1. 软市首页
  2. 软件开发

恶意软件基础

软件开发

恶意软件特性

恶意软件(内部俗称“僵木蠕”)是指在计算机系统上执行恶意任务的病毒、蠕虫、特洛伊木马、后门、僵尸 络、Rootkit、逻辑炸弹、间谍软件、广告软件。

恶意代码范围很广,包括利用各种 络、操作系统、软件和物理安全漏洞来向计算机系统传播恶意程序。

病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出 页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象

危害

  • 破坏计算机数据

    计算机病毒激发后会通过格式化、改写、删除、破坏设置等破坏计算机储存数据。

  • 窃取用户隐私信息

    如银行密码、账户密码等用户隐私信息,盗用用户财产

  • 利用被病毒控制的用户计算机进行非法行为

    如利用僵尸主机发起DDOS攻击

  • 占用计算机空间、抢占硬件资源

    如挖矿木马,占用用户计算资源进行虚拟货币挖矿

传播方式

  • 传播方式
  • 电子邮件
  • 页感染
  • 钓鱼软件
  • 络共享
  • 系统漏洞
  • 移动磁盘传播

特性

自启动特性

  • 常用手段 :

    修改注册表:注册表启动项、文件关联项、系统服务项、BHO项等。

    注册为系统服务

    添加到自启动文件夹

    修改系统配置文件

  • 加载方式 :

    服务和进程,病毒直接运行

    嵌入系统正常进程,DLL注入

    驱动,SYS文件

注册表启动

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

  • RunServices
  • RunServicesOnce
  • Run
  • RunOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

  • Run
  • RunOnce
  • RunServices

文件关联项

HKEY_CLASSES_ROOT下:

  • exefileshellopencommand] @=””%1″ %*”
  • comfileshellopencommand] @=””%1″ %*”
  • batfileshellopencommand] @=””%1″ %*”
  • htafileShellOpenCommand] @=””%1″ %*”
  • piffileshellopencommand] @=””%1″ %*“
  • 病毒将”%1 %“改为 “virus.exe %1 %
  • virus.exe将在打开或运行相应类型的文件时被执行

修改配置文件

  • Win.ini中的[windows]节

    load = virus.exe

    run = virus.exe

    这两个变量用于自动启动程序。

  • System.ini 中的[boot]节

    Shell = Explorer.exe,virus.exe

    Shell变量指出了要在系统启动时执行的程序列表。

修改启动文件夹

  • 当前用户的启动文件夹

    SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项

  • 公共的启动文件夹

    SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项,病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。

下载与后门特性

  • 下载特性

    很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种

  • 后门特性

    后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特性

  • QQ密码和聊天记录
  • 络游戏帐 密码
  • 上银行帐 密码
  • 用户 页浏览记录和上 习惯

自身隐藏特性

  • 多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改,以使其更加隐蔽不易被发现
  • 有一些会使用Rootkit技术来隐藏自身的进程和文件,使得用户更难以发现。使用Rootkit技术的病毒,通常都会有一个.SYS文件加载在系统的驱动中,用以实现Rootkit技术的隐藏功能

文件感染特性

  • 文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。

  • 有的文件型病毒会感染系统中其他类型的文件。

  • example

    PE_LOOKED 维京

    PE_FUJACKS 熊猫烧香

络攻击特性

  • 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象,或是通过漏洞在受攻击的计算机上远程执行恶意代码。

  • 一些木马和蠕虫病毒会修改计算机的 络设置,使该计算机无法访问 络。有的木马和蠕虫还会向 络中其他计算机攻击、发送大量数据包以阻塞 络,甚至通过散步虚假 关地址的广播包来欺骗 络中其他计算机,从而使得整个 络瘫痪。

  • example

    振荡波-利用MS04-011漏洞攻击

    WannaCry-利用MS17-010进行传播

恶意软件类型

电脑病毒

传播机制同生物病毒类似,生物病毒是把自己注入细胞之中。而病毒是植入到计算机程序中

病毒工作原理:

  1. 住进阶段: 执行被感染的程序,病毒就加载入计算机内存
  2. 感染阶段: 病毒把自己注入其他程序,包括远程文件
  3. 执行阶段: 当某些条件成熟时, 一些病毒会有一些特别的行为. 例如重新启动,删除文件.

特点:

  • 传播性
  • 隐蔽性
  • 感染性
  • 潜伏性
  • 可激发性
  • 表现性或破坏性

蠕虫

蠕虫是一种能够利用系统漏洞通过 络进行自我传播的恶意程序。它是利用 络进行复制和传播,传染途径是通过 络和电子邮件。

第一个流行电脑蠕虫 – Morris

特点:

  • 计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行,未必会直接破坏被感染的系统,却几乎都对 络有害。

木马

木马与病毒一样也是一种有害的程序,其特征与特洛伊木马一样具有伪装性,表面上没有危害、甚至还附有用户需要的功能,却会在用户不经意间,对用户的计算机系统产生破坏或窃取数据,特别是用户的各种账户及口令等重要且需要保密的信息,甚至控制用户的计算机系统。

特点:

  • 占用空间小
  • 运行后较难阻止其行为
  • 隐蔽性高

Rootkit

术语来自于Unix系统。最早的一个版本是出现在SunOS 4

用于修改操作系统,以改变操作系统的表现行为的工具软件 。而这种改变,往往不是操作系统设计时所期望的。

广义而言,Rootkit也可视为一项技术,恶意软件利用该项技术来达到隐藏自身的目的。

隐匿系统资源:

  • 进程
  • 系统服务
  • 络端口
  • 文件
  • 注册表设置
  • 用户账

实现手段:

  • 用户模式系统调用劫持
  • 核心模式系统调用劫持
  • 核心模式数据篡改
  • 核心模式中断处理程序劫持

僵尸 络Botnet

僵尸(Bot)

  • 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令.

僵尸 络(Botnet)

  • 将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的 络。

常见的恶意软件代表

勒索软件

危害:通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。

代表:WannaCry

  • WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。

  • 被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统一修改为.WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加。

其余勒索软件:

  • RansomWare
  • Crypt0L0ocker
  • CryptoLocker
  • CryptWall

DDOS木马

危害:黑客可向指定ip发送DDOS攻击,影响企业的正常业务。

代表:盖茨木马

  • 此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。
  • 木马得名于其在变量函数的命名中,大量使用Gates这个单词。
  • 盖茨木马主要针对中国地区的服务器进行DDoS攻击,有95%的攻击目标都在中国,排名第二的是美国。

其余DDOS木马

  • DDoS_XOR
  • DbSecuritySpt

蠕虫病毒

危害:计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行,未必会直接破坏被感染的系统,却几乎都对 络有害。但也有直接破坏系统资源的蠕虫病毒,如WannaCry。

代表:熊猫烧香

  • 一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。

其余蠕虫

  • 红色代码
  • 超级病毒
  • WannaCry

挖矿木马

危害:黑客通过木马控制大量肉鸡电脑,为其制造虚拟货币,占用大量的系统资源

代表:ddg

  • 对可以未授权访问redis的服务器写入公钥登录,定时下载并执行脚本
  • 脚本下载AnXqV和ddg文件并运行,AnXqV进行挖矿,ddg进行系统监控远程调用并内 传播

其余挖矿木马

  • Linux.MulDrop.14
  • minerd

恶意软件处置

多数情况下,可以直接根据经验来迅速清除各种病毒。

处理过程包括修复病毒修改的注册表/文件内容和删除病毒文件两部分。

常见处置手段

  • 杀毒软件
  • 重装系统
  • 系统还原
  • Ghost还原

注册表检查

启动项检查

删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值,可将该键值删除。

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionun

服务检查

在[控制面板]-[管理工具]-[服务]中,查看是否存在可疑服务。若无法确定服务是否可疑,可直接查看该服务属性,检查服务所指向的文件。随后可以检查该文件是否为正常文件。对于不正常的服务,可直接在注册表中删除该服务的主键。

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

检查Winlogon加载项

  • 在注册表中检查Winlogon相关加载项:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon

    Shell = Explorer.exe (默认)

    Userinit=C:WINDOWSsystem32userinit.exe,(默认)

  • 以上Shell和Userinit键值为默认,若发现被修改,可直接将其修改为默认键值。

检查其他加载项

  • 在注册表中检查以下注册表加载项键值:

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows

    AppInit_DLLs = “”

  • HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

    Load = “”

  • 该键值默认为空。若键值被修改,可直接将键值内容清空。

可疑文件检测

所有的Windows正常执行文件都包含完整的版本信息。若文件无版本信息,或版本信息异常,则可判断为可疑文件。直接删除这样的文件不会对系统造成影响。

常用手段

  • 看文件版本信息
  • 第三方查询(virustotal、哈勃等)

常用工具

  • HijackThis
  • Process Explorer
  • PCHunter
  • 火绒剑
  • ProcessHacker
  • Autoruns

常用杀软

  • 360杀毒
  • Mcafee
  • 卡巴斯基
  • 诺顿

常用恶意软件查杀工具

  • 火绒
  • Emsisoft
  • HitmanPro

文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22109 人正在系统学习中

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2022年3月16日
下一篇 2022年3月16日

相关推荐

首页
软件超市
企服市场
会员中心