第8章 病毒、蠕蟲與木馬

1、第八章 病毒蠕蟲與木馬8.1 計(jì)算機(jī)病毒 n計(jì)算機(jī)病毒的概念 n一種能夠自身復(fù)制自身并以其他程序?yàn)樗拗鞯目蓤?zhí)行的代碼 -Fred Cohen n編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 -中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 n計(jì)算機(jī)病毒潛入到計(jì)算機(jī)內(nèi)部時(shí)會(huì)附著在程序中，當(dāng)宿主程序啟動(dòng)后，病毒就隨之被激活并感染系統(tǒng)中的其它部分 n計(jì)算機(jī)病毒可以分作良性和惡性 8.1 計(jì)算機(jī)病毒n計(jì)算機(jī)病毒的分類 n文件型病毒 n引導(dǎo)扇區(qū)病毒 n混合性病毒 n宏病毒 n隱形飛機(jī)式病毒 n密文病毒 n多態(tài)病毒 nScript病毒 n電子

2、郵件病毒 文件型病毒n這一類病毒主要是感染計(jì)算機(jī)中的個(gè)別文件，當(dāng)這些文件被執(zhí)行，病毒程序就跟著被執(zhí)行。n寄生在主程序上的方式主要有3種n將病毒加于文件之前，則病毒先于文件代碼激活n將病毒置于文件之后，但在執(zhí)行文件的開端會(huì)加入一個(gè)跳轉(zhuǎn)指令到病毒程序n病毒文件直接將執(zhí)行文件程序覆蓋，當(dāng)受感染文件執(zhí)行時(shí)，病毒就開始作用了。n按照傳染方式不同，文件型的病毒又分成非常駐型以及常駐型兩種。 引導(dǎo)扇區(qū)病毒 n藏匿和感染軟盤或硬盤的第一個(gè)扇區(qū)，即平常我們所說的引導(dǎo)扇區(qū)n引導(dǎo)型病毒借由引導(dǎo)動(dòng)作而侵入內(nèi)存，若用已經(jīng)感染的磁盤引導(dǎo)，那么病毒將立即感染到硬盤。nDOS的架構(gòu)設(shè)計(jì), 使得病毒可以在每次開機(jī)時(shí), 在操作系

3、統(tǒng)還沒被加載之前就被加載到內(nèi)存中, 這個(gè)特性使得病毒可以針對(duì)DOS的各類中斷得到完全的控制, 并且擁有更大的能力進(jìn)行傳染與破壞。n現(xiàn)在這類病毒比較少見?；旌闲圆《?n同時(shí)兼具引導(dǎo)型病毒和文件型病毒的特點(diǎn)，具有很強(qiáng)的破壞力。n通常會(huì)先修改引導(dǎo)扇區(qū)，而此時(shí)病毒已經(jīng)在系統(tǒng)中激活，并潛伏在內(nèi)存中。n下一步就是要感染其它可執(zhí)行文件了。 宏病毒n利用了一些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏編程指令的特性而形成的一種特殊病毒。n與前述的病毒不同，宏病毒不感染程序，只感染文檔和模板，如Word和Excel文件等。n它是依附在正常的文件上，利用文檔可執(zhí)行其內(nèi)宏命令代碼的方式，在文檔在打開或關(guān)閉時(shí)來控制并感染系統(tǒng)。n宏病毒的影響

4、很大，輕則文件被破壞，重則格式化硬盤，使數(shù)據(jù)毀于一旦。隱形飛機(jī)式病毒 n病毒的目的是在防病毒軟件裝載和發(fā)現(xiàn)它們之前就開始行動(dòng)以逃避檢測(cè)。n一種常采用的技術(shù)是將程序A中指向另外一個(gè)程序B或系統(tǒng)信息的地址進(jìn)行重定向，使其指向一個(gè)病毒程序文件。n當(dāng)程序A調(diào)用程序B的時(shí)候，得到運(yùn)行的是病毒程序。由于并沒有想受感染文件中注入附加的代碼，這種方法可以逃避一些基于特征碼檢測(cè)的殺毒軟件。n另外一種常用的方法是雖然替換了文件，但是保證了替換后的文件和替換前的文件的長度是一樣的，這樣就可以逃避以文件長度為檢測(cè)特征的軟件的查殺。 密文病毒 n通過自我加密，密文病毒的外觀能夠從一種形態(tài)變成另一種形態(tài)，并將感染過的文本

5、和信息隱藏起來。n加密后的病毒文件看起來并不是病毒，而是一段毫無疑義的亂碼。n病毒加密的部分需要一把“密鑰”來譯解其隱藏的代碼，這把鑰匙就隱藏在病毒的固定文本中。n當(dāng)被感染文件執(zhí)行時(shí)，密鑰會(huì)把病毒的剩余部分解密還原。多態(tài)病毒 n每當(dāng)病毒它們運(yùn)行一次，就會(huì)以不同的病毒碼傳染到別的地方去。n每一個(gè)中毒的文件中，所含的病毒碼都不一樣，對(duì)于掃描固定病毒碼的防毒軟件來說，基本無法徹底查殺 Script病毒 nScript病毒（VBScript、JavaScript、HTML）是利用腳本來進(jìn)行破壞的病毒，它本身是一個(gè)ASCII碼或加密的ASCII碼文本文本，由特定的腳本解釋器執(zhí)行。n它利用了腳本解釋器的疏

6、忽和用戶登錄身份不當(dāng)對(duì)系統(tǒng)設(shè)置進(jìn)行惡意配置或惡意調(diào)用系統(tǒng)命令造成危害。VBScript（Visual Basic Script）以JavaScript病毒必須透過Microsoft的Windows Scripting Host（WSH）才能夠啟動(dòng)執(zhí)行以及感染其它文件。nHTML病毒使用內(nèi)嵌在HTML文件中的Script來進(jìn)行破壞，當(dāng)使用者從具備Script功能的瀏覽器檢視HTML網(wǎng)頁時(shí)，內(nèi)嵌Script便會(huì)自動(dòng)執(zhí)行。 電子郵件病毒 n電子郵件病毒是近來出現(xiàn)的惡意軟件。最早利用電子郵件散布的病毒，是利用郵件附件的宏病毒。n如果收件者打開附件，就會(huì)執(zhí)行Word宏，然后病毒就會(huì)根據(jù)收件者的聯(lián)系人名單

7、，將自身復(fù)制傳送給所有的聯(lián)系人。n現(xiàn)在有些病毒甚至不需要打開郵件的附件，只要接收了電子郵件，就會(huì)感染病毒。n這種病毒是由軟件所支持的VBScript語言所編寫的。 計(jì)算機(jī)病毒的特點(diǎn) n傳染性 n傳染性是計(jì)算機(jī)病毒的最重要特征，指病毒從一個(gè)程序復(fù)制進(jìn)入另一個(gè)程序體的過程，其功能是有病毒的傳染模塊來實(shí)現(xiàn)的。n病毒本身是一個(gè)可以運(yùn)行的程序段，因此正常程序運(yùn)行途徑和方法就是病毒運(yùn)行傳染的途徑和方法。n病毒程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。n在單機(jī)環(huán)境下，病毒只能通過軟盤從一臺(tái)計(jì)算機(jī)帶到另一臺(tái)， 而在網(wǎng)絡(luò)中

8、則可以通過網(wǎng)絡(luò)通訊機(jī)制進(jìn)行迅速擴(kuò)散。計(jì)算機(jī)病毒的特點(diǎn)n隱蔽性 n指計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)開始破壞數(shù)據(jù)的過程不易為用戶察覺，而且這種破壞性活動(dòng)用戶難以預(yù)料。n無論是在傳染的過程中，還是在病毒運(yùn)行的過程中，如果病毒能夠輕易的被用戶察覺，比如出現(xiàn)一個(gè)安裝界面的話，那么這個(gè)病毒是無法存在的。n大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏。對(duì)于一個(gè)幾百KB大小的文件，如果病毒程序只插入了幾百字節(jié)數(shù)據(jù)的話，通常是不會(huì)被發(fā)現(xiàn)的。n已有部分病毒實(shí)現(xiàn)了將程序中無用代碼替換為病毒代碼，從而保證感染后的文件大小不發(fā)生變化。計(jì)算機(jī)病毒的特點(diǎn)n潛伏性n指病毒進(jìn)入到被感染的系統(tǒng)中，并不會(huì)馬上發(fā)作，而是尋找機(jī)會(huì)在

9、用戶不察覺的情況下繼續(xù)感染其它文件和系統(tǒng)n在幾周或者幾月的時(shí)間內(nèi)都隱藏在合法文件中，等待條件激發(fā)。n病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長,感染的文件和系統(tǒng)就越多，危害性也越大。計(jì)算機(jī)病毒的特點(diǎn)n破壞性n指對(duì)正常程序和數(shù)據(jù)進(jìn)行覆蓋、修改和刪除，造成用戶敏感數(shù)據(jù)的丟失或系統(tǒng)的崩潰。n任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。n如同上文講過的良性和惡性病毒，輕者會(huì)占用內(nèi)存空間、降低計(jì)算機(jī)工作效率或占用系統(tǒng)資源，重者可格式化硬盤以至導(dǎo)致系統(tǒng)崩潰。計(jì)算機(jī)病毒的特點(diǎn)n觸發(fā)性n指計(jì)算機(jī)病毒激發(fā)的條件實(shí)際是病毒設(shè)計(jì)者事先設(shè)定的，可以是某個(gè)事件、日期、時(shí)間、文件名或者是病毒內(nèi)置的計(jì)

10、數(shù)器等等，也可以是幾個(gè)條件的結(jié)合n當(dāng)滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制，病毒發(fā)作。n但是過于苛刻的觸發(fā)條件，可能使病毒有好的潛伏性，但不易傳播。n而過于寬松的觸發(fā)條件將導(dǎo)致病毒頻繁感染與破壞，容易暴露，被用戶發(fā)現(xiàn)。計(jì)算機(jī)病毒的特點(diǎn)n多態(tài)性n指病毒每次發(fā)作之后，都會(huì)改變它的形態(tài)（特征字符串等），使病毒查殺攻擊很難檢測(cè)出來它們的存在。n例如病毒在每感染一個(gè)對(duì)象時(shí)，采用隨機(jī)方法對(duì)病毒主體進(jìn)行加密。n同一種病毒存在多個(gè)樣本種，幾乎沒有穩(wěn)定的病毒代碼。計(jì)算機(jī)病毒的生命周期 n休眠階段(Dormant phase)n在這個(gè)階段，病毒并不發(fā)作，而是靜靜等待觸發(fā)條件的滿足，例如某一程序的運(yùn)行、某一文件的打開

11、或者敏感字符的出現(xiàn)等等。n繁殖階段(Propagation phase)n病毒對(duì)自身進(jìn)行復(fù)制，并潛入到其它程序或者拷貝到磁盤上的系統(tǒng)區(qū)。每個(gè)被感染的程序就又會(huì)成為病毒源，而且也進(jìn)入繁殖階段.n觸發(fā)階段(Triggering phase)n病毒啟動(dòng)其設(shè)計(jì)之功能。相對(duì)于休眠階段，在本階段中，病毒能夠在受到某些系統(tǒng)事件的驅(qū)動(dòng)(如已經(jīng)復(fù)制達(dá)到某個(gè)次數(shù))，而啟動(dòng)其功能n執(zhí)行階段(Execution phase)n病毒的功能已經(jīng)被執(zhí)行，其影響可能是無傷大雅的，如在屏幕上顯示一段信息；也可能傷害力十足，如中止其他程式運(yùn)行以及文件。典型病毒及其解決方案 nwazzu病毒 n大麻病毒 n米開朗基羅病毒 n我愛你

12、病毒 n熊貓燒香病毒 8.2 蠕蟲 n蠕蟲的概念 n計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上 n網(wǎng)絡(luò)蠕蟲是借助網(wǎng)絡(luò)進(jìn)行傳播，無須用戶干預(yù)能夠自主地或者通過開啟文件共享功能而主動(dòng)進(jìn)攻的惡意代碼 n無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)的部分或全部控制權(quán)來進(jìn)行傳播 蠕蟲的傳播過程 n掃描n攻擊n復(fù)制與計(jì)算機(jī)病毒的區(qū)別 項(xiàng)目病毒蠕蟲存在形式寄生獨(dú)立個(gè)體復(fù)制形式插入到宿主程序（文件）中自身拷貝傳染機(jī)制宿主程序運(yùn)行系統(tǒng)存在漏洞攻擊目標(biāo)針對(duì)本地文件針對(duì)網(wǎng)絡(luò)上的其它計(jì)算機(jī)觸發(fā)傳染計(jì)算機(jī)使用者程序自身影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性

13、能防治措施從宿主文件中摘除為系統(tǒng)打補(bǔ)丁計(jì)算機(jī)使用者角色病毒傳播中的關(guān)鍵環(huán)節(jié)無關(guān)對(duì)抗主體計(jì)算機(jī)使用者、反病毒廠商系統(tǒng)軟件和服務(wù)軟件提供商、網(wǎng)絡(luò)管理人員典型蠕蟲與解決方案 n沖擊波（Worm.Blaster）病毒 n蠕蟲王病毒 n紅色代碼/紅色代碼II蠕蟲 造成較大危害的蠕蟲病毒 病毒名稱爆發(fā)時(shí)間造成損失莫里斯蠕蟲1988年6000臺(tái)電腦停機(jī)，數(shù)千萬美元經(jīng)濟(jì)損失紅色代碼2001年7月大范圍網(wǎng)絡(luò)癱瘓，26億美元經(jīng)濟(jì)損失求職信2001年12月郵件服務(wù)器被堵塞，數(shù)百億美元經(jīng)濟(jì)損失蠕蟲王2003年1月十分鐘內(nèi)攻擊了7.5萬臺(tái)計(jì)算機(jī)，大范圍網(wǎng)絡(luò)癱瘓，30億美元經(jīng)濟(jì)損失沖擊波2003年7月大范圍網(wǎng)絡(luò)癱瘓，數(shù)十

14、億美元經(jīng)濟(jì)損失MyDoom2004年1月大量垃圾郵件攻擊SCO和微軟網(wǎng)站，300多億美元損失震蕩波2004年4月100萬臺(tái)計(jì)算機(jī)被感染，數(shù)百萬美元損失8.3 木馬 n木馬的概念 n來源于希臘神話木馬屠城記 n表面上是有用、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序 n木馬程序本身不能做任何事情，必須依賴于用戶的幫助來實(shí)現(xiàn)它們的目標(biāo)。n惡意程序通常都偽裝成為升級(jí)程序、安裝程序、圖片等文件，來誘惑用戶點(diǎn)擊。一旦用戶禁不起誘惑打開了以為來自合法來源的程序，特洛伊木馬便趁機(jī)傳播 木馬的分類 n遠(yuǎn)程控制型n現(xiàn)今最廣泛的特洛伊木馬，目前所流行的大多數(shù)木馬程序都是基于這個(gè)目的而編寫的。n其工作原理

15、非常簡單，就是一種簡單的客戶/服務(wù)器程序。n只要被控制主機(jī)連入網(wǎng)絡(luò)，并與控制端客戶程序建立網(wǎng)絡(luò)連接控制者就能任意訪問被控制的計(jì)算機(jī)。n由于要達(dá)到遠(yuǎn)程控制的目的，所以，該種類的木馬往往集成了其他種類木馬的功能。木馬的分類n密碼發(fā)送型n專門為了盜取目標(biāo)計(jì)算機(jī)上的各類密碼而編寫的。n木馬一旦被執(zhí)行，就會(huì)自動(dòng)搜索內(nèi)存、Cache、臨時(shí)文件架以及各種秘感文件，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。n鍵盤記錄型n記錄受害者的鍵盤敲擊并且在文件里查找密碼。n最常見的就是針對(duì)QQ和網(wǎng)游的盜號(hào)木馬，n這類軟件與一般的鍵盤記錄軟件大同小異，只是在進(jìn)行鍵盤記錄之前，先使用一個(gè)名為FindWindow的A

16、PI函數(shù)判斷目標(biāo)程序是否在運(yùn)行。如果是的話，啟動(dòng)鍵盤記錄功能，否則不動(dòng)作。n實(shí)現(xiàn)鍵盤記錄這個(gè)功能時(shí)，大多數(shù)采用的是系統(tǒng)提供的鉤子（HOOK）技術(shù)，鉤住用戶的擊鍵行為。木馬的分類n破壞型n破壞被感染計(jì)算機(jī)的文件系統(tǒng)n它們可以自動(dòng)刪除受控主機(jī)上所有的exe、doc、ppt、ini和dll等文件，甚至遠(yuǎn)程格式化受害者硬盤，使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失巨大損失nFTP型木馬n打開被控主機(jī)系統(tǒng)上FTP服務(wù)監(jiān)聽的2l號(hào)端口，并且使得每一個(gè)試圖連接該機(jī)器的用戶使用匿名登錄即可以訪問，并且能夠以最高權(quán)限進(jìn)行文件的操作，如上傳和下載等，破壞受害主機(jī)系統(tǒng)文件機(jī)密性。木馬的分類nDoS攻擊型nDoS指以極大的通

17、信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無法通過。n由于現(xiàn)在的主機(jī)（包括PC機(jī)）配置相對(duì)來說都比較高，因此這種攻擊成功的前提是需要有大量的分布攻擊節(jié)點(diǎn)參與攻擊過程，形成一個(gè)攻擊平臺(tái)，如僵尸網(wǎng)絡(luò)Botnet。n這個(gè)攻擊平臺(tái)由互聯(lián)網(wǎng)上數(shù)百到數(shù)十萬臺(tái)計(jì)算機(jī)構(gòu)成，這些計(jì)算機(jī)被黑客利用木馬等手段植入了木馬程序并暗中操控。n利用這樣的攻擊平臺(tái)，攻擊者可以實(shí)施各種各樣的破壞行為，而且使得這些破壞行為往往比傳統(tǒng)的實(shí)施方式危害更大、防范更難n還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓、不能

18、接受郵件為止。木馬的分類n代理型n黑客在進(jìn)行入侵的時(shí)候，為了隱藏自己的信息，防止審計(jì)者發(fā)現(xiàn)自己的攻擊足跡和身份，可以通過給受害主機(jī)安裝代理木馬，使其稱為一個(gè)代理，通過控制這個(gè)代理來達(dá)到入侵的目的。n攻陷遠(yuǎn)程主機(jī)使其成為攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。n反彈端口型木馬n主要針對(duì)在網(wǎng)絡(luò)出口處設(shè)置了防火墻的用戶環(huán)境，利用反彈端口原理，躲避防火墻攔截的一類木馬的統(tǒng)稱。n反彈端口型軟件的服務(wù)端(被控制端)主動(dòng)連接客戶端(控制端)，為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80(提供HTTP服務(wù)的端口)，這樣，即使用戶使用防火墻檢查自己的端口，也會(huì)以為是自己在瀏覽網(wǎng)頁。n常見的反彈端口型木馬主要有：灰鴿子、PcShare等。木馬的特點(diǎn) n隱蔽性 n一次執(zhí)行后就會(huì)自動(dòng)變更文件名，甚至隱形n可能會(huì)自動(dòng)復(fù)制到其他文件夾中做備份n執(zhí)行時(shí)不會(huì)在系統(tǒng)中顯示出