定義,特徵,非過濾性病毒,諜件,遠程訪問特洛伊,Zombies,非法訪問許可權,鍵盤記錄程式,P2P 系統,邏輯炸彈和時間炸彈,傳播手法,傳播趨勢,種類更模糊,混合傳播模式,多平台,使用銷售技術,伺服器和客戶端,Windows作業系統,惡意代碼類型變化,相關問題,影響,默認主頁被修改,默認首頁被修改,默認的微軟主頁被修改,主頁設定被禁止鎖定,搜尋引擎被修改,被添加非法信息,非法信息破壞,非法網站連結,選單功能被禁用失常,非法添加按鈕,鎖定下拉選單,“源檔案”項被禁用,
定義
定義一:惡意代碼又稱惡意軟體。這些軟體也可稱為
廣告軟體(adware)、間諜軟體(spyware)、惡意共享軟體(malicious shareware)。是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟體。與
病毒或
蠕蟲不同,這些軟體很多不是小團體或者個人秘密地編寫和散播,反而有很多知名
企業和團體涉嫌此類軟體。有時也稱作流氓軟體。
定義二:惡意代碼是指故意編制或設定的、對網路或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒(簡稱病毒)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、後門、邏輯炸彈等。
英文:malicious software 或 malevolent software,Malicious code,malevolent code 或者簡稱Malware。
特徵
具有如下共同特徵:
(1) 惡意的目的
(3) 通過執行發生作用
有些惡作劇
程式或者遊戲
程式不能看作是惡意代碼。對濾過性
病毒的特徵進行討論的文獻很多,儘管它們數量很多,但是機理比較近似,在
防病毒程式的防護範圍之內,更值得注意的是非濾過性病毒。
非過濾性病毒
非過濾性
病毒包括口令破解
軟體、
嗅探器軟體、鍵盤輸入記錄軟體,遠程
特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察
網路通信、記錄私人通信,暗地接收和傳遞遠程
主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的
防火牆上開了一個口子。 非濾過性
病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性
病毒病毒有關的概念包括:
諜件
諜件(Spyware)與商業產品
軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連線,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於
主機的
防火牆,通過記錄網路活動,才可能發現
軟體產品與其開發商在進行定期通訊。諜件作為商用
軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
遠程訪問特洛伊
遠程訪問
特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的
程式,比如NetBus 和SubSeven 可以偽裝成其他程式,迷惑用戶安裝,比如偽裝成可以執行的
電子郵件,或者Web下載檔案,或者遊戲和賀卡等,也可以通過物理接近的方式直接安裝。
Zombies
惡意代碼不都是從內部進行控制的,在
分散式拒絕服務攻擊中,Internet的不少 站點受到其他
主機上 zombies
程式的攻擊。zombies
程式可以利用網路上
計算機系統的
安全漏洞將自動攻擊
腳本安裝到多台
主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
非法訪問許可權
口令破解、
網路嗅探和網路
漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問許可權的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
鍵盤記錄程式
某些用戶組織使用PC活動監視
軟體監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種
軟體也可以被攻擊者用來進行信息刺探和
網路攻擊。
P2P 系統
基於Internet的點到點 (peer-to-peer)的
應用程式比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程式都可以通過HTTP或者其他公共連線埠穿透
防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些
程式首先要從內部的PC
遠程連線到外邊的Gotomypc
主機,然後用戶通過這個連線就可以訪問辦公室的PC。這種連線如果被利用,就會給組織或者企業帶來很大的危害。
邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和
應用程式為目的的程式。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前
網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主
計算機系統中的
軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:
軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的
蠕蟲和嵌入
腳本,本身就是
軟體,這類惡意代碼對人的活動沒有要求。一些像
特洛伊木馬、
電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品
軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業
軟體產品的缺陷和弱點,比如
溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打
補丁的IIS
軟體就有輸入
緩衝區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的
蠕蟲也利用了遠程
計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是
緩衝區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附屬檔案越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附屬檔案的使用正在和必將受到網關過濾
程式的限制和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程式的檢查。使用的手法可能包括採用模糊的檔案類型,將公共的執行檔案類型壓縮成zip檔案等等。
對聊天室IRC(Internet Relay Chat)和即時訊息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent
軟體,讓遠程系統用作
分散式拒絕服務(DDoS)的攻擊平台,或者使用
後門程式和
特洛伊木馬程式控制之。
傳播趨勢
惡意代碼的傳播具有下面的趨勢:
種類更模糊
惡意代碼的傳播不單純依賴
軟體漏洞或者社會工程中的某一種,而可能是它們的混合。比如
蠕蟲產生寄生的檔案
病毒,
特洛伊程式,口令竊取程式,
後門程式,進一步模糊了蠕蟲、病毒和特洛伊的區別。
混合傳播模式
“混合
病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“
紅色代碼”利用的是IIS的
漏洞,Nimda實際上是1988年出現的Morris
蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從
引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
多平台
多平台攻擊開始出現,有些惡意代碼對不兼容的平台都能夠有作用。來自Windows的
蠕蟲可以利用Apache的
漏洞,而Linux蠕蟲會派生exe格式的
特洛伊。
使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的信箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意檔案進行操作,並且使用網路
探測、
電子郵件腳本嵌入和其它不使用附屬檔案的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的
漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒
軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
伺服器和客戶端
對於惡意代碼來說
伺服器和客戶機的區別越來越模糊,客戶
計算機和伺服器如果運行同樣的
應用程式,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個
作業系統預設的服務,因此它的服務
程式的缺陷是各個機器都共有的,Code Red的影響也就不限於
伺服器,還會影響到眾多的
個人計算機。
Windows作業系統
Windows作業系統更容易遭受惡意代碼的攻擊,它也是
病毒攻擊最集中的平台,
病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性
病毒入侵的基礎。病毒和
蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog
漏洞在
聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個
ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些
漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設定,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種訊息肯定會引發
黑客的攻擊熱情。利用
漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
惡意代碼類型變化
此外,另外一類惡意代碼是利用和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝
成安全數據類型,欺騙客戶
軟體執行不適當的代碼。
相關問題
(1)
病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次
病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K
病毒庫需要每天更新,而2000年五月,為了對付LoveLetter
病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對於防護效果的提高很小。
(2)用戶對於Microsoft的作業系統和
應用程式抱怨很多,但是
病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)
啟發式的病毒搜尋沒有被廣泛地使用,因為清除一個病毒比調整
啟發式軟體的花費要小,而被比喻成“治療比疾病本身更糟糕”。
(4)企業在
防火牆管理,
電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,儘管有些
病毒掃描
軟體有系統活動日誌,但是由於檔案大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6)
病毒掃描
軟體只是通知用戶改變設定,而不是自動去修改設定。
(7)
病毒防護
軟體本身就有安全缺陷,容易被攻擊者利用,只是由於害怕被攻擊,病毒軟體廠商不願意談及。
(8)許多的
軟體都是既可以用在安全管理,也可以用在安全突破上,問題在於意圖,比如
漏洞掃描程式和
嗅探程式就可以被攻擊者使用。
影響
惡意代碼的傳播方式在迅速地演化,從
引導區傳播,到某種類型檔案傳播,到
宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form
引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和
蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用作業系統或者
應用程式的
漏洞, 而不僅僅依賴社會工程。
伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等
蠕蟲程式,利用
漏洞來進行自我傳播,不再需要搭乘其他代碼
關鍵字: 惡意代碼;症狀;修複方法
惡意代碼十三大症狀及簡單修複方法。
默認主頁被修改
1.破壞特性:默認主頁被自動改為某網站的網址。
2.表現形式:
瀏覽器的
默認主頁被自動設為如********.COM的網址。
3.清除方法:採用手動修改
註冊表法,開始選單->運行->regedit->確定,打開註冊表編輯工具,按順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL鍵值名(用來設定
默認主頁),在右視窗點擊右鍵進行修改即可。按F5鍵刷新生效。
危害程度:一般
默認首頁被修改
1.破壞特性:默認首頁被自動改為某網站的網址。
2.表現形式:瀏覽器的默認主頁被自動設為如********.COM的網址。
3.清除方法:採用手動修改註冊表法,開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage鍵值名(用來設定默認首頁),在右視窗點擊右鍵進行修改即可。按F5鍵刷新生效。
危害程度:一般
默認的微軟主頁被修改
1.破壞特性:默認
微軟主頁被自動改為某網站的網址。
2.表現形式:默認微軟主頁被篡改。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL鍵值名(用來設定默認微軟主頁),在右視窗點擊右鍵,將鍵值修改,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
主頁設定被禁止鎖定
1.破壞特性:主頁設定被禁用。
2.表現形式:主頁地址欄變灰色被禁止。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主鍵,然後在此主鍵下新建鍵值名為“HomePage”的DWORD值,值為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到
記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
搜尋引擎被修改
1.破壞特性:將IE的默認微軟搜尋引擎更改。
2.表現形式:搜尋引擎被篡改。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”鍵值名,在右面視窗點擊“修改”,然後再找到“CustomizeSearch”鍵值名,將其鍵值修改,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
被添加非法信息
1.破壞特性:通過修改註冊表,使IE標題欄被強行添加宣傳網站的
廣告信息。
2.表現形式:在IE頂端藍色標題欄上多出了什麼“正點網“!
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window Title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新。
第二,按如下順序依次打開:HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到“Window Title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"
危害程度:一般
非法信息破壞
破壞特性:通過修改註冊表,在微軟的集成
電子郵件程式Microsoft Outlook頂端標題欄添加宣傳網站的廣告信息br]
表現形式:在頂端的Outlook Express藍色標題欄添加非法信息。
清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到WindowTitle以及Store Root鍵值名,將其鍵值均設為空。按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]"WindowTitle"="""Store Root"=""
危害程度:一般
非法網站連結
1.破壞特性:通過修改註冊表,在滑鼠右鍵彈出選單里被添加非法站點的連結。
2.表現形式:添加“網址之家”等諸如此類的連結信息。
3.清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左邊視窗凡是屬於非法連結的主鍵一律刪除,按F5鍵刷新生效。
4.危害程度:一般
選單功能被禁用失常
1.破壞特性:通過修改註冊表,滑鼠右鍵彈出選單功能在IE瀏覽器中被完全禁止。
2.表現形式:在IE中點擊右鍵毫無反應。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到“NoBrowserContextMenu”鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoBrowserContextMenu"=dword:00000000
危害程度:輕度
破壞特性:通過修改註冊表,強行在IE
收藏夾內自動添加非法網站的連結信息。
清除方法:請用手動直接清除,用滑鼠右鍵移動至該非法網站信息上,點擊右鍵彈出選單,選擇刪除即可。
危害程度:一般
非法添加按鈕
表現形式:有按鈕圖示。
清除方法:直接點擊滑鼠右鍵彈出選單,選擇“刪除”即可。
危害程度:一般
鎖定下拉選單
破壞特性:通過修改註冊表,將地址欄的下拉選單鎖定變為灰色。
表現形式:不僅使下拉選單消失,而且在其上覆蓋非法文字信息。
清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右邊視窗找到“LinksFolderName”鍵值名,將其鍵值設為“連結”,多餘的字元一律去掉,按F5鍵刷新生效。
危害程度:輕度
“源檔案”項被禁用
破壞特性:通過修改註冊表,將IE選單“查看”下的“源檔案”項鎖定變為灰色。
清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000
危害程度:輕度
注意:如果要修改註冊表,請您務必在操作之前備份註冊表信息。