最早发现的各类恶意代码,到现在为止,大多数的计算机毒病通常是主机存在用户操作系统的,目前最有效的传播也是针对 windows 系统计算机病毒最为广范,如本节中主要研究的 Win32PE、脚本病毒及宏病毒都是针对 Windows 计算机病毒。
一、Win32PE 病毒
Win32PE 计算机病毒是用 Win32 程序编写而成,采用 PE 格式因此被命名。中国流行的黑客主要采用 Funlove 等入侵都隶属到 Win32PE 病毒范围。通常Win32 PE计算机病毒有着下几个特性(通过找出Win32 PE计算机病毒的特性,解决以下几个特性就是我们研究的方向):
1、重定位是 Win32 PE 计算机病毒的功能之一。计算机病毒的出现因为对变量变化引发不精准从而诱发计算机病毒不能够正常执行时,这时就要求病毒对自身的代码进行重新准确定位。
2、API 函数的地址获取。首先得到 Kernel132.dll 代码的基本位址, Windows 98的地址 BFF70000,Windows 2000 的地址 77E80000,Windows XP 的地址 77E60000。得到 Kernel132.dll 所在的位置后定位 API 函数的位址,之后方能获得任一想调用的 API函数位址。
3、搜索文件。搜索文件一般用的方法是递归算法,在搜索中找到有条件环境的感染文件,之后就会对其感染。
4、内存中映射的文件。映射文件可以提供一系列完全独立的函数,会在进程的虚拟位址空间上,任一地址映射到硬盘内的相关文件或者磁盘里的部分文件,如此,对映射到的文件中在执行数据操作时,便可以操作内存了,此时降低系统资源利用的从而提升了映射文件运行的速度。
二、宏病毒
宏的定义为由一系列的 word 指令或者命令组合在一起之后完成的指令(和 DOS中相似的是 DOS 批处理命令),简化来讲是一类普遍性的常规动作同时完成多任务能够自动运行。创建 Word 文档的形式普遍是由 Word 模板,模板组成部分有宏、格式和菜单等相关文档元素构成。计算机宏病毒入侵操作系统,保证 Word 办公软件在运行后能够获得相应的控制权,一般会在篡改 Word 模板中 Normal.dot 文件,以便嵌入宏病毒。
三、脚本病毒
脚本病毒是指由脚本类语言编制的恶意代码,一般脚本病毒类似广告的特质,能对PC 端的系统用记信息和系统的注册表等等资源进行修改,从而给系统用户带来危害。脚本病毒和其他类别的病毒有着相同的功能,要求必须在特有环境下获系统用户的控制权,之后,方可对系统进行修改和给系统带来危害。。脚本病毒一般会利用以下的手段进行取得系统的最高权限。
1、利用映射文件运行的形式,完成文件相关映射入侵病毒代码。
2、篡改注册表中的项目。在 Windows 运行同时自动将注册表内的所有键值所指向的执行程序,脚本病毒会利用这此键值入侵指向执行病毒,最终完成修改和控制相关权限运行。
3、folder.htt 及 desktop.ini 两个文件的匹配指向最终达到获取权限。
4、运用个性的文件名对用户进行欺骗或诱导,促使系统用户自主的去运行。
木马的传播
a) 木马传播形式
木马本身缺乏在传播过程的主动性,所以木马在传播感染的过程中都要有人维的执行,通常会有下面的传播感染方式:
1) 传播方式有通过操作系统的漏洞进行的。木马通常是系统用户自身的 IE 浏览器或操作系统等等存在的漏洞,然后嵌入木马程序,会加载和复制到系统用户的电脑上得以运行。
2) 通过电子邮件的传播形式。远程端通过发送带病毒的邮件来达到目的,此种邮件会利用各种诱惑手段引导用户打开邮件中的附件,那么一旦用户打开附件上马上木马程序启动,使其电脑感染木马程序。
3) 通过目前流行的聊天软件进行传播。木马程序会向聊天内容里发送一些比较容易引起用户兴趣的内容,同样也是引导用户进行访问,从而触发木马程序,此种带有木马程序的聊天信息大部分都是一个链接,只要用户打开链接,木马程序马上会自动嵌入使用者的电脑中,并开始运行。
4) 通过对互联网中的博客、论坛和站点等欺骗性传播。木马程序会利用一些博客或是一些访问率高的论坛和网站上发布一些同样有着诱惑性的欺骗虚假信息的方法,引导用户对这些恶意网页进行访问。会利用一些小的常用工具如桌面天气、桌面日历等等,并把木马程序嵌入到这些网页或小工具中,同样只要用户打开或执行这些。木马程序马上就会自动加载到程序上,进行后台安装运行。
b) 木马的隐藏技术及手段
木马程序开发者设计了多样的伪装木马手段从而隐藏木马程序不被发现,同时利用多样性的手段对木马进行伪装以逃避安全软件的检测和查杀,用这些手段和技术方法来影响用户对木马的发现。以做到不被用户查觉。具体的形式有以下几种:
(一)文件的捆绑。此种方法就是把木马程序附属到下载的某一个安装程序上,以此为自己的存在做好伪装。这样只要下载的安装程序被执行,那么木马程序也会悄悄的运行,在不被发现的时候已经安装到了用户的电脑上。
(二)图标的修改。就是一个正常的安装程序或文件的图标,被木马程序将所用其伪装成看似是一个常用的安装程序或文件,一旦打开木马程序就会运行。但现在此种方法已经不常用。
(三)通过对端口进行定制。因为前期的木马程序使用的端口都是固定的,在检测时要选中特定的端口就会发现木马程序,随着木马程序的发展已经可以通过对端口时行定制,这样提高了对木马程序的断定。
(四)文件出错对话窗显示。相应的木马程序在被系统用户执行时,会提示一个伪装的文件出错对话窗口,其实这时系统已经感染了木马程序。
(五)更名的木马程序。此类木马为了伪装可能会篡改一些常用的安装程序的名称来诱导用户去执行它,同样是想方设法的让用户去执行。
(六)木马程序本身销毁。木马程序在被执行启动后已经侵入系统中,会通过本身功能进行自我销毁。
蠕虫传播
蠕虫工作过程主要包括:漏洞扫描、攻击、现场处理和复制。以下简单的对蠕虫攻击的方法做一下介绍。
1) 缓冲区的溢出攻击
我们所说的缓冲区的溢出,其通常是因为用户录入的参数并没有被程序认真的检查所造成的。蠕虫之所以制造这种类型的缓冲区的溢出,是因为从而可以得到被攻击的主机的控制权限,进而达到其对系统可以随意操纵的目的。
2) 拒绝服务攻击
指的是拒绝服务(DoS),这种类型的攻击得用客户端做平台来向某个或者某几个指定目标来展开 DOS 的攻击。这种类型的攻击方式很大程度上加强了 DOS 的攻击威力。
3) 弱密码式攻击
相当多的用户没有安全意识,把密码设置的也非常简单,甚至使用空白密码,这样就给这种类型的蠕虫攻击创造了条件。
其它病毒的传播
一、网络式钓鱼(Phishing)
网络式钓鱼(Phishing)是通过发送垃圾邮件的方式,来引诱接邮件者列出比如:口令,用户名,等等敏感资料信息。它的主要用途和目的为:金融欺诈、传播病毒软件、非法获得用户 Email 地址及密码。网络式钓鱼能通过多种方式进行传播同时对用户进行攻击。
1. 建立具有欺骗性的引诱网站。不法者首先建立高仿网站,该网站的域名、内容都是高仿正版网络证券或者网络银行,以试图引诱骗取用户录入自己真实的用户名、密码等非常重要的个人信息,之后再将这些信息在后台的数据库中存储用以骗取钱财。
2. 鸡尾酒式钓鱼术。通过跨站点的脚本技术,用真网站与假窗口相结合,达到以假乱真。
3. 网络钓鱼与木马、病毒相结合技术。常见的如键盘监控程序:当此程序察觉到用户在访问指定的网站时,它便会自动开启键盘来收集客户资料并传送给不法人员。
4. 处理假冒网站的域名。如拼音相像、形象类似的域名、通过 IP 地址替代域名、对假冒网站进行编码等。
二、灰色软件在攻击的目的和攻击的形式上间谍软件和浏览器所劫持的恶意代码是基本相同的,并且这两种攻击方式往往均与经济利益相关,如:在线广告的销售、通过用户点击获得用户账号和密码,登录用户账户以获得非法的利益等。此类软件还包括拨号 Dialer、搞笑 Joke program、遥控 Remote access tools、入侵(Hacker tools)和广告(Adware)软件。
间谍软件和灰色软件通常是以用户 Down Load 附带灰色软件安装的程序而进入网络。而灰色软件也经常使用控件(ActiveX)进行攻击,一般情况下,用户在 Down Load软件之前都必须接受绝大多数的软件程序均会带有的《最终用户授权协议》(End UserLicense Agreement, 即 EULA),一般 EULA 中都将包含带有灰色软件的资讯,并且会提醒用户些程序一般是用以搜集个人用户信息的;但是大多用户都经常将这段信息给忽略掉,或都根本不懂其中的用语。
我们只有知道病毒是怎么传播的,才能更好的预防计算机病毒的入侵。