iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 9
1
Security

資事體大 毒擋一面 - 資安防護深入淺出系列 第 9

[Day09] 聖誕特輯 - 邊緣人在家打文章QQ,聖誕節病毒

Yo!親愛的各位讀者,祝大家聖誕快樂

聖誕快樂
又是聖誕節、又是個愉快周末,各位有沒有做好聖誕節的玩樂計畫呢?
/images/emoticon/emoticon78.gif/images/emoticon/emoticon81.gif/images/emoticon/emoticon58.gif/images/emoticon/emoticon73.gif

雖然是聖誕節,但電腦病毒們可沒有在休息的呢!
在這個特別的節日反而是常成為電腦病毒下手的時機,為了讓大家能過個開心的聖誕節,我們來個預防勝於治療,先來考古並簡單整理一下以往有哪些聖誕節病毒吧!

聖誕節病毒;此類病毒在平日會潛伏於電腦系統中,當日期條件為聖誕節前後時會顯示一些聖誕祝福語,並觸發其病毒行為以攻擊電腦、或是自動執行與聖誕節相關的行為。

1. 聖誕 CIH 病毒

聖誕 CIH 病毒又稱為 PE_KRIZ.3740 病毒,屬於 PE 型病毒,中間的 KRIZ 的音跟 Cristmas 類似,此病毒是以 12 月 25 號發作,會破壞電腦的 BIOS,還會破壞 CMOS,並且以垃圾程式碼去覆蓋硬碟中的啟動器(Boot)與邏輯磁區,使得作業系統將無法被正常讀取,是一個破壞力十足的電腦病毒。
病毒的感染方式首先是透過取代 Kernel32.dll 文件,使得所有文件在讀取的同時也被感染,感染病毒代碼方式為 appending,也就是在文件末端中加入病毒代碼(感染方式會在幾篇後做介紹),但此病毒並不會在一些防毒軟體的執行檔中做感染。
雖然此病毒所感染的作業系統為 Win 95 / 98 / NT,但很難說不會有新的變種出現,對於可疑文件或執行檔還是要小心為妙。

2. Navidad 聖誕節蠕蟲

Navidad 為西班牙文的聖誕節,這隻蠕蟲盛行於 2000 年,為 PE 類型病毒。
Navidad 的傳染方式是利用電腦中的 Microsoft Exchange Message API(MAPI),以電子郵件夾帶病毒檔本身 Navidad.exe 為附件發送到散播到世界各地。
若收件者不經意下執行該病毒檔將會跳出一堆西班牙文,接著於系統中植入 winsvrc.exe,並且讓所有執行檔被執行前都會先執行這個植入的程式,接著將造成電腦無法啟動、任何程式皆無法被執行,這隻電腦蠕蟲非常恐怖,影響區域甚大,曾被稱作最可怕的聖誕禮物。
這隻比較不算是聖誕節病毒,但因為名字的緣故,所以把它也放到清單裡。

3. Christmas Tree 聖誕樹

此病毒本身無害,比較屬於 joke 類型的 grayware(Grayware也會在幾篇後做介紹),源自於東德,屬於較為古老的感染型病毒,這隻聖誕樹會感染電腦中的 .COM 檔案,若在 12 月 24 號至 1 月 1 號之間執行被感染的檔案(又稱為宿主),則會顯示全螢幕的聖誕樹圖案。

4. Father Christmas 老爸聖誕節

此病毒本身也是無害,比較屬於 joke 類型的 grayware,源自於荷蘭,同樣屬於較為古老的感染型病毒,病毒發作於 12 月 19 號至 12 月 31 號之間,在病毒發作時會顯示聖誕樹與字樣"Merry Christmas & a Happy New Year for all my lovely friends from FATHER CHRISTMAS",並且開始感染檔案,使所有檔案都比原來的大 1881 bytes。此病毒會造成磁簇(cluster)遺失和磁碟檔案鏈結表資料毀壞。

5. Japan Christmas 日本聖誕節

此病毒本身也是無害,比較屬於 joke 類型的 grayware,源自於荷蘭,同樣屬於較為古老的感染型病毒,當受到感染的文件(宿主),在螢幕中間會顯示"A merry christmas to you ",不具強烈的攻擊意味。

6. Christmas Macro 聖誕節巨集病毒 1.0 版

Christmas Macro 是屬於 Word 巨集 VBA(Visual Basic for Applications)類型病毒,屬於木馬病毒。受感染的電腦會在聖誕節當天修改 Word 工具列的"檔案"、"工具"與"表格",改成"聖誕節"。

7. Reeezak 蠕蟲

Reeezak 蠕蟲源自於英國,病毒郵件內容為"Happy New Year",且夾帶附件 hristmas.exe,讓不少人以為是聖誕節的電子賀卡而執行了夾帶的病毒檔後,會取消鍵盤上的選擇鍵功能,並且刪除所有檔案。此病毒會搜尋電腦中 Outlook 的聯絡人資訊,將病毒散播給這些聯絡人。

其他還有像是:

  1. w97m_prilissa
  2. w97m_clstnt.b
  3. atomic-1a,atomic-1b
  4. minosse
  5. topo
  6. w97m_a_opey
  7. w97m_teocatl
  8. del_win.1759
  9. arcv_670
  10. christmas
  11. icelandic
  12. troj_music.a

以上整理的聖誕節病毒大多數都蠻古老的了,大多數的病毒都已經能被目前的多數防毒軟體偵測到,平安夜、聖善夜,要有個平靜又安逸的聖誕,請務必記得:

  1. 先更新自己的防毒軟體版本。
  2. 資料進行備份。
  3. 可疑文件小心使用。

最後小茶祝福大家

聖誕節快樂

希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!

參考來源:
"聖誕CIH"病毒解析 http://it.rising.com.cn/antivirus/cih_virus/cihvirus039.htm
彰師附工資訊室公告 http://ms3.sivs.chc.edu.tw/schoolboard/schoolboard.php?do=read_msg&board=school_board&msg_id=12&order=asc&cur_page=1
人民網 http://www.people.com.cn/BIG5/it/51/20011223/633242.html
專家提醒預防"聖誕節"等16種病毒 http://www.2000888.com/www/shancansh/2000/bd/hwz261431.htm


上一篇
[Day08] 環境設置 - 建立你的小病毒實驗室
下一篇
[Day10] 格式透視 - 解析 PE 文件格式(前篇)
系列文
資事體大 毒擋一面 - 資安防護深入淺出31

尚未有邦友留言

立即登入留言