您当前的位置:首页 > 电脑百科 > 安全防护 > 病毒

计算机病毒是怎么进行传播?本文根据病毒分类带你了解传播的方式

时间:2019-08-01 10:51:21  来源:  作者:

最早发现的各类恶意代码,到现在为止,大多数的计算机毒病通常是主机存在用户操作系统的,目前最有效的传播也是针对 windows 系统计算机病毒最为广范,如本节中主要研究的 Win32PE、脚本病毒及宏病毒都是针对 Windows 计算机病毒。

 

一、Win32PE 病毒

Win32PE 计算机病毒是用 Win32 程序编写而成,采用 PE 格式因此被命名。中国流行的黑客主要采用 Funlove 等入侵都隶属到 Win32PE 病毒范围。通常Win32 PE计算机病毒有着下几个特性(通过找出Win32 PE计算机病毒的特性,解决以下几个特性就是我们研究的方向):

1、重定位是 Win32 PE 计算机病毒的功能之一。计算机病毒的出现因为对变量变化引发不精准从而诱发计算机病毒不能够正常执行时,这时就要求病毒对自身的代码进行重新准确定位。

2、API 函数的地址获取。首先得到 Kernel132.dll 代码的基本位址, Windows 98的地址 BFF70000,Windows 2000 的地址 77E80000,Windows XP 的地址 77E60000。得到 Kernel132.dll 所在的位置后定位 API 函数的位址,之后方能获得任一想调用的 API函数位址。

3、搜索文件。搜索文件一般用的方法是递归算法,在搜索中找到有条件环境的感染文件,之后就会对其感染。

4、内存中映射的文件。映射文件可以提供一系列完全独立的函数,会在进程的虚拟位址空间上,任一地址映射到硬盘内的相关文件或者磁盘里的部分文件,如此,对映射到的文件中在执行数据操作时,便可以操作内存了,此时降低系统资源利用的从而提升了映射文件运行的速度。

二、宏病毒

宏的定义为由一系列的 word 指令或者命令组合在一起之后完成的指令(和 DOS中相似的是 DOS 批处理命令),简化来讲是一类普遍性的常规动作同时完成多任务能够自动运行。创建 Word 文档的形式普遍是由 Word 模板,模板组成部分有宏、格式和菜单等相关文档元素构成。计算机宏病毒入侵操作系统,保证 Word 办公软件在运行后能够获得相应的控制权,一般会在篡改 Word 模板中 Normal.dot 文件,以便嵌入宏病毒。

三、脚本病毒

脚本病毒是指由脚本类语言编制的恶意代码,一般脚本病毒类似广告的特质,能对PC 端的系统用记信息和系统的注册表等等资源进行修改,从而给系统用户带来危害。脚本病毒和其他类别的病毒有着相同的功能,要求必须在特有环境下获系统用户的控制权,之后,方可对系统进行修改和给系统带来危害。。脚本病毒一般会利用以下的手段进行取得系统的最高权限。

1、利用映射文件运行的形式,完成文件相关映射入侵病毒代码。

2、篡改注册表中的项目。在 Windows 运行同时自动将注册表内的所有键值所指向的执行程序,脚本病毒会利用这此键值入侵指向执行病毒,最终完成修改和控制相关权限运行。

3、folder.htt 及 desktop.ini 两个文件的匹配指向最终达到获取权限。

4、运用个性的文件名对用户进行欺骗或诱导,促使系统用户自主的去运行。

木马的传播

a) 木马传播形式

木马本身缺乏在传播过程的主动性,所以木马在传播感染的过程中都要有人维的执行,通常会有下面的传播感染方式:

1) 传播方式有通过操作系统的漏洞进行的。木马通常是系统用户自身的 IE 浏览器或操作系统等等存在的漏洞,然后嵌入木马程序,会加载和复制到系统用户的电脑上得以运行。

2) 通过电子邮件的传播形式。远程端通过发送带病毒的邮件来达到目的,此种邮件会利用各种诱惑手段引导用户打开邮件中的附件,那么一旦用户打开附件上马上木马程序启动,使其电脑感染木马程序。

3) 通过目前流行的聊天软件进行传播。木马程序会向聊天内容里发送一些比较容易引起用户兴趣的内容,同样也是引导用户进行访问,从而触发木马程序,此种带有木马程序的聊天信息大部分都是一个链接,只要用户打开链接,木马程序马上会自动嵌入使用者的电脑中,并开始运行。

4) 通过对互联网中的博客、论坛和站点等欺骗性传播。木马程序会利用一些博客或是一些访问率高的论坛和网站上发布一些同样有着诱惑性的欺骗虚假信息的方法,引导用户对这些恶意网页进行访问。会利用一些小的常用工具如桌面天气、桌面日历等等,并把木马程序嵌入到这些网页或小工具中,同样只要用户打开或执行这些。木马程序马上就会自动加载到程序上,进行后台安装运行。

b) 木马的隐藏技术及手段

木马程序开发者设计了多样的伪装木马手段从而隐藏木马程序不被发现,同时利用多样性的手段对木马进行伪装以逃避安全软件的检测和查杀,用这些手段和技术方法来影响用户对木马的发现。以做到不被用户查觉。具体的形式有以下几种:

(一)文件的捆绑。此种方法就是把木马程序附属到下载的某一个安装程序上,以此为自己的存在做好伪装。这样只要下载的安装程序被执行,那么木马程序也会悄悄的运行,在不被发现的时候已经安装到了用户的电脑上。

(二)图标的修改。就是一个正常的安装程序或文件的图标,被木马程序将所用其伪装成看似是一个常用的安装程序或文件,一旦打开木马程序就会运行。但现在此种方法已经不常用。

(三)通过对端口进行定制。因为前期的木马程序使用的端口都是固定的,在检测时要选中特定的端口就会发现木马程序,随着木马程序的发展已经可以通过对端口时行定制,这样提高了对木马程序的断定。

(四)文件出错对话窗显示。相应的木马程序在被系统用户执行时,会提示一个伪装的文件出错对话窗口,其实这时系统已经感染了木马程序。

(五)更名的木马程序。此类木马为了伪装可能会篡改一些常用的安装程序的名称来诱导用户去执行它,同样是想方设法的让用户去执行。

(六)木马程序本身销毁。木马程序在被执行启动后已经侵入系统中,会通过本身功能进行自我销毁。

蠕虫传播

蠕虫工作过程主要包括:漏洞扫描、攻击、现场处理和复制。以下简单的对蠕虫攻击的方法做一下介绍。

1) 缓冲区的溢出攻击

我们所说的缓冲区的溢出,其通常是因为用户录入的参数并没有被程序认真的检查所造成的。蠕虫之所以制造这种类型的缓冲区的溢出,是因为从而可以得到被攻击的主机的控制权限,进而达到其对系统可以随意操纵的目的。

2) 拒绝服务攻击

指的是拒绝服务(DoS),这种类型的攻击得用客户端做平台来向某个或者某几个指定目标来展开 DOS 的攻击。这种类型的攻击方式很大程度上加强了 DOS 的攻击威力。

3) 弱密码式攻击

相当多的用户没有安全意识,把密码设置的也非常简单,甚至使用空白密码,这样就给这种类型的蠕虫攻击创造了条件。

其它病毒的传播

一、网络式钓鱼(Phishing)

网络式钓鱼(Phishing)是通过发送垃圾邮件的方式,来引诱接邮件者列出比如:口令,用户名,等等敏感资料信息。它的主要用途和目的为:金融欺诈、传播病毒软件、非法获得用户 Email 地址及密码。网络式钓鱼能通过多种方式进行传播同时对用户进行攻击。

1. 建立具有欺骗性的引诱网站。不法者首先建立高仿网站,该网站的域名、内容都是高仿正版网络证券或者网络银行,以试图引诱骗取用户录入自己真实的用户名、密码等非常重要的个人信息,之后再将这些信息在后台的数据库中存储用以骗取钱财。

2. 鸡尾酒式钓鱼术。通过跨站点的脚本技术,用真网站与假窗口相结合,达到以假乱真。

3. 网络钓鱼与木马、病毒相结合技术。常见的如键盘监控程序:当此程序察觉到用户在访问指定的网站时,它便会自动开启键盘来收集客户资料并传送给不法人员。

4. 处理假冒网站的域名。如拼音相像、形象类似的域名、通过 IP 地址替代域名、对假冒网站进行编码等。

二、灰色软件

在攻击的目的和攻击的形式上间谍软件和浏览器所劫持的恶意代码是基本相同的,并且这两种攻击方式往往均与经济利益相关,如:在线广告的销售、通过用户点击获得用户账号和密码,登录用户账户以获得非法的利益等。此类软件还包括拨号 Dialer、搞笑 Joke program、遥控 Remote access tools、入侵(Hacker tools)和广告(Adware)软件。

间谍软件和灰色软件通常是以用户 Down Load 附带灰色软件安装的程序而进入网络。而灰色软件也经常使用控件(ActiveX)进行攻击,一般情况下,用户在 Down Load软件之前都必须接受绝大多数的软件程序均会带有的《最终用户授权协议》(End UserLicense Agreement, 即 EULA),一般 EULA 中都将包含带有灰色软件的资讯,并且会提醒用户些程序一般是用以搜集个人用户信息的;但是大多用户都经常将这段信息给忽略掉,或都根本不懂其中的用语。

我们只有知道病毒是怎么传播的,才能更好的预防计算机病毒的入侵。



Tags:计算机病毒   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Tags: 计算机病毒  点击:(97)  评论:(0)  加入收藏
1.计算机病毒与木马的区别表 计算机木马的概念、构成、特点及基本功能概念计算机木马是指一种带有恶意性质的远程控制软件,它通过一段特定的程序来控制其他的计算机。构成计算...【详细内容】
2019-12-16  Tags: 计算机病毒  点击:(399)  评论:(0)  加入收藏
Windows勒索病毒似乎让全球计算机用户都闻风丧胆,不过这其实真的不算什么。或者可以这样说,宽带和WIFI的普及,才是促成勒索病毒得以广泛传播的最大因素之一。然而令人始料不及...【详细内容】
2019-10-16  Tags: 计算机病毒  点击:(241)  评论:(0)  加入收藏
编程离不开数学原理的支持, 没有良好的数学思维就很难编写出高质量的程序. 每一个优秀软件产品背后都需要很深的数学算法为基础, "成功"的恶性程序也不例外. 一般而言, 这...【详细内容】
2019-08-30  Tags: 计算机病毒  点击:(670)  评论:(0)  加入收藏
最早发现的各类恶意代码,到现在为止,大多数的计算机毒病通常是主机存在用户操作系统的,目前最有效的传播也是针对 Windows 系统计算机病毒最为广范,如本节中主要研究的 Win32PE...【详细内容】
2019-08-01  Tags: 计算机病毒  点击:(504)  评论:(0)  加入收藏
▌简易百科推荐
一、挖矿病毒的小科普挖矿病毒可以说是安全圈的“老熟人”了,各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示:2020年,挖矿病毒持续...【详细内容】
2021-09-07  walkingcloud    Tags:挖矿病毒   点击:(386)  评论:(0)  加入收藏
在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时,便从内存中将...【详细内容】
2021-08-30  Linf    Tags:计算机病毒   点击:(97)  评论:(0)  加入收藏
勒索病毒是一种计算机病毒,通过计算机漏洞、邮件投递、恶意木马程序、网页后门等方式进行传播。一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业和个人用户大量重要文...【详细内容】
2021-07-27    河南网警  Tags:勒索病毒   点击:(221)  评论:(0)  加入收藏
如果你是一名很早就开始上网冲浪的高手,那么对于2006年风靡一时的熊猫烧香一定不会陌生,与更早开始流行的灰鸽子不同,熊猫烧香是一款拥有自动传播、自动感染硬盘能力和强大的破...【详细内容】
2021-07-23    中关村在线  Tags:杀毒软件   点击:(170)  评论:(0)  加入收藏
大家好,不知道你们有没有意识到一个问题:现如今,计算机病毒似乎不像多年前那样令人头疼了。在十几年前,清理病毒简直就是计算机用户的家常便饭,尤其如打印店、网吧这种密集场所,你...【详细内容】
2021-06-01    中关村在线  Tags:中毒   点击:(143)  评论:(0)  加入收藏
最近在网上看到好多的用户被这个名叫Incaseformat的病毒侵袭电脑,导致电脑除了C盘以外的所有的磁盘都被格式化了。这让很多小伙伴遇到这个病毒的时候不知所措,不知道该如何去...【详细内容】
2021-01-22      Tags:Incaseformat   点击:(240)  评论:(0)  加入收藏
1 月 13 日晚,360、深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被删事件。该蠕虫病毒主要通过 U 盘传播,感染用户机...【详细内容】
2021-01-15      Tags:蠕虫病毒   点击:(194)  评论:(0)  加入收藏
12月初,我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。...【详细内容】
2021-01-05      Tags:蠕虫   点击:(175)  评论:(0)  加入收藏
勒索病毒事件愈来愈多 近期针对传统行业的勒索病毒攻击事件愈来愈多,甚至一天内会有多家同一行业的企业同时受到攻击,造成企业业务运营中断,个人和公司重要数据遭受破坏等严重...【详细内容】
2020-12-18      Tags:勒索病毒   点击:(186)  评论:(0)  加入收藏
随着信息化的发展,数据安全的重要性愈加突出。据最新的 Hiscox 全球网络安全统计,在勒索软件攻击事件当中,64%以上的用户是中小企业。因此,制定完善的灾备策略,是抵御网络威胁的...【详细内容】
2020-12-15      Tags:勒索者病毒   点击:(145)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条