1、1浅谈病毒入侵微机的途径与防治研究摘 要:随着科技的进步计算机不断普及,其利用率越来越高,应用领域也越来越广。不管是日常的工作中,还是学习生活都带来了巨大的改变。但是计算机的产生也是一把双刃剑,在给人们带来方便的同时却也随着计算机加入网络系统而计算机安全受到了越来越多的威胁。目前计算机系统漏洞不断被发现,病毒与黑客的技巧和破坏能力不断提高,处于网络中的计算机受到了越来越多的攻击。阻塞甚至中断网络,破坏计算机系统或丢失个人重要信息等;这些威胁越来越给个人和企业都造成巨大的损失,而对于上述威胁,如何有效的动态保护计算机的应用,不被病毒等恶意信息攻击,早已引起了社会的极大关注。为了加强目前计算机防护
2、能力,我们需要深入研究病毒入侵计算机系统的路径,以及如何在这些路径上进行相应的防治手段的执行。这种根据路径而进行的拦截式防治的思路,无疑是最适宜的计算机系统安全防范思路。而这种思路的深入探讨对于保障计算机的运行可靠性和完整性有着极为重要的意义。关键词:计算机;病毒;防范措施;原理On the way computer viruses and ControlAbstract: Popularizes unceasingly along with the technical progressive computer, its use factor is getting higher and hig
3、her, the application domain is also getting more and more broad. No matter is in the daily work, studied the life to bring the huge change. But computers production is also a double-edged sword, while brings the convenience to the people actually also to join the network system along with the comput
4、er, but the computer security arrived at more and more threats. At present the computer system crack was discovered unceasingly that viral and hackers skill and destructive capability enhanced unceasingly, are in the network the computer to arrive more and more attacks. Blocking even interrupts the
5、network, destroys the computer system or loses individual important information and so on; These threats give individual more and more and the enterprise create the massive loss, but regarding the above threat, the effective dynamic protection computers application, by malicious 2information attacks
6、 and so on virus, already to have been caused how societys enormous attention. In order to strengthen the present computer protection capability, we need the deep research virus invasion computer systems way, as well as how to carry on the corresponding prevention method in these ways the execution.
7、 This kind the interception type prevention mentality which carries on according to the way, without doubt is the computer system safe guard mentality which is suitable. But this kind of mentalitys thorough discussion regarding safeguards computers movement reliability and the integrity has the grea
8、t importance the significanceKey words: computer; viruses; precautions; principle3目 录1 计算机病毒概述,. 41.1 计算机病毒的基本介绍 41.1.1 计算机病毒的产生 41.1.2 计算机病毒的特征 41.1.3 病毒的表现形式 51.2 计算机病毒的分类 61.2.1 文件传染源病毒 61.2.2 引导扇区病毒 61.2.3 主引导记录病毒 61.2.4 复合型病毒 61.2.5 宏病毒 71.3 计算机病毒的攻击和防御 71.3.1 常见的网络动态攻击 71.3.2 常用的病毒攻击防御 92 计算机病
9、毒动态防御详细分析 102.1 感染可执行文件的病毒 102.2 后台进行控制的病毒 112.3 蠕虫病毒 122.4 脚本病毒 132.4.1 基本介绍 132.4.2 侵入的技术原理 133 计算机病毒防范措施 143.1 个人防范措施 143.2 即时通讯工具预防措施 153.3 蠕虫类预防措施 153.4 网页挂马病毒的预防措施 163.5 网上银行、在线交易的预防措施 163.6 利用 U 盘进行传播的病毒的预防措施 174 结束语 185 参考文献 191 计算机病毒概述41.1计算机病毒的基本介绍1.1.1 计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化
10、进程发展到一定阶段的必然产物。电脑病毒的产生要经过这几个过程:程序设计传播潜伏触发运行实施攻击。 究其产生的原因不外乎以下几种: 病毒制造者对病毒程序的好奇与偏好。也有的是为了满足自己的表现欲,故意编制出一些特殊的计算机程序,让别人的电脑出现一些动画,或播放声音,或提出问题让使用者回答。而此种程序流传出去就演变成计算机病毒,此类病毒破坏性一般不大; 个别人的报复心理。如台湾的学生陈盈豪,就是出于此种情况,他因为曾经购买的一些杀病毒软件的性能并不如厂家所说的那么强大,于是处于报复目的,自己编写了一个能避过当时的各种杀病毒软件并且破坏力极强的 CIH 病毒,曾一度使全球的电脑用户造成了巨大灾难和损
11、失; 一些商业软件公司为了不让自己的软件被非法复制和使用,在软件上运用了加密和保护技术,并编写了一些特殊程序附在正版软件上,如遇到非法使用,则此类程序将自动激活并对盗用者的电脑系统进行干扰和破坏,这实际上也是一类新的病毒,如巴基斯坦病毒; 恶作剧的心理。有些编程人员在无聊时处于游戏的心理编制了一些有一定破坏性小程序,并用此类程序相互制造恶作剧,于是形成了一类新的病毒,如最早的“磁芯大战”就是这样产生的; 用于研究或实验某种计算机产品而设计的“有专门用途的”程序,比如远程监控程序代码,就是由于某种原因失去控制而扩散出来,经过用心不良的人改编后会成为具有很大危害的木马病毒程序; 由于政治、经济和军
12、事等特殊目的,一些组织或个人编制的一些病毒程序用于攻击敌方电脑,给敌方造成灾难或直接性的经济损失。1.1.2 计算机病毒的特征非授权可执行性:用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 5隐蔽性:计算机病毒是一种具有很高编程技巧、短小精
13、悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 传染性:传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet 这样的网络传遍世界。 潜伏性:计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即
14、发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 表现性或破坏性:无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体
15、现了病毒设计者的真正意图。 可触发性:计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等 1。1.1.3 病毒的表现形式根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象。计算机病毒发作前的表现现象:平时运行正常的计算机突然经常性无缘无故地死机;操作系统无法正常启动;运行速度
16、明显变慢;以前能正常运行的软件经常发生内存不足的错误;打印和通讯发生异常;无意中要求对软盘进行写操作;以前能正常运行的应用程序经常发生死机或者非法错误;系统文件的时间、日期、大小发生变化;运行Word,打开 Word 文档后,该文件另存时只能以模板方式保存;磁盘空间迅速减6少;网络驱动器卷或共享目录无法调用;基本内存发生变化;陌生人发来的电子函件。计算机病毒发作时的表现现象:提示一些不相干的话;无原无故发出一段的音乐;产生特定的图像;硬盘灯不断闪烁;进行游戏算法;Windows 桌面图标发生变化;计算机无原无故突然死机或重启;自动发送电子函件;鼠标自己在动或动不了。计算机病毒发作后的表现现象:
17、硬盘无法启动,数据丢失;系统文件丢失或被破坏;文件目录发生混乱;部分文档丢失或被破坏;部分文档自动加密码;修改 Autoexec.bat 文件,增加Format C:一项,导致计算机重新启动时格式化硬盘;使部分可软件升级主板的 BIOS 程序混乱,主板被破坏;网络瘫痪,无法提供正常的服务。1.2 计算机病毒的分类1.2.1 文件传染源病毒文件传染源病毒感染程序文件。这些病毒通常感染可执行代码,例如:.com 和 .exe 文件等。当受感染的程序从软盘、U 盘或硬盘上运行时,可以感染其他文件。这些病中有许多是内存驻留型病毒。内存受到感染之后,运行的任何未感染的可执行文件都会受到感染。已知文件传染
18、源病毒包括Jerusalem、Cascade 等。1.2.2 引导扇区病毒病 毒 通 过 复 制 代 码 引 导 区 病 毒 感 染 计 算 机 系 统 或 者 到 软 盘 上 引 导 扇 区 或硬 盘 上 分 区 表 。 在 启 动 期 间 ,病 毒 是 加 载 到 内 存 。 一 旦 在 内 存 ,病 毒 将 感 染由 系 统 访 问 得 任 何 非 感 染 磁 盘 。 引 导 扇 区 病 毒 示 例 是 Michelangelo 和 Stoned。 引 导 扇 区 病 毒 通 过 引 导 ,或 试 图 从 感 染 了 软 盘 引 导 ,分 布 到 计 算 机系 统 。 即 使 如 果 磁
19、 盘 不 包 含 需 要 ,成 功 启 动 MS-DOC 系 统 文 件 试 图 从 感 染 磁盘 启 动 将 加 载 到 内 存 病 毒 。 在 内 当 作 设 备 驱 动 程 序 病 毒 挂 钩 本 身 。 病 毒 移 动中 断 12 返 回 ,允 许 本 身 在 内 存 中 保 持 即 使 热 启 动 。 病 毒 将 然 后 感 染 硬 盘 上首 系 统 中 。1.2.3 主引导记录病毒主引导记录病毒是内存驻留型病毒,它感染磁盘的方式与引导扇区病毒相同。两种病毒类型的区别在于病毒代码的位置。主引导刻录感染源通常将主引导记录的合法副本保存在另一个位置,受到引导扇区病毒或主引导记录病毒感染的
20、 Windows NT/2000/2003 计算机将不能启动,这是由于 Windows NT/2000/2003 操作系统访问其引导信息的方式与 Windows 9x 不同。主引导记录病毒主要有 NYB、AntiExe 和 Unashamed 等。71.2.4 复合型病毒复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然
21、好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有 Flip病毒、新世纪病毒、One-half 病毒等。1.2.5 宏病毒宏病毒是目前最常见的病毒类型,它主要感染数据文件。随着 Microsoft Office 97 中 Visual Basic 的出现。编写的宏病毒不仅可以感染数据文件,还可以感染其他文件。宏病毒可以感染 Microsoft Office Word、Excel、PowerPoint 和 Access 文件。这些病毒很容易创建,现在传播着的就的几千种,主要有的包括 W97M.Melissa、Macro.Melissa、WM.NiceDay 和 W9
22、7M.Groov 等 2。1.3 计算机病毒的攻击和防御1.3.1 常见的网络动态攻击 死亡之 ping (ping of death):由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64K 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使接受方当机。 泪滴(teardrop):泪滴攻击利用那些在 TCP/IP 堆栈实现中信任 IP 碎片中的包的标
23、题头所包含的信息来实现自己的攻击。IP 分段含有指示该分段所包含的是原包的哪一段的信息,某些 TCP/IP(包括 servicepack 4 以前的 NT)在收到含有重叠偏移的伪造分段时将崩溃。UDP 洪水(UDP flood):各种各样的假冒攻击利用简单的 TCP/IP 服务,如 Chargen 和 Echo 来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen 服务之间的一次的 UDP 连接,回复地址指向开着 Echo 服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 SYN 洪水(SYN flood):一些 TCP/I
24、P 栈的实现只能等待从有限数量的计算机发来的 ACK 消息,因为他们只有有限的内存缓冲区用于创建连接,如果这8一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN 洪水具有类似的影响。 Land 攻击:在 Land 攻击中,一个特别打造的 SYN 包,它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送 SYN-ACK 消息,结果这个地址又发回 ACK 消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对 Land 攻击反应不同,许多 UNIX 实现将崩溃,NT 变的极
25、其缓慢(大约持续五分钟) 。 Smurf 攻击:一个简单的 smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此 ICMP 应答请求做出答复,导致网络阻塞,比ping of death 洪水的流量高出一或两个数量级。更加复杂的 Smurf 将源地址改为第三方的受害者,最终导致第三方雪崩。Fraggle 攻击:Fraggle 攻击对 Smurf 攻击作了简单的修改,使用的是 UDP应答消息而非 ICMP电子邮件炸弹:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电
26、子邮件,攻击者能够耗尽接受者网络的带宽。畸形消息攻击:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。 特洛伊木马:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice 和 BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。 缓冲区溢出:由于在很多的服务程序中大意的程序员使用像 str
27、cpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。信息收集型攻击:信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。 假消息攻击:用于攻击目标配置不正确的消息,主要包括:DNS 高速缓存9污染、伪造电子邮件。DNS 高速缓存污染:由于 DNS 服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。伪造电子邮件:由于 SM
28、TP 并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。脚本攻击:是一件艺术而不是漏洞!首先我们先要知道什么是脚本,脚本就是运行在网页服务器上的文本程序,是利用这些文件的设置和编写时的错误或者疏忽不当,攻击者就可以利用这些来达到自己攻击目的脚本攻击就是针对这些数据库来配合脚本对一些变量的过滤不严的问题来达到得到用户密码等敏感信息,修改数据库等目的 3。1.3.2 常用的病毒攻击防御用户密码足够复杂,推荐 8-16 位数字大小写字符特殊符号 ;win2k/xp 可考虑把 adm
29、inistrator 用户改名; 尽量使用网络共享,采用 ftp 等更安全的方式代替(默认共享目录,列举用户名,空密码漏洞是著名的容易被利用) ;如果必要情况下需要使用,请一定设置上 8 位以上的复杂密码,并制定文件目录的确实需要的最小权限(例如提供资料让人下载的,就只需要设置成只读权限就行了) 及时升级系统和工具补丁;(这点我在此文中一直在强调,但事实上是不少用户宁可每天花 10 个小时的时间玩游戏,也不愿意花 10 分钟去访问一下 windows 的 update 站点,安装杀毒软件/防火墙是治标,打 patch 才是治本,随时打好 patch 是每日必修功课) ; 安装带有病毒即时监控/
30、邮件监控的杀毒程序,并及时升级病毒库;(很多朋友强调自己用的是正版杀毒软件,但一直忽略了购买正版杀毒软件的最必要因素获得良好的升级支持服务,不升级病毒库的杀毒软件是无法捕捉到新病毒的。因此天缘个人建议每天 2 次升级最新病毒库是比较适合的,一次在早上开机时,一次在下午开机时) ; 使用更优秀的软件代替产品;(例如用 myie2 代替 ie,用 total command 代替资源浏览器。不是说微软自身的产品不能用有时候就是因为微软的产品功能太多,众多的功能中有可能有存在漏洞的,就会危机到系统安全了,所以推荐使用代替产品。而事实上不少第三方软件的确相当好用的) 使用个人版网络防火墙,将 icmp
31、 反馈禁止,再根据自己需要把敏感端口全部禁止掉;(在金山、瑞星、kv、天网的防火墙设置中,很容易找到“禁止10icmp 回应” , “禁止 ping 响应”这样的规则,勾选上就行了)win2k/xp 自带的ipsec 也能实现,不过比较繁复一些,个人感觉适合系统管理员而不是普通用户,另外 winxp 自带的防火墙也能作到禁止 ping 回应,各位可以试着开启它) 修改 xp/win2000 的默认设置,在服务中禁止掉自己不需要的一些服务。如messager 和远程操作注册表都是常常被利用的服务程序;(在中文版本中,都有详细的中文提示,yesky 网站上的介绍文章也相当多,各位可以搜索一下) 养
32、成安全意识。网络前辈说过一句名言“安全,从来都不是技术问题,而是一个意识”前面几条都是在第 8 条的基础上得到体现的,如果没有了安全意识,即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch,那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言,如果用户不在主观上保持“存疑”的态度,那么随意接受/打开外来的文件,中毒的可能性是相当大的。另外补充一句,网络上只有“本地”和“远程”2 个概念,不管是不是朋友的计算机,是不是同一个工作组内的机器,它始终是台远程机器发送过来的数据保持必要的怀疑,不管该计算机是谁拥有。 在金山,瑞星和 kv3000 的主页,对待流行病毒,
33、都有专杀工具和注册表修复工具免费下载,如果用户能确认自己所中的是何种病毒时,使用专杀工具能获得更高的杀毒效率;而且在这些站点上,还有最新的病毒预报可以看到,方便用户提前作好准备以及了解攻击细节。2 计算机病毒动态防御详细分析2.1 感染可执行文件的病毒病毒描述:这类病毒的编写者的技术水平可说相当高超,此类病毒大多用汇编/c 编写,利用被感染程序中的空隙,将自身拆分为数段藏身其中,在可执行文件运行的同时进驻到内存中并进行感染工作,dos 下大多为此类病毒居多,在 windows 下由于 win95 时期病毒编写者对 pe32 的格式没吃透,那段时间比较少,之后在 win98 阶段这类病毒才扩散开
34、来,其中大家广为熟悉的 CIH 病毒就是一例;在 windows 发展的中后期,互联网络开始兴盛,此类病毒开始结合网络漏洞进行传播,其中的杰出代表为 funlove 传播由于 windows 的操作系统的局网共享协议存在默认共享漏洞,以及大部分用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码,共享权限也开启的是“完全访问” 。导致 funlove 病毒通过简单尝试密码利用网络疯狂传播。病毒浅析:由于此类病毒的编写对作者要求很高,对运行环境的要求也相当严格,在编写不完善的时候,会导致系统异常(例如 CIH 的早期版本会导致winzip 出错和无法关闭计算机等问题;funlove 在
35、nt4 上会导致 mssqlserver的前台工具无法调出界面等问题) 。这类病毒赖以生存的制约是系统的运行时间11和隐蔽性。运行时间系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,染毒后短期内(一般 24 小时内)也不会导致系统崩溃(如果你是 25 日感染 cih 除外) ,和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片,采用驱动技术的 CIH 病毒都是其中的代表。感染途径:此类病毒本身依用户执行而进行被动运行,常见感染途径为:盗版光盘、软盘、安全性不佳的共享网络;病毒自查:此类病毒大多通过的是进驻内存后篇
36、历目录树的方式,搜索每个目录下的可执行文件进行感染,因此对内存占用得比较厉害如果突然在某个时间后发现自己的机器内存占用很高,可能就是感染了此类病毒。病毒查杀:这类病毒由于编写难度较大,因此升级速度相对较慢,但由于开机后进驻的程序可能已经被病毒感染,因此杀毒条件是各种病毒中最为严格的,且这 2 种方式比较干净彻底的方法也适用用后面介绍的各种病毒:1.软盘(光盘)启机使用杀毒软(光)盘进行杀毒;在进行这一步的时候,必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。2.将硬盘拆下,作为其他机器的从盘;从其他机器的主盘启动进行杀毒(该机需打开病毒即时监控,以防止来自从盘的可执行文件中的病毒进驻到
37、内存中) 。杀毒遗留:由于这类病毒是寄生到其他程序内部,即使非常优秀的杀毒软件,能做到的也只是把该染毒程序内的病毒某关键执行部分删除,使得染毒程序在运行时病毒无法运行。因此并不是严格意义上的完全清除病毒程序的某部分依然残留在程序内部,俗称“病毒僵尸” 。病毒防范:安装包含即时监控的杀毒软件并启机执行,每天升级病毒库获取最新病毒特征代码;尽量不使用来源不可的软盘和光盘,使用前先扫描。2.2 后台进行控制的病毒描述:帐号被偷,密码被盗,机器被人远程控制着放歌/开关机/屏幕倒转过来,硬盘不住地转动将关键资料向外发出,就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是这类病毒本身是独立的程序,而
38、不是寄生于另一个程序中。这类病毒的编写主要在于对操作系统本身接口的熟悉,网络传输的熟悉,以及对隐蔽性的要求,此类病毒的编写可使用多种语言,对病毒写作者本身的实力也是一种考验。这个病毒中,最出名的莫过于 BO 了,可以说,它指引了这种病毒在 windows 平台的发展理念。这类病毒就是统称的“木马”病毒,通过系统漏洞/用户操作疏忽进入系统并驻留,通过改写启动设置来达到每次启机运行或关联到某程序的目的。在 windows 系统中,表现为修改注册表12启动项、关联 Explorer、关联 notepad 等方式。 病毒浅析:此类病毒编写者的功力就有高有低了。高手所编写的远程控制系统可以和最优秀的远程
39、管理工具相媲美,例如开山鼻主 BO,国产的冰河,著名的黄金木马 sub7 都属于这一类,这类程序分为 2 个部分,控制端和被控制端;而在 UNIX 类平台下的木马经常是一个简单外部命令的重新实现例如将原本的 ls 命令替换掉,用自己写的一个程序代替,在执行正常文件列表的同时隐含执行特殊命令,这类木马的编写水平也相当高,但在 windows 下极少出现类似程序替代的木马,这类病毒的联系一般是单向进行的;还有一类木马就是网络盗窃性质的,以 im 软件,网络游戏盗号居多,近来发展为对金融业有所染指,这类一般就是通过程序监视当前窗口,并获得当前窗口特定控件的值(用户名/密码框里的值) ,然后通过 em
40、ail,远程登陆 web 数据库等方式把获得的密码发出去,这类程序具有一定编程基础的各位朋友都能做到;第 4 类是惟恐天下不乱的纯捣乱程序,原理跟上一种类似,不过是朝文本框写信息,例如著名的 qq尾巴病毒,这类病毒由于病毒作者将源代码放出,改写起来相当容易,智商 85以上的人士都能胜任的。这类木马病毒中的杰出代表为 BO、冰河、Sub 7 等。感染途径:系统漏洞/用户错误权限/社会工程学。利用系统漏洞造成溢出获取一定权限利用其他漏洞或用户设置不当提升权限上传恶意程序/修改系统设置启动恶意程序。是这类病毒感染的惯用方式。在后期,出现了以诱骗用户执行为主要感染方式的新木马,充分利用了社会工程学,由
41、于木马的用途主要是将病毒编写者感兴趣的资料回发因此感染途径 99%来源于网络,在完全无网络单机状态下的木马等于是没用的死马。病毒自查:由于木马发送者的企图都是通过控制你的机器操作来获得一定利益,因此都会设置启动时加载该程序。控制类的木马需要占用相当一部分系统资源用户直接能感觉到的就是启动速度变慢,系统运行速度变慢;而帐号盗取类的木马由于需要获得特定窗口的窗口句柄,因此会在当前窗口切换的时候进行读取判断在机器配置不高的机器上,如果快速轮循窗口,则感觉到窗口出现速度明显下降;恶作剧类的木马就不用提了,大家都知道不对劲。病毒查杀:木马病毒的繁衍也是相当快速的,特别是行为上难以判断合法远程控制软件和木
42、马在本质上基本上无区别,在执行行为上也相当类似。而木马的控制协议一般是走 tcp/ip 协议,理论上是可以在 65535 个端口中随意选择,因此也无法利用端口方式准确判断出病毒种类;通过特征码方式,如果木马作者没有留下版本信息或说明文字,则也相当难以判断;特别是木马的源代码公开后,想在其中加入一段独特的功能代码不是什么难事,因而衍生的版13本特别快也特别多,这更加大了杀毒软件查杀的的难度 4。2.3 蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在 DOS 环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏
43、幕上的字母并将其改形。蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。2.4 脚本病毒2.4.1 基本介绍脚 本 病 毒 通 常 是 JavaScript 代 码 编 写 的 恶 意 代 码 , 一 般 带 有 广 告 性 质 , 会 修 改 您 的 IE 首 页 、 修 改 注 册 表 等 信 息 , 造 成 用户 使 用 计 算 机 不 方 便 。脚 本 病 毒 的 前 缀 是 : Script。 脚 本 病 毒 的 公 有 特 性 是 使 用 脚 本 语 言 编 写 ,通 过 网 页 进 行 的 传 播
44、 的 病 毒 , 如 红 色 代 码 ( Script.Redlof) 脚 本 病 毒 还 会有 如 下 前 缀 : VBS、 JS( 表 明 是 何 种 脚 本 编 写 的 ) , 如 欢 乐 时 光( VBS.Happytime) 、 十 四 日 ( Js.Fortnight.c.s) 等 。2.4.2 侵入的技术原理VBS 脚 本 病 毒 一 般 是 直 接 通 过 自 我 复 制 来 感 染 文 件 的 , 病 毒 中 的 绝 大 部分 代 码 都 可 以 直 接 附 加 在 其 他 同 类 程 序 的 中 间 , 譬 如 新 欢 乐 时 光 病 毒 可 以 将自 己 的 代 码 附
45、加 在 .htm 文 件 的 尾 部 , 并 在 顶 部 加 入 一 条 调 用 病 毒 代 码 的 语句 , 而 爱 虫 病 毒 则 是 直 接 生 成 一 个 文 件 的 副 本 , 将 病 毒 代 码 拷 入 其 中 , 并 以原 文 件 名 作 为 病 毒 文 件 名 的 前 缀 , vbs 作 为 后 缀 。 下 面 我 们 通 过 爱 虫 病 毒 的部 分 代 码 具 体 分 析 一 下 这 类 病 毒 的 感 染 和 搜 索 原 理 :以 下 是 文 件 感 染 的 部 分 关 键 代 码 :Set fso=createobject(“scripting.filesystemob
46、ject“) 创 建 一个 文 件 系 统 对 象set self=fso.opentextfile(wscript.scriptfullname,1) 读 打 开 当前 文 件 ( 即 病 毒 本 身 )vbscopy=self.readall 读 取 病 毒 全 部 代 码 到 字 符 串 变 量vbscopy set ap=fso.opentextfile(目 标 文 件 .path,2,true) 写 打 开 目 标 文件 , 准 备 写 入 病 毒 代 码ap.write vbscopy 将 病 毒 代 码 覆 盖 目 标 文 件ap.close14set cop=fso.getfi
47、le(目 标 文 件 .path) 得 到 目 标 文 件 路 径cop.copy(目 标 文 件 .path & “.vbs“) 创 建 另 外 一 个 病 毒 文 件( 以 .vbs 为 后 缀 )目 标 文 件 .delete(true) 删 除 目 标 文 件上 面 描 述 了 病 毒 文 件 是 如 何 感 染 正 常 文 件 的 : 首 先 将 病 毒 自 身 代 码 赋 给字 符 串 变 量 vbscopy, 然 后 将 这 个 字 符 串 覆 盖 写 到 目 标 文 件 , 并 创 建 一 个 以目 标 文 件 名 为 文 件 名 前 缀 、 vbs 为 后 缀 的 文 件 副
48、 本 , 最 后 删 除 目 标 文 件 。下 面 我 们 具 体 分 析 一 下 文 件 搜 索 代 码 :该 函 数 主 要 用 来 寻 找 满 足 条 件 的 文 件 , 并 生 成 对 应 文 件 的 一 个 病 毒 副 本sub scan(folder_) scan 函 数 定 义 ,on error resume next 如 果 出 现 错 误 , 直 接 跳 过 , 防 止 弹 出 错 误窗 口set folder_=fso.getfolder(folder_)set files=folder_.files 当 前 目 录 的 所 有 文 件 集 合for each file
49、in filesext=fso.GetExtensionName(file) 获 取 文 件 后 缀ext=lcase(ext) 后 缀 名 转 换 成 小 写 字 母if ext=“mp5“ then 如 果 后 缀 名 是 mp5, 则 进 行 感 染 。 请 自己 建 立 相 应 后 缀 名 的 文 件 , 最 好 是 非 正 常 后 缀 名 , 以 免 破 坏 正 常 程 序 。 Wscript.echo (file)end ifnextset subfolders=folder_.subfoldersfor each subfolder in subfolders 搜 索 其 他 目 录 ; 递 归 调 用scan( ) scan(subfolder)next end sub 上 面 的 代 码 就 是 VBS 脚 本 病 毒 进 行 文 件 搜 索 的 代 码 分 析 。 搜 索 部 分scan( )函 数 做 得 比 较 短 小 精 悍 , 非 常 巧 妙 , 采 用 了 一 个 递 归 的 算 法 遍 历 整个 分 区 的 目 录 和 文 件
