《惡意代碼基礎(chǔ)與防范（微課版）》 課件 第9章-其他惡意代碼

第9章其他惡意代碼CONTENTS目錄流氓軟件01WebPage中的惡意代碼02僵尸網(wǎng)絡(luò)03行業(yè)PPT模板/hangye/定義：流氓軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含中國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。流氓軟件定義及特征特征：1.采用多種社會(huì)和技術(shù)手段，強(qiáng)行或者秘密安裝，并抵制卸載；2.強(qiáng)行修改用戶軟件設(shè)置，如瀏覽器的主頁(yè)，軟件自動(dòng)啟動(dòng)選項(xiàng)，安全選項(xiàng)；3.強(qiáng)行彈出廣告，或者其他干擾用戶、占用系統(tǒng)資源行為；4.有侵害用戶信息和財(cái)產(chǎn)安全的潛在因素或者隱患；5.與電腦病毒聯(lián)合侵入用戶電腦；6.停用殺毒軟件或其他電腦管理程序來(lái)做進(jìn)一步的破壞；7.未經(jīng)用戶許可，利用用戶疏忽或者利用用戶缺乏相關(guān)知識(shí)，秘密收集用戶個(gè)人信息、秘密和隱私；8.惡意篡改注冊(cè)表信息；9.威脅恐嚇或誤導(dǎo)用戶安裝其他的產(chǎn)品。流氓軟件的分類1.廣告軟件（Adware）危害：此類軟件往往會(huì)強(qiáng)制安裝并無(wú)法卸載；在后臺(tái)收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。2.間諜軟件（Spyware）危害：用戶的隱私數(shù)據(jù)和重要信息會(huì)被“后門程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”，這是網(wǎng)絡(luò)安全的重要隱患之一。3.瀏覽器劫持危害：用戶在瀏覽網(wǎng)站時(shí)會(huì)被強(qiáng)行安裝此類插件，普通用戶根本無(wú)法將其卸載，被劫持后，用戶只要上網(wǎng)就會(huì)被強(qiáng)行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。4.行為記錄軟件（TrackWare）危害：危及用戶隱私，可能被黑客利用來(lái)進(jìn)行網(wǎng)絡(luò)詐騙。5.惡意共享軟件（maliciousshareware）危害：使用“試用陷阱”強(qiáng)迫用戶進(jìn)行注冊(cè)，否則可能會(huì)丟失個(gè)人資料等數(shù)據(jù)。軟件集成的插件可能會(huì)造成用戶瀏覽器被劫持、隱私被竊取等。腳本病毒的基本類型1．基于JavaScript的惡意腳本使用JavaScript語(yǔ)言編寫的惡意代碼主要運(yùn)行在IE瀏覽器環(huán)境中，可以對(duì)瀏覽器的設(shè)置進(jìn)行修改，主要破壞是對(duì)注冊(cè)表的修改，危害不是很大。2．基于VBScript的惡意腳本使用VBScript語(yǔ)言的惡意代碼可以在瀏覽器中運(yùn)行。這種惡意代碼在Office，主要是瀏覽器、Outlook中運(yùn)行，可以執(zhí)行的操作非常多，甚至可以修改硬盤上的文件、刪除文件和執(zhí)行程序等，危害非常大。3．基于PHP的惡意腳本基于PHP的惡意腳本是新的惡意代碼類型，感染PHP腳本文件，主要對(duì)服務(wù)器造成影響，對(duì)個(gè)人計(jì)算機(jī)影響不大。4

.

Shell惡意腳本編寫Shell惡意腳本是一種制造Linux惡意代碼的簡(jiǎn)單方法。Web惡意代碼的工作機(jī)制在網(wǎng)頁(yè)中用腳本實(shí)現(xiàn)的惡意代碼。由于因特網(wǎng)用戶經(jīng)常使用瀏覽器瀏覽網(wǎng)頁(yè)，因此給這種惡意代碼的發(fā)作造成了便利環(huán)境?！叭f(wàn)花谷”就是其中一種惡意腳本代碼，它是利用JavaScript技術(shù)進(jìn)行破壞的一個(gè)惡意網(wǎng)址。感染了該惡意代碼后的特征如下：（1）不能正常使用Windows的DOS功能程序。（2）不能正常退出Windows。（3）“開始”菜單上的“關(guān)閉”“運(yùn)行”等欄目被屏蔽，禁止重新以DOS方式啟動(dòng)，關(guān)閉DOS命令和Regedit命令等。（4）將IE瀏覽器的首頁(yè)和收藏夾中都加入了含有該有害網(wǎng)頁(yè)代碼的網(wǎng)絡(luò)地址(www.on888.xxx.X)。（5）在IE的收藏夾中自動(dòng)加上“萬(wàn)花谷”的快捷方式，網(wǎng)絡(luò)地址是http://96。與普通惡意腳本有所不同的是：用“查看源文件”方法來(lái)查看感染“萬(wàn)花谷”的網(wǎng)頁(yè)代碼時(shí)，只能看到一大段雜亂字符。原因是為了具有隱蔽性，該惡意代碼采用了JavaScript的escape()函數(shù)進(jìn)行了字符處理，把某些符號(hào)、漢字等變成亂碼以達(dá)到迷惑人的目的。防范腳本病毒的措施（1）養(yǎng)成良好的上網(wǎng)習(xí)慣，不瀏覽不熟悉的網(wǎng)站，尤其是一些個(gè)人主頁(yè)和色情網(wǎng)站，從根本上減少被病毒侵害的機(jī)會(huì)。（2）選擇安裝適合自身情況的主流廠商的殺毒軟件，或安裝個(gè)人防火墻，在上網(wǎng)前打開“實(shí)時(shí)監(jiān)控功能”，尤其要打開“網(wǎng)頁(yè)監(jiān)控”和“注冊(cè)表監(jiān)控”兩項(xiàng)功能。（3）將正常的注冊(cè)表進(jìn)行備份，或者下載注冊(cè)表修復(fù)程序，一旦出現(xiàn)異常情況，馬上進(jìn)行相應(yīng)的修復(fù)。（4）如果發(fā)現(xiàn)不良網(wǎng)站，立刻向有關(guān)部門報(bào)告，同時(shí)將該網(wǎng)站添加到黑名單中。（5）提高IE的安全級(jí)別。將IE的安全級(jí)別設(shè)置為“高”。（6）最好安裝專業(yè)的殺毒軟件對(duì)計(jì)算機(jī)進(jìn)行全面監(jiān)控.用戶在安裝了反病毒軟件之后，應(yīng)該經(jīng)常進(jìn)行升級(jí),將一些主要監(jiān)控經(jīng)常打開。僵尸網(wǎng)絡(luò)的概念及特點(diǎn)僵尸網(wǎng)絡(luò)（Botnet）是指采用一種或多種傳播手段，將大量主機(jī)感染bot程序（僵尸程序），從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)的特點(diǎn)（1）分布性。僵尸網(wǎng)絡(luò)是一個(gè)具有一定分布性的、邏輯的網(wǎng)絡(luò)，它不具有物理拓?fù)浣Y(jié)構(gòu)。隨著Bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來(lái)。（2）惡意傳播。僵尸網(wǎng)絡(luò)是采用了一定的惡意傳播手段形成的，如主動(dòng)漏洞攻擊、惡意郵件等各種傳播手段，都可以用來(lái)進(jìn)行Bot程序的傳播。（3）一對(duì)多控制。Botnet的最主要的特點(diǎn)就是可以一對(duì)多地進(jìn)行控制，傳達(dá)命令并執(zhí)行相同的惡意行為，如DDoS攻擊等。這種一對(duì)多的控制關(guān)系使得攻擊者能夠以低廉的代價(jià)高效地控制大量的資源為其服務(wù)，這也是Botnet攻擊受到黑客青睞的根本原因。僵尸網(wǎng)絡(luò)的分類按bot程序的種類分類Agobot/Phatbot/Forbot/XtremBot最著名的僵尸工具類SDBot/RBot/UrBot/SpyBot最活躍的Bot程序家族GT-Bots基于IRC的聊天工具類Bot客戶端按Botnet的控制方式分類IRCBotnet這類Botnet利用IRC協(xié)議進(jìn)行控制和通信。目前絕大多數(shù)Botnet都屬于這一類別，例如Spybot、GTbot和SDbot等。AOLBotnet這類Botnet是依托AOL這種即時(shí)通信服務(wù)形成的網(wǎng)絡(luò)而建立的，被感染主機(jī)登錄到固定的服務(wù)器上接收控制命令。P2PBotnet這類Botnet中使用的Bot程序本身包含了P2P的客戶端，可以連入采用Gnutella技術(shù)的服務(wù)器，利用WASTE文件共享協(xié)議進(jìn)行相互通信。由于這種協(xié)議分布式地進(jìn)行連接，就使得每一個(gè)僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信，這類的Botnet具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對(duì)復(fù)雜的特點(diǎn)。僵尸網(wǎng)絡(luò)的工作過(guò)程（1）傳播階段在傳播階段，Botnet把Bot程序傳播到盡可能多的主機(jī)上去。Botnet需要的是具有一定規(guī)模的被控計(jì)算機(jī)，而這個(gè)規(guī)模是隨著Bot程序的擴(kuò)散而形成的。在這個(gè)傳播過(guò)程中有如下幾種手段：①即時(shí)通信軟件。②郵件型惡意代碼。③主動(dòng)攻擊漏洞。④惡意網(wǎng)站腳本。⑤特洛伊木馬。（2）加入階段在加入階段，每一臺(tái)被感染主機(jī)都會(huì)隨著隱藏在自身上的Bot程序的發(fā)作而加入到Botnet中去，加入的方式根據(jù)控制方式和通信協(xié)議的不同而有所不同。在基于IRC協(xié)議的Botnet中，感染Bot程序的主機(jī)會(huì)登錄到指定的服務(wù)器和頻道中去，在登錄成功后，在頻道中等待控制者發(fā)來(lái)的惡意指令。（3）控制階段在控制階段，攻擊者通過(guò)中心服務(wù)器發(fā)送預(yù)先定義好的控制指令，讓僵尸計(jì)算機(jī)執(zhí)行惡意行為。典型的惡意行為是發(fā)起DDoS攻擊、竊取主機(jī)敏感信息、升級(jí)惡意程序等。僵尸網(wǎng)絡(luò)的危害DDOS攻擊使用Botnet發(fā)動(dòng)DDOS攻擊是當(dāng)前最主要的威脅之一。攻擊者可以向自己控制的所有僵尸計(jì)算機(jī)發(fā)送指令，讓它們?cè)谔囟ǖ臅r(shí)間同時(shí)開始連續(xù)訪問(wèn)特定的網(wǎng)絡(luò)目標(biāo)，從而達(dá)到DDOS的目的。發(fā)送垃圾郵件一些bots會(huì)設(shè)立sockv4、v5代理，這樣就可以利用Botnet發(fā)送大量的垃圾郵件，而且發(fā)送者可以很好地隱藏自身的IP信息。