特斯拉特工间谍软件：一部改变情报界游戏规则的传奇

扩展阅读

特斯拉特工是一个密码窃取间谍软件，自2014年以来一直存在。攻击者可以使用该恶意软件监视受害者，使他们能够查看在受支持的程序和浏览器中输入的所有内容。

特斯拉病毒在其自己的网站上进行营销和销售，该网站谎称该程序是为个人使用而创建的合法键盘记录器，因此在黑客社区中变得极其流行。不是最后一个，因为它的易用性和技术支持，可以在“官方”网站上获得，攻击者在那里销售这个恶意软件，以及在专用的Discorde服务器上。尽管声称该软件是合法的，但支持人员还是就非法使用该病毒提出了建议。人们认为特斯拉特工间谍软件起源于土耳其。

（执行过程）

间谍软件是使用.NET软件框架创建的。它的目的是窃取个人数据并将其传输回C2服务器。恶意软件可以从浏览器、电子邮件客户端和FTP服务器访问信息。

此外，特斯拉特工恶意软件能够捕捉截图和视频。它还可以记录剪贴板信息和表单值。病毒在agenttesla-do-com上传播，攻击者只需花15美元就能买到。然而，根据所要求的选项，软件包的价格很容易达到70美元左右。

（模拟病毒的生命周期）

独特的是，恶意软件的创建者已经建立了一种围绕该项目的生态系统，提供24/7的客户支持以及预先匹配的购买计划，其中包括为不同预算和目标量身定制的各种选择。该病毒提供了一个专用的构建器，它有一个简单易用的控制面板.它甚至允许一个不懂技术的攻击者将有效负载打包到恶意文档中。更重要的是，2015年后，特斯拉特工的控制面板已经扩大，具有广泛的自动化功能，允许攻击者在设定时间间隔内自动捕捉快照或远程激活受害者个人电脑上的摄像头。

该恶意软件配备了多种持久性机制，以帮助它避免反病毒检测。因此，它可以在系统重新启动后自动恢复操作。它还可以关闭Windows进程以保持隐藏。

扩展阅读：

从1998年的4月26日开始，26日成为一个令电脑用户头痛又恐慌的日子，因为在那一天CIH病毒诞生了！1999年4月26日，这个游荡在互联网和个人电脑间的黑色幽灵，在全球全面发作。这一天，对于中国电脑用户来说，无疑是个令人心悸的灾难日：开机、屏幕没有任何显示，只有死一般的沉寂。黑色幽灵第一次对中国用户发起了大规模的进攻。 损失是惨重的，可以统计的经济损失以亿计算，对电脑用户的震动并因此而产生的对计算机病毒的恐惧感，着实让国内外的防病毒软件大大的火了一把。

这种新型的CIH病毒逢12月25日爆发，它的破坏力远大于大家所熟知的4月26日CIH病毒。 这种名为PE_KRIZ.3740（又称圣诞CIH）的病毒，每逢12月25日发作，发作时同样可以破坏BIOS（破坏方式与4月26日CIH相同），还可以破坏CMOS数据，并且会用垃圾数据覆盖所有硬盘驱动器（包括C驱和其它所有逻辑分区）中的所有文件，更有甚者这个病毒的编写者为了能使病毒大面积传播与破坏，把病毒设计成了加密型病毒，并且使这个病毒可以成功地避开普通杀毒软件的侦测。

电脑鬼才—陈盈豪，据初步统计，来自中国中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）的CIH电脑病毒这次共造成全球 6000万台电脑瘫痪，其中韩国损失最为严重，共有30万台电脑中毒，占全国电脑总数的15%以上，损失更是高达两亿韩元以 上。土耳其、孟加拉、新加坡、马来西亚、俄罗斯、中国内地的电脑均惨遭CIH病毒的袭击。制造这场“电脑大屠杀”的是中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）现役军人、大学毕业生陈盈豪。CIH电脑病毒风暴过后，有的把CIH的始作俑者陈盈豪抬升为“天才”,有的把他贬为“鬼才” 。

1998年4月30日上午，在"军方人员"的护送下，正在中国中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）军中服役的CIH电脑病毒始作俑者陈盈豪被带到了台北“刑事局”接受警方的侦讯。让办案的警方人员大感意外的是，搞出震惊全球的电脑病毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当陈盈豪踏入台北“刑事局”的大门后，面对早早就等在那里的数十名记者的闪光灯一时间情绪失控，只见他浑身发抖，面无血色，两腿发软，几乎无法自己走路！正当警员们束手无策的时候，有多次侦办电脑黑客经验，摸透了这些自诩为“一等电脑高手”秉性的台北刑事局资讯室主任李相臣一个箭步冲上前去，轻轻地揽住直往地下出溜的陈盈豪，半拖半架地把他弄进了侦讯室，并且劝走了仍在不停拍照的记者。颇有经验的李相臣等办案人员没有采取单刀直入的惯用方式对陈盈豪进行问讯，而是先跟他谈他在大学里过去的女朋友、他的家人、大学生活以及与电脑有关的知识，这才让陈盈豪的情绪逐渐恢复了平静。

在CIH病毒成为一夜成名之后，中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）所谓的“军方”也注意到陈盈豪，想将他调入中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）“电子战特种部队”，可惜在经过一番体检之后，中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）所谓的“军方”医生认为陈盈豪患有“轻度抑郁症”，不仅没有将他调入中国台湾省（台湾从古至今都是中国领土神圣不可分割的一部分）“电子战特种部队”，反而责令他提前退役。现如今回看当年，陈盈豪被医生描述为轻度抑郁症的病症表现只不过是所有网络宅男的标准特征。

如今陈盈豪在硬件知名厂商技嘉公司工作，有意思的是当年CIH爆发后让许多电脑用户人心惶惶，生怕被CIH烧毁了主板BIOS无法挽救，而这是技嘉公司看准了这个噱头，生产了双CMOS主板狠赚了一笔。而在中国内地，CIH病毒也改写了国内杀毒软件的格局，救活了原来并不出名的瑞星。微软应该是CIH病毒事件中最郁闷的厂商，Windows 98刚刚发布不久，就被证明了存在一系列重大设计缺陷，让许多Linux支持者找到了口实。

扩展阅读

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我们只能进行简要介绍。

“灰鸽子”是2001年出现的，采用Delphi编写，黑客利用客户端程序配置出服务端程序。最早并未以成品方式发布，更多的是以技术研究的姿态，采用了源码共享的方式出现在互联网，至今仍可搜索到“灰鸽子”早期版本的源码。

可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式，用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”，因此只出现了少量的感染，但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放，所以出现多种不同的版本，由于服务端都以隐藏方式启动，就奠定了其恶意后门木马的地位。

扩展阅读

Code Red和Code Red II worms 出现在2001年夏天。Both worms 都利用了运行Windows 2000和Windows NT的计算机中发现的操作系统漏洞。该漏洞是一个缓冲区溢出问题，这意味着当运行在这些操作系统上的计算机收到的信息超过其缓冲区所能处理的信息时，它将开始覆盖相邻的内存。2001年夏天，袭击的后果造成了数十亿美元的损失。

eEye 数字安全公司的Marc Maiffret和Ryan Permeh 两位员工在利用 Riley Hassell 发现现有漏洞时，发现了worm virus。为什么会命名为“Code Red”的计算机病毒，是因为他们当时正在饮用“Code Red”红酒。
被“Code Red”攻击的电脑，会显示一个文本字符串“Welcome to worm.com Hack by Chinese！”。它会在内存中运行，同时会清除硬盘中的所有文件。

最初的 Code Red worm 对白宫发起了分布式拒绝服务（DDoS）攻击。这意味着所有被 Code Red  感染的计算机都试图同时联接白宫的网络服务器，使服务器超载。

被Code Red II worm 感染的 Windows 2000 计算机不再服从所有者的操作指令。这是因为 worm 在计算机操作系统中创建了后门，允许远程用户访问和控制计算机，在电脑方面，这是一个系统的折中方案，对电脑所有者来说是个坏消息。病毒的幕后黑手可以从受害者的电脑上获取信息，甚至可以利用被感染的电脑犯罪。这意味着受害者不仅要处理受感染的计算机，而且可能会因为他或她没有犯下的罪行而受到警方的怀疑。2001年7月19日，它感染了近359000名电脑。

虽然 Windows NT 的计算机容易受到 code red worm 的攻击，但病毒对这些计算机的影响并没有那么严重。运行  Windows NT 的Web服务器可能会比正常情况下更频繁地崩溃，但这已经是最糟糕的了，不过与 Windows 2000 用户所经历的痛苦相比，这还不算太糟。

Microsoft 发布了解决 Windows 2000 和 Windows NT 中安全漏洞的修补程序。一旦修补，最初的 worm virus 就不能再感染 Windows 2000 的计算机；然而，修补程序并不能从被感染的计算机上清除 virus 所以受害者必须自己动手。