最早發現的各類惡意代碼,到現在為止,大多數的計算機毒病通常是主機存在用戶操作系統的,目前最有效的傳播也是針對 windows 系統計算機病毒最為廣范,如本節中主要研究的 Win32PE、腳本病毒及宏病毒都是針對 Windows 計算機病毒。
一、Win32PE 病毒
Win32PE 計算機病毒是用 Win32 程序編寫而成,采用 PE 格式因此被命名。中國流行的黑客主要采用 Funlove 等入侵都隸屬到 Win32PE 病毒范圍。通常Win32 PE計算機病毒有著下幾個特性(通過找出Win32 PE計算機病毒的特性,解決以下幾個特性就是我們研究的方向):
1、重定位是 Win32 PE 計算機病毒的功能之一。計算機病毒的出現因為對變量變化引發不精準從而誘發計算機病毒不能夠正常執行時,這時就要求病毒對自身的代碼進行重新準確定位。
2、API 函數的地址獲取。首先得到 Kernel132.dll 代碼的基本位址, Windows 98的地址 BFF70000,Windows 2000 的地址 77E80000,Windows XP 的地址 77E60000。得到 Kernel132.dll 所在的位置后定位 API 函數的位址,之后方能獲得任一想調用的 API函數位址。
3、搜索文件。搜索文件一般用的方法是遞歸算法,在搜索中找到有條件環境的感染文件,之后就會對其感染。
4、內存中映射的文件。映射文件可以提供一系列完全獨立的函數,會在進程的虛擬位址空間上,任一地址映射到硬盤內的相關文件或者磁盤里的部分文件,如此,對映射到的文件中在執行數據操作時,便可以操作內存了,此時降低系統資源利用的從而提升了映射文件運行的速度。
二、宏病毒
宏的定義為由一系列的 word 指令或者命令組合在一起之后完成的指令(和 DOS中相似的是 DOS 批處理命令),簡化來講是一類普遍性的常規動作同時完成多任務能夠自動運行。創建 Word 文檔的形式普遍是由 Word 模板,模板組成部分有宏、格式和菜單等相關文檔元素構成。計算機宏病毒入侵操作系統,保證 Word 辦公軟件在運行后能夠獲得相應的控制權,一般會在篡改 Word 模板中 Normal.dot 文件,以便嵌入宏病毒。
三、腳本病毒
腳本病毒是指由腳本類語言編制的惡意代碼,一般腳本病毒類似廣告的特質,能對PC 端的系統用記信息和系統的注冊表等等資源進行修改,從而給系統用戶帶來危害。腳本病毒和其他類別的病毒有著相同的功能,要求必須在特有環境下獲系統用戶的控制權,之后,方可對系統進行修改和給系統帶來危害。。腳本病毒一般會利用以下的手段進行取得系統的最高權限。
1、利用映射文件運行的形式,完成文件相關映射入侵病毒代碼。
2、篡改注冊表中的項目。在 Windows 運行同時自動將注冊表內的所有鍵值所指向的執行程序,腳本病毒會利用這此鍵值入侵指向執行病毒,最終完成修改和控制相關權限運行。
3、folder.htt 及 desktop.ini 兩個文件的匹配指向最終達到獲取權限。
4、運用個性的文件名對用戶進行欺騙或誘導,促使系統用戶自主的去運行。
木馬的傳播
a) 木馬傳播形式
木馬本身缺乏在傳播過程的主動性,所以木馬在傳播感染的過程中都要有人維的執行,通常會有下面的傳播感染方式:
1) 傳播方式有通過操作系統的漏洞進行的。木馬通常是系統用戶自身的 IE 瀏覽器或操作系統等等存在的漏洞,然后嵌入木馬程序,會加載和復制到系統用戶的電腦上得以運行。
2) 通過電子郵件的傳播形式。遠程端通過發送帶病毒的郵件來達到目的,此種郵件會利用各種誘惑手段引導用戶打開郵件中的附件,那么一旦用戶打開附件上馬上木馬程序啟動,使其電腦感染木馬程序。
3) 通過目前流行的聊天軟件進行傳播。木馬程序會向聊天內容里發送一些比較容易引起用戶興趣的內容,同樣也是引導用戶進行訪問,從而觸發木馬程序,此種帶有木馬程序的聊天信息大部分都是一個鏈接,只要用戶打開鏈接,木馬程序馬上會自動嵌入使用者的電腦中,并開始運行。
4) 通過對互聯網中的博客、論壇和站點等欺騙性傳播。木馬程序會利用一些博客或是一些訪問率高的論壇和網站上發布一些同樣有著誘惑性的欺騙虛假信息的方法,引導用戶對這些惡意網頁進行訪問。會利用一些小的常用工具如桌面天氣、桌面日歷等等,并把木馬程序嵌入到這些網頁或小工具中,同樣只要用戶打開或執行這些。木馬程序馬上就會自動加載到程序上,進行后臺安裝運行。
b) 木馬的隱藏技術及手段
木馬程序開發者設計了多樣的偽裝木馬手段從而隱藏木馬程序不被發現,同時利用多樣性的手段對木馬進行偽裝以逃避安全軟件的檢測和查殺,用這些手段和技術方法來影響用戶對木馬的發現。以做到不被用戶查覺。具體的形式有以下幾種:
(一)文件的捆綁。此種方法就是把木馬程序附屬到下載的某一個安裝程序上,以此為自己的存在做好偽裝。這樣只要下載的安裝程序被執行,那么木馬程序也會悄悄的運行,在不被發現的時候已經安裝到了用戶的電腦上。
(二)圖標的修改。就是一個正常的安裝程序或文件的圖標,被木馬程序將所用其偽裝成看似是一個常用的安裝程序或文件,一旦打開木馬程序就會運行。但現在此種方法已經不常用。
(三)通過對端口進行定制。因為前期的木馬程序使用的端口都是固定的,在檢測時要選中特定的端口就會發現木馬程序,隨著木馬程序的發展已經可以通過對端口時行定制,這樣提高了對木馬程序的斷定。
(四)文件出錯對話窗顯示。相應的木馬程序在被系統用戶執行時,會提示一個偽裝的文件出錯對話窗口,其實這時系統已經感染了木馬程序。
(五)更名的木馬程序。此類木馬為了偽裝可能會篡改一些常用的安裝程序的名稱來誘導用戶去執行它,同樣是想方設法的讓用戶去執行。
(六)木馬程序本身銷毀。木馬程序在被執行啟動后已經侵入系統中,會通過本身功能進行自我銷毀。
蠕蟲傳播
蠕蟲工作過程主要包括:漏洞掃描、攻擊、現場處理和復制。以下簡單的對蠕蟲攻擊的方法做一下介紹。
1) 緩沖區的溢出攻擊
我們所說的緩沖區的溢出,其通常是因為用戶錄入的參數并沒有被程序認真的檢查所造成的。蠕蟲之所以制造這種類型的緩沖區的溢出,是因為從而可以得到被攻擊的主機的控制權限,進而達到其對系統可以隨意操縱的目的。
2) 拒絕服務攻擊
指的是拒絕服務(DoS),這種類型的攻擊得用客戶端做平臺來向某個或者某幾個指定目標來展開 DOS 的攻擊。這種類型的攻擊方式很大程度上加強了 DOS 的攻擊威力。
3) 弱密碼式攻擊
相當多的用戶沒有安全意識,把密碼設置的也非常簡單,甚至使用空白密碼,這樣就給這種類型的蠕蟲攻擊創造了條件。
其它病毒的傳播
一、網絡式釣魚(Phishing)
網絡式釣魚(Phishing)是通過發送垃圾郵件的方式,來引誘接郵件者列出比如:口令,用戶名,等等敏感資料信息。它的主要用途和目的為:金融欺詐、傳播病毒軟件、非法獲得用戶 Email 地址及密碼。網絡式釣魚能通過多種方式進行傳播同時對用戶進行攻擊。
1. 建立具有欺騙性的引誘網站。不法者首先建立高仿網站,該網站的域名、內容都是高仿正版網絡證券或者網絡銀行,以試圖引誘騙取用戶錄入自己真實的用戶名、密碼等非常重要的個人信息,之后再將這些信息在后臺的數據庫中存儲用以騙取錢財。
2. 雞尾酒式釣魚術。通過跨站點的腳本技術,用真網站與假窗口相結合,達到以假亂真。
3. 網絡釣魚與木馬、病毒相結合技術。常見的如鍵盤監控程序:當此程序察覺到用戶在訪問指定的網站時,它便會自動開啟鍵盤來收集客戶資料并傳送給不法人員。
4. 處理假冒網站的域名。如拼音相像、形象類似的域名、通過 IP 地址替代域名、對假冒網站進行編碼等。
二、灰色軟件在攻擊的目的和攻擊的形式上間諜軟件和瀏覽器所劫持的惡意代碼是基本相同的,并且這兩種攻擊方式往往均與經濟利益相關,如:在線廣告的銷售、通過用戶點擊獲得用戶賬號和密碼,登錄用戶賬戶以獲得非法的利益等。此類軟件還包括撥號 Dialer、搞笑 Joke program、遙控 Remote access tools、入侵(Hacker tools)和廣告(Adware)軟件。
間諜軟件和灰色軟件通常是以用戶 Down Load 附帶灰色軟件安裝的程序而進入網絡。而灰色軟件也經常使用控件(ActiveX)進行攻擊,一般情況下,用戶在 Down Load軟件之前都必須接受絕大多數的軟件程序均會帶有的《最終用戶授權協議》(End UserLicense Agreement, 即 EULA),一般 EULA 中都將包含帶有灰色軟件的資訊,并且會提醒用戶些程序一般是用以搜集個人用戶信息的;但是大多用戶都經常將這段信息給忽略掉,或都根本不懂其中的用語。
我們只有知道病毒是怎么傳播的,才能更好的預防計算機病毒的入侵。
