒的公有特性是使⽤脚本语⾔编写，通过⽹页进⾏的传播的病毒，如红⾊代码（）。脚本病毒还会有如下前缀：

VBS、JS（表明是何种脚本编写的），如欢乐时光（ime）、⼗四⽇（s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的⼀种，由于它的特殊性，因此在这⾥单独算成⼀类。宏病毒的前缀是：Macro，第⼆前缀是：Word、

Word97、Excel、Excel97（也许还有别的）其中之⼀。凡是只感染WORD97及以前版本WORD⽂档的病毒采⽤Word97做为第⼆前缀，格

式是：97；凡是只感染WORD97以后版本WORD⽂档的病毒采⽤Word做为第⼆前缀，格式是：；凡是只感染

EXCEL97及以前版本EXCEL⽂档的病毒采⽤Excel97做为第⼆前缀，格式是：97；凡是只感染EXCEL97以后版本EXCEL⽂档

的病毒采⽤Excel做为第⼆前缀，格式是：，依此类推。

该类病毒的公有特性是能感染OFFICE系列⽂档，然后通过OFFICE通⽤模板进⾏传播，是⼀种寄存在⽂档或模板的宏中的病毒。⼀旦

打开这样的⽂档，其中的宏就会被执⾏，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。如：著名的梅丽莎病毒

(a)。

6、后门病毒

后门病毒的前缀是：Backdoor。

该类病毒的公有特性是通过⽹络传播，给系统开后门，给⽤户电脑带来安全隐患。如54很多朋友遇到过的IRC后门。

7、病毒种植程序病毒

这类病毒的公有特性是运⾏时会从体内释放出⼀个或⼏个新的病毒到系统⽬录下，由释放出来的新病毒产⽣破坏。如：冰河播种者

（2.2C）、MSN射⼿()等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本⾝具有好看的图标来诱惑⽤户点击，当⽤户点击这类病毒时，病毒便会直接对⽤户计算机产⽣破坏。如：格式

化C盘（C.f）、杀⼿命令（）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。

这类病毒的公有特性是本⾝具有好看的图标来诱惑⽤户点击，当⽤户点击这类病毒时，病毒会做出各种破坏操作来吓唬⽤户，其实病毒

并没有对⽤户电脑进⾏任何破坏。如：⼥⿁（ost）病毒。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。

这类病毒的公有特性是病毒作者会使⽤特定的捆绑程序将病毒与⼀些应⽤程序如QQ、IE捆绑起来，表⾯上看是⼀个正常的⽂件，当⽤

户运⾏这些捆绑病毒时，会表⾯上运⾏这些应⽤程序，然后隐藏运⾏捆绑在⼀起的病毒，从⽽给⽤户造成危害。如：捆绑

QQ（）、系统杀⼿（s）等

⽊马和病毒的区别与关系：

1、病毒:计算机病毒(Computer Virus),指编制或者在计霸王龙英文 算机程序中插⼊的破坏计算机功能或者破坏数据，影响计算机使⽤并且能够⾃我

复制的⼀组计算机指令或者程序代码。

具有⾃我复制能⼒，很强的感染性，⼀定的潜伏性，特定的触发性和很⼤的破坏性。

2、⽊马：特洛伊⽊马(“Trojan hou”），它是⼀种基于远程控制的⿊客⼯具，具有隐蔽性和⾮授权性的特点。

特洛伊⽊马程序分为客户端（也称为控制端）和服务器端（也称为被控制端）两部分，当⽤户访问了带有⽊马的⽹页后，⽊马的服

务器部分就下载到⽤户所在的计算机上，并⾃动运⾏。

它们可能删除硬盘上的数据，使系统瘫痪，盗取⽤户资料等。⽊马程序不能独⽴侵⼊计算机，⽽是要依靠⿊客来进⾏传播，它们常

常被伪装成“正常”软件进⾏散播。

常见的⽊马病毒举例：

梅丽莎病毒，是1998年春天，由美国⼈⼤卫L史密斯运⽤Word的宏运算编写出的⼀个电脑病毒，其主要是通过邮件传播。邮件的标题

通常为“这是给你的资料，不要让任何⼈看见”。2002年5⽉7⽇病毒的制造者被判刑，这是美国第⼀次对重要的电脑病毒制造者进⾏严厉惩

罚。

爱⾍病毒，⼜称“我爱你”病毒，是⼀种蠕⾍病毒，与1999年的梅丽莎病毒⾮常相似ac1200 。2000年5⽉4⽇，⼀种名为“我爱你”的电脑病毒开始

在全球各地迅速传播。这个病毒是通过MicrosoftOutlook电⼦邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含⼀个附件。⼀旦在

MicrosoftOutlook⾥打开这个邮件，系统就会⾃动复制并向地址簿中的所有邮件电址发送这个病毒。据称，这个病毒可以改写本地及⽹络硬

盘上⾯的某些⽂件。⽤户机器染毒以后，邮件系统将会变慢，并可能导致整个⽹络系统崩溃。据称：“爱⾍”病毒是迄今为⽌发现的传染速度

最快⽽且传染⾯积最⼴的计算机病毒，它已对全球包括股票经纪、⾷品、媒体、汽车和技术公司以及⼤学甚⾄医院在内的众多机构造成了负

⾯影响。

“红⾊代码”病毒是2001年7⽉15⽇发现的⼀种⽹络蠕⾍病毒，感染运⾏MicrosoftIISWeb服务器的计算机。其传播所使⽤的技术可以充

分体现⽹络时代⽹络安全与病毒的巧妙结合，将⽹络蠕⾍、计算机病毒、⽊马程序合为⼀体，开创了⽹络病毒传播的新路，可称之为划时代

的病毒。如果稍加改造，将是⾮常致命的病毒，可以完全取得所攻破计算机的所有权限并为所欲为，可以盗⾛机密数据，严重威胁⽹络安

全。

灰鸽⼦（Huigezi），原本该软件适⽤于公司和家庭管理，其功能⼗分强⼤，不但能监视摄像头、键盘记录、监控桌⾯、⽂件操作等。

还提供了⿊客专⽤功能，如：伪装系统图标、随意更换启动项名称和表述、随意更换端⼝、运⾏后⾃删除、毫⽆提⽰安装等，并采⽤反弹链

接这种缺陷设计，使得使⽤者拥有最⾼权限，⼀经破解即⽆法控制。最终导致被⿊客恶意使⽤。原作者的灰鸽⼦被定义为是⼀款集多种控制

⽅式于⼀体的⽊马程序。

冰河是⼀种⽊马软件。冰河⽊马开发于1999年，跟灰鸽⼦类似，在设计之初，开发者的本意是编写⼀个功能强⼤的远程控制软件。但⼀

经推出，就依靠其强⼤的功能成为了⿊客们发动⼊侵的⼯具，并结束了国外⽊马⼀统天下的局⾯，跟后来的灰鸽⼦等等成为国产⽊马的标志

和代名词。在2006年之前，冰河在国内咳嗽不能吃的东西 ⼀直是不可动摇的领军⽊马，在国内没⽤过冰河的⼈等于没⽤过⽊马，由此可见冰河⽊马在国内的影

响⼒之巨⼤。

冲击波（r）病毒是利⽤RPC漏洞进⾏传播的，只要是有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞。该病

毒感染系统后，会使计算机产⽣下列现象：系统资源被⼤量占⽤，弹出RPC服务终⽌的对话框，系统反复重启，不能收发邮件、不能正常复

制⽂件、⽆法正常浏览⽹页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到⾮法拒绝等。

熊猫烧⾹是⼀种经过多次蒜末 变种的“蠕⾍病毒”变种，跟灰鸽⼦不同，是⼀款拥有⾃动传播、⾃动感染硬盘能⼒和强⼤的破坏能⼒的病毒，

它不但能感染系统中exe，com，pif，src，html，asp等⽂件，它还能中⽌⼤量的反病毒软件进程并且会删除扩展名为gho的⽂件。2006年

10⽉16⽇由25岁的中国湖北武汉新洲区⼈李俊编写，2007年1⽉初肆虐⽹络，它主要通过下载的档案传染，受到感染的机器⽂件因为被误携

带间接对其它计算机程序、系统破坏严重。2007年2⽉12⽇，湖北省公安厅宣布，李俊以及其同伙共8⼈已经落⽹，这是中国警⽅破获的⾸

例计算机病毒⼤案。

X卧底软件是⼀种安装在⼿机⾥的监控软件。X卧底病毒通过⽊马形式感染智能⼿机。

2017年5⽉，国内⾼校突发⽐特币病毒，多所⾼校发布关于连接校园⽹的电脑⼤⾯积中“勒索”病毒的消息，这种病毒致使许多⾼校毕业

⽣的毕业论⽂（设计）被锁，⽀付赎聚的反义词 ⾦后才能解密。全球许多国家的医院及科研机构等也都遭受了攻击。

常见的⽊马病毒进程:

:冲击波病毒。

:震荡波病毒。

:恶鹰蠕⾍病毒。

:SCKISS爱情森林。

:狩猎者病毒。

:瑞波变种PX.

：中国⿊客病毒。

:⽹络精灵。

:⽹络公⽜。

:⼴外⼥⽣。

:⼝令病毒。

:波特后门变种。

:将死者病毒。

Tftp:exe:尼姆达病毒。

:Funlove病毒。

:将死者病毒。

:恶邮差病毒。

:冲击波病毒。

:恶邮差病毒。

:蓝⾊代码蠕⾍病毒。

:传奇终结者。

:SCKISS爱情森林。

:安哥病毒。

:恶邮差病毒。

:传奇幽灵。

:⽹络神偷。

:冰河。

:爱⾍病毒。

:将死者病毒。

:将死者病毒。

:将死者病毒。

:传奇猎⼿。

:传奇天使。

:求职者病毒。

:尼姆扁豆角炒肉 达病毒。

Taskbar:FRETHEM密码病毒。

:将死者病毒。

SY***:冰河。

:诺维格蠕⾍病毒。

Taskmon32:传奇⿊眼睛。

:将死者病毒。

:漏洞2000。

:恶邮差病毒。

：Sckiss爱情森林。

:Sckiss爱情森林。