“记住这个名字：‘灰鸽子’病毒在Delphi中崭露头角！”

扩展阅读

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

“灰鸽子”是2001年出现的，采用Delphi编写，黑客利用客户端程序配置出服务端程序。最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。

可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位。

扩展阅读

网游大盗(2007年) 是例专门盗取网络游戏帐号和密码的病毒， 其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的"网游大盗”变种jws是“网游大盗"木马家族最新变种之一，采用VisualC+ +编写，并经过加壳处理。“网游大盗” 变种jws运行后，会将自我复制到Windows目录下，自我注册为"Windows Down"系统服务，实现开机自启。

该病毒会盗取包括“魔兽世界”、"完美世界" 、“征途” 、等多款网游玩家的帐户和密码，并且会下载其它病毒到本地运行。玩家计算机旦中毒，就可能导致游戏帐号、装备等丢失。在07年轰动一时，网游玩家提心吊胆。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe等14个病毒文件，病毒文件之多比较少见，事实上这14个不同文件名的病毒文件系同一种文件，。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

“Computer virus”一词诞生于20世纪80年代初，当时是南加州大学的博士生 Fred Cohen 提出了使用自我复制软件的想法，这种软件通过附加到现有程序上来传播，以此来攻击多用户计算系统的安全性。他把这个想法告诉了 Len Adleman，这是他的论文顾问。 Len Adleman指出，这种病毒与生物病毒有相似之处，生物病毒利用它攻击的细胞资源进行自我繁殖，“computer virus”一词开始了它进入日常英语的旅程。

Fred Cohen在这一点上创造了“virus”一词，并被认为是我们今天所知的计算机病毒之父。他在一句话中总结为“a program that can infect other programs by modifying them to include a, possibly evolved, version of itself（一个程序，可以通过修改它们来感染其他程序，包括一个可能已经进化的自身版本）。”

扩展阅读

Code Red和Code Red II worms 出现在2001年夏天。Both worms 都利用了运行Windows 2000和Windows NT的计算机中发现的操作系统漏洞。该漏洞是一个缓冲区溢出问题，这意味着当运行在这些操作系统上的计算机收到的信息超过其缓冲区所能处理的信息时，它将开始覆盖相邻的内存。2001年夏天，袭击的后果造成了数十亿美元的损失。

eEye 数字安全公司的Marc Maiffret和Ryan Permeh 两位员工在利用 Riley Hassell 发现现有漏洞时，发现了worm virus。为什么会命名为“Code Red”的计算机病毒，是因为他们当时正在饮用“Code Red”红酒。
被“Code Red”攻击的电脑，会显示一个文本字符串“Welcome to worm.com Hack by Chinese！”。它会在内存中运行，同时会清除硬盘中的所有文件。

最初的 Code Red worm 对白宫发起了分布式拒绝服务（DDoS）攻击。这意味着所有被 Code Red  感染的计算机都试图同时联接白宫的网络服务器，使服务器超载。

被Code Red II worm 感染的 Windows 2000 计算机不再服从所有者的操作指令。这是因为 worm 在计算机操作系统中创建了后门，允许远程用户访问和控制计算机，在电脑方面，这是一个系统的折中方案，对电脑所有者来说是个坏消息。病毒的幕后黑手可以从受害者的电脑上获取信息，甚至可以利用被感染的电脑犯罪。这意味着受害者不仅要处理受感染的计算机，而且可能会因为他或她没有犯下的罪行而受到警方的怀疑。2001年7月19日，它感染了近359000名电脑。

虽然 Windows NT 的计算机容易受到 code red worm 的攻击，但病毒对这些计算机的影响并没有那么严重。运行  Windows NT 的Web服务器可能会比正常情况下更频繁地崩溃，但这已经是最糟糕的了，不过与 Windows 2000 用户所经历的痛苦相比，这还不算太糟。

Microsoft 发布了解决 Windows 2000 和 Windows NT 中安全漏洞的修补程序。一旦修补，最初的 worm virus 就不能再感染 Windows 2000 的计算机；然而，修补程序并不能从被感染的计算机上清除 virus 所以受害者必须自己动手。

扩展阅读

CryptoLocker通常会以电子邮件附件的类型，包装成一个看似无害的电子邮件（通常使用合法公司的电子邮件外观）进行发送，或是经由僵尸网络发送。所附上的ZIP文件格式包含了一个可执行的文件，通常是使用伪装的PDF文件附文件名与文件名称，利用Windows系统当中的文件扩展名规则，掩饰真正的EXE扩展名形式文件。部分情况下则会实际含有宙斯特洛伊木马病毒，以进行安装CryptoLocker。首次引导时，有效负载会以随机的名称，自行安装于我的文档，并于注册表登录一个编码，会导致于引导时引导。然后，该恶意软件会尝试连接被勒索者所控制的服务器与指令，一旦成功连接，该服务器就会产生一个2048位的RSA加密密钥配对，并且提交公开密钥到被感染的电脑。该服务器可能是一个本地代理服务器或其他的代理服务器，会频繁地在不同国家间进行重定位，增加追踪的困难度。

2013年11月，CryptoLocker的操作者开放了一个在线服务，允许用户不用CryptoLocker程序就能解密文件，并且必须于截止时间前下载解密密钥；这个过程包含了将解密文件样本上传到恶意软件的网站，然后在24小时内，网站会依据请求，查找匹配的密钥。一旦匹配成功，用户就能够进行在线付款；如果72小时的期限已过，付款价格将会增长到10比特币（在2013年11月上旬，换算汇率为超过3500美元）