《信息安全》惡意代碼與防范技術

惡意代碼與防范技術【案例】WireLurker惡意軟件的威脅【案例】WireLurker惡意軟件的威脅

（2014年11月）紐約時報報道，加州的一所研究機構PaloAltoNetworks發(fā)表報告稱，在MacOSX上出現(xiàn)了一種新的惡意軟件WireLurker，過去六個月里感染了大批MacOSX和iOS設備。此次的惡意軟件非常棘手：一是專門針對中國用戶，二是即使不越獄也會感染，是目前為止最大規(guī)模的惡意軟件。5.1惡意代碼概述

5.1.1惡意代碼的分類5.1.2惡意代碼的發(fā)展5.1.3惡意代碼的命名規(guī)則5.1.1惡意代碼的定義“惡意代碼”就是指為達到某種特殊目的故意編制或設置的、未經授權便對網絡或系統(tǒng)進行干擾或破壞，產生威脅或潛在威脅的計算機代碼。其包括病毒、木馬、蠕蟲、惡意腳本、僵尸網絡等。5.1.1惡意代碼的分類按照代碼的獨立性和自我復制性，可將惡意代碼分類如圖5-1所示。

5.1.2惡意代碼的發(fā)展惡意代碼首次被確認是在1983年，當時的習慣稱謂是“計算機病毒”。到了1987年，惡意代碼開始受到全世界普遍重視。從1988年我國發(fā)現(xiàn)第一個“小球”病毒算起，計算機惡意代碼至今已超百萬種。早在1949年，電腦先驅馮·諾依曼（JohnvonNeumann）在論文《復雜自動裝置的理論及組織的進行》勾勒出病毒程序藍圖——能實際復制自身的自動機。

5.1.2惡意代碼的發(fā)展2006年9月，“熊貓燒香”誕生，其是一種經過多次變種的計算機蠕蟲病毒，被《2006年度中國內地計算機病毒疫情和互聯(lián)網安全報告》評為“毒王”。

5.1.2惡意代碼的發(fā)展2008年，網游盜號類病毒最為猖獗，“網游盜賊”“網游大盜”病毒分別占據(jù)主流病毒的首位。而在病毒感染計算機臺數(shù)前20名病毒中，網絡游戲盜號木馬占了10個席位，上千萬臺電腦被此類病毒感染?！熬W游竊賊”病毒以壓倒其它病毒的絕對優(yōu)勢，一舉成為2008年度“毒王”。截至2014年，惡意代碼程序種類依然在不斷增多。2014全年360互聯(lián)網安全中心累計截獲Android平臺新增惡意程序樣本高達326.0萬個，為2013年的近4倍。5.1.3惡意代碼的命名規(guī)則國際惡意代碼的命名慣例國際惡意代碼命名的一般慣例為“<前綴>.<惡意代碼名稱>.<后綴>”，即三元組命名規(guī)則?！扒熬Y”表示惡意代碼發(fā)作的操作平臺或類型。該名稱是區(qū)分惡意代碼的類型的，不同類型的惡意代碼會有不同的前綴。如蠕蟲的前綴是“worm”，木馬的前綴是“Trojan”等?！皭阂獯a名稱”是指惡意代碼的家族特征，是用來區(qū)別和標識惡意代碼家族的，如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。“后綴”是指一個病毒的變種特征，用來區(qū)別具體家族的某個變種。一般都采用英文中的26個字母來表示，如Worm.Sasser.b，就是指震蕩波蠕蟲病毒的變種B，一般稱為“震蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標識。5.1.3惡意代碼的命名規(guī)則以Windows操作系統(tǒng)為例，給出常見惡意代碼前綴解釋。系統(tǒng)病毒：前綴為Win32、PE、Win95、W32、W95等蠕蟲病毒：前綴為Worm木馬：前綴為Trojan腳本病毒：前綴為Script、VBS、JS宏病毒：第一前綴為Macro，第二前綴為Word、Word97、Excel、Excel97等后門：后門病毒的前綴為Backdoor播種者：前綴為Dropper破壞性程序病毒：前綴為Harm玩笑病毒：前綴為Joke捆綁機病毒：前綴為Binder5.2計算機病毒

5.2.1計算機病毒的定義5.2.2計算機病毒的基本特征5.2.3計算機病毒的類型5.2.1計算機病毒的定義計算機病毒（ComputerVirus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，即編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒必須滿足兩個條件：能自行執(zhí)行能自我復制5.2.2計算機病毒的基本特征

繁殖性

隱蔽性

感染性

潛伏性

寄生性5.2.3計算機病毒的類型按計算機病毒的感染對象，可以將病毒分為：引導區(qū)型病毒（RootVirus）文件型病毒（FileVirus）混合型病毒（MixVirus）宏病毒（MacroVirus）VBS病毒（腳本病毒）5.3木馬

5.3.1木馬的定義5.3.2木馬的基本特征5.3.3木馬的類型5.3.4木馬的傳播方式5.3.1木馬的定義木馬(TrojanHorse)這個名字來源于希臘神話里面的“特洛伊木馬”。木馬不是病毒

病毒木馬隱藏性有隱藏性有隱藏性寄生性寄生在宿主文件可寄生，可獨立繁殖性自我繁殖不繁殖程序結構獨立文件控制端、服務端破壞性本機文件改寫注冊表、改寫服務等遠程啟動無具有遠程啟動性安全隱患無有用戶作用激活病毒用戶不參與，由木馬自啟動清除從宿主摘除刪除服務端5.3.2木馬的基本特征

隱蔽性自動運行性欺騙性自動恢復功能自動打開端口特殊性5.3.3木馬的類型破壞型密碼發(fā)送型遠程訪問型鍵盤記錄木馬DoS攻擊木馬反彈端口型密碼木馬代理木馬FTP木馬下載型木馬5.3.5木馬的傳播方式捆綁欺騙釣魚欺騙漏洞攻擊網頁掛馬:js腳本掛馬,圖片偽裝掛馬5.4蠕蟲

5.4.1蠕蟲的定義5.4.2蠕蟲工作機制與特征5.4.1蠕蟲的定義計算機蠕蟲的兩個最基本特征：可以從一臺計算機移動到另一臺計算機,可以自我復制。共享文件夾、電子郵件Email、網絡中的惡意網頁、大量存在著漏洞的服務器等，都是蠕蟲傳播的良好途徑，蠕蟲病毒可以在幾個小時內蔓延全球，帶來巨大損失。蠕蟲與病毒

病毒蠕蟲存在形式寄生獨立個體復制機制插入宿主程序或替換宿主自身拷貝傳染機制宿主程序運行、郵件或網頁為載體系統(tǒng)存在漏洞搜索機制針對本地與網絡共享文件針對網絡計算機觸發(fā)機制計算機使用者程序自身影響重點本地計算機系統(tǒng)網絡性能、系統(tǒng)性能用戶作用病毒傳播中的關鍵無關攻擊特點被動、靠使用者觸發(fā)主動對抗主體使用者、反毒廠商系統(tǒng)提供者、網管反復性清除后不會自動反復感染有漏洞自動反復感染安全隱患無留后門、搜集信息防治從宿主文件摘除或刪除獨立病毒體等為系統(tǒng)打補丁等（Patch）5.4.3蠕蟲的工作機制與特征5.4.3蠕蟲的工作機制與特征搜索掃描攻擊感染和破壞通過對蠕蟲的整個工作流程分析，可以歸納出它的一些行為特征：自我繁殖，整個流程全由蠕蟲自身主動完成；能充分利用系統(tǒng)的漏洞獲得被攻擊的計算機系統(tǒng)的相應權限；改寫和刪除被感染主機及網絡共享中的文件；耗費系統(tǒng)資源，導致系統(tǒng)的性能下降；產生巨大的網絡數(shù)據(jù)流量，導致整個網絡癱瘓等。5.5其他惡意代碼

5.5.1網絡釣魚5.5.2僵尸網絡5.5.3廣告軟件5.5.4邏輯炸彈5.5.1網絡釣魚網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，是常見的網絡詐欺行為?！熬W絡釣魚”攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內容。5.5.1網絡釣魚5.5.2僵尸網絡僵尸網絡（Botnet，亦譯為喪尸網絡、機器人網絡）是指駭客利用自己編寫的分布式拒絕服務攻擊程序將數(shù)萬個淪陷的機器，即黑客常說的僵尸電腦或肉雞，組織成一個個控制節(jié)點，用來發(fā)送偽造包或者是垃圾數(shù)據(jù)包，使預定攻擊目標癱瘓并“拒絕服務”。5.5.3廣告軟件廣告軟件（Adware）是指未經用戶允許，下載并安裝到用戶計算機上；或與其他軟件捆綁，通過彈出式廣告或以其他形式進行商業(yè)廣告宣傳的程序。此類軟件往往會強制安裝并無法卸載；一些惡意廣告軟件可能會集成間諜軟件，如鍵盤記錄程序和隱私入侵軟件其他等，在后臺收集用戶信息，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。5.5.3邏輯炸彈邏輯炸彈是指在特定邏輯條件滿足時，實施破壞的計算機程序，該程序觸發(fā)后可能造成計算機數(shù)據(jù)丟失、計算機不能從硬盤或者軟盤引導，甚至會使整個系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。與病毒相比，“邏輯炸彈”強調破壞作用本身，而實施破壞的程序不具有傳染性，即一個邏輯炸彈不自我復制，這也意味著一個邏輯炸彈將不會蔓延到意想不到的受害者。5.6.惡意代碼的防范

5.6.1惡意代碼防范技術5.6.2常用殺毒軟件5.6.3個人防范措施5.6.1惡意代碼防范技術惡意代碼要實現(xiàn)入侵、傳播和破壞等必須具備足夠權限。權限控制技術通過適當?shù)目刂朴嬎銠C系統(tǒng)中程序的權限，使其僅僅具有完成正常任務的最小權限，即使該程序中包含惡意代碼，該惡意代碼也不能或者不能完全實現(xiàn)其惡意目的。權限控制技術有以下兩種:沙箱技術安全操作系統(tǒng)5.6.2常用殺毒軟件現(xiàn)在市面上的殺毒軟件種類多，如國外的有諾頓、卡巴斯基、MacAfee、小紅傘等，國內有金山、瑞星、360衛(wèi)士等，每類軟件無絕對好壞之說，都有各自的優(yōu)缺點。本書選擇國內市場上裝機量居前十的9款主流殺毒軟件進行簡要介紹，分別為360殺毒正式版V5.0、瑞星殺毒軟件V16+、金山毒霸SP6、ESETNOD32防病毒軟件6、卡巴斯基反病毒軟件2014、小紅傘免費版2014、諾頓防病毒軟件、McAfee防病毒軟件。5.6.2常用殺毒軟件（一）360殺毒正式版V5.0360殺毒是中國使用人數(shù)最多的殺毒軟件，也是迄今國內唯一包攬AV-C、AV-TEST、VB100、CheckMark、ICSA、OPSWAT等各大國際評測“全滿貫”的殺毒軟件。與4.0版相比5.0正式版啟用了全新的產品界面，引入了更為豐富的交互方式。5.6.2常用殺毒軟件（二）瑞星殺毒軟件V16+瑞星殺毒軟件“v16+”由“V16”升級而來，主要在原有殺毒引擎的基礎上加入了瑞星最先進的決策引擎及基因引擎，將原有的基礎引擎和云查殺引擎直接升級為四核，不但提高了病毒查殺率，還讓掃描結果更加精準。5.6.2常用殺毒軟件（三）金山毒霸SP6金山毒霸SP6的特色是基于金山云安全中心收錄的海量樣本，多數(shù)樣本秒級即能返回查詢結果，無需上傳、鑒定。新出現(xiàn)的未知文件，通過上傳至云安全中心，99秒內可得出鑒定結果，從而判定未知文件是否對用戶構成威脅。5.6.2常用殺毒軟件（四）ESETNOD32防病毒軟件6以占用系統(tǒng)資源最少、偵測速度最快著稱護的ESETNOD32防病毒軟件，曾經是VB100的代名詞。5.6.2常用殺毒軟件（五）卡巴斯基反病毒軟件2014卡巴斯基安全軟件2014結合了大量易用、嚴格的網頁安全技術，可保護用戶免遭各類惡意軟件和基于網絡威脅的侵害，包括企圖盜取用戶資金和個人隱私的網絡罪犯。5.6.2常用殺毒軟件（六）AVG殺毒軟件永久免費版2014作為一款提供領先防病毒保護的AVG殺毒軟件2014版，雖然初試設定快捷簡便，但在安裝過程中還是難免讓用戶等得不厭其煩，尤其是漫長的安裝過程。整體而言，還是一款不錯的殺毒軟件。5.6.2常用殺毒軟件（七）小紅傘免費版2014來自德國26年專注安全行業(yè)的AVIRA小紅傘一直以口碑聞名全球，不刻意宣傳但是深受用戶親睞。5.6.2常用殺毒軟件（八）諾頓防病毒軟件2014與Win8.1全面兼容的諾頓防病毒軟件2014，五層專利防護層在安全、性能和可用性方面，將為用戶提供更全面的安全保護，幫助現(xiàn)有設備應對新威脅且不影響性能。5.6.2常用殺毒軟件（九）McAfee防病毒軟件2014McAfee殺毒軟件是McAfee公司的一款