盤算機(jī)病毒轉(zhuǎn)達(dá)速率快、自我復(fù)制才能強(qiáng),是對當(dāng)今網(wǎng)絡(luò)寧靜、數(shù)據(jù)寧靜影響十分惡劣的惡意軟件,本文經(jīng)過對盤算機(jī)病毒的逐層梳理與分析,便于寧靜從業(yè)者和非寧靜從業(yè)者了解盤算機(jī)病毒、熟悉盤算機(jī)病毒,對寧靜從業(yè)者在寧靜防守才能建立中有所增補(bǔ),對非寧靜從業(yè)者在熟悉外形上加深對盤算機(jī)病毒的熟悉。
系列一:盤算機(jī)病毒的宿世今生-有“代碼”就有“病毒”
01 盤算機(jī)病毒提高簡史
1. 盤算機(jī)病毒初期的打擊目標(biāo)(1986~1989年):
主要是影響磁盤引導(dǎo)扇區(qū)/影響可實(shí)行文件(影響特性比力分明)。
2. 第二代盤算機(jī)病毒的打擊目標(biāo)(1989年后,顯現(xiàn)殽雜型病毒):
▽此病毒既可影響磁盤引導(dǎo)扇區(qū),又可影響可實(shí)行文件;
▽此病毒具有潛伏的辦法駐留內(nèi)存和影響目標(biāo);
▽此病毒擁有自我保護(hù)辦法。
3. 盤算機(jī)病毒打破地區(qū)限定(長程網(wǎng)絡(luò)崛起、長程拜候辦事靈識):
▽W(xué)ord宏病毒成為病毒主流;
▽病毒將因特網(wǎng)作為主要轉(zhuǎn)達(dá)途徑;
▽轉(zhuǎn)達(dá)速率快、潛伏性強(qiáng)、毀壞性大等特點(diǎn)。
02 盤算機(jī)病毒的共同特性基本知識
1. 盤算機(jī)病毒分類:
●稀有病毒分類:蠕蟲病毒、木馬病毒、Flame病毒、MSN性感雞病毒、千年蟲病毒、極虎病毒、誆騙病毒。
●按存在媒體分類:引導(dǎo)型病毒、文件型病毒、殽雜型病毒;
●按鏈接辦法分類:源碼型病毒、嵌入型病毒、利用體系型病毒;
2. 盤算機(jī)病毒特性:
包含繁衍性、毀壞性、影響性、埋伏性、潛伏性、可觸發(fā)性等;
3. 盤算機(jī)病毒影響辦法:
●經(jīng)過使用外界被影響的軟盤;
●經(jīng)過硬盤影響與轉(zhuǎn)達(dá);
●經(jīng)過U盤影響與轉(zhuǎn)達(dá);
●經(jīng)過光盤影響與轉(zhuǎn)達(dá);
●經(jīng)過網(wǎng)絡(luò)影響與轉(zhuǎn)達(dá);
●經(jīng)過電子郵件影響與轉(zhuǎn)達(dá);
●經(jīng)過網(wǎng)頁影響與轉(zhuǎn)達(dá);
●經(jīng)過談天東西和下載軟件影響與轉(zhuǎn)達(dá)等。
4. 盤算機(jī)病毒影響目標(biāo):
盤算機(jī)、盤算機(jī)文件、磁盤啟動扇區(qū)、體系引導(dǎo)扇區(qū)。
5. 稀有典范病毒特性分析
——蠕蟲類病毒:
蠕蟲類病毒是一種可以自我復(fù)制的代碼,并經(jīng)過網(wǎng)絡(luò)轉(zhuǎn)達(dá),通常無需報(bào)答干涉就能轉(zhuǎn)達(dá)。完全控制盤算機(jī)后會把這臺盤算機(jī)作為宿主舉行掃描影響其他盤算機(jī),被新入侵的盤算機(jī)又會成為新的宿主持續(xù)掃描并影響其他盤算機(jī)(即:呈“發(fā)作式”增長)。此類病毒主要的事情流程是起首蠕蟲步驟隨機(jī)拔取某一段IP地點(diǎn),接著對這一地點(diǎn)段的主機(jī)掃描,當(dāng)掃描到有毛病的盤算機(jī)體系后,將蠕蟲主體遷徙到目標(biāo)主機(jī)。然后,蠕蟲步驟進(jìn)入被影響的體系,對目標(biāo)主機(jī)舉行現(xiàn)場處理。同時(shí),蠕蟲步驟天生多個(gè)抄本,反復(fù)上述流程。
蠕蟲類病毒會用種種辦法搜集目標(biāo)主機(jī)的信息,找到可使用的毛病或缺陷,針對目標(biāo)主機(jī)的毛病或缺陷,接納相應(yīng)的武藝打擊主機(jī),直到取得主機(jī)的辦理員權(quán)限。對搜集來的信息舉行分析,找到可以好效使用的信息。假如有現(xiàn)成的毛病可以使用,上網(wǎng)找到該毛病的打擊辦法,假如有打擊代碼就直接舉行COPY,用該代碼取得權(quán)限;假如沒有現(xiàn)成的毛病可以使用,就用依據(jù)搜集的信息嘗試推測用戶暗碼,另一方面嘗試研討分析其使用的體系,攫取分析出一個(gè)可使用的毛病。然后使用獲取的權(quán)限在主機(jī)上安裝后門、跳板、控制端、監(jiān)督器等等,清晰日志、進(jìn)入盤算機(jī)完成職責(zé)。
——木馬類病毒:
木馬類病毒是特定的編寫步驟,將控制步驟計(jì)生于被控制的盤算機(jī)體系中,里應(yīng)外合,對被影響木馬病毒的盤算機(jī)實(shí)行利用。尋常的木馬病毒步驟主要是尋覓盤算機(jī)后門,乘機(jī)盜取被控盤算機(jī)中暗碼和緊張文件等。木馬病毒可對被控盤算機(jī)實(shí)行監(jiān)控、材料修正等不法利用。同時(shí),木馬病毒具有潛伏性、詐騙性、頑固性、危害性等特點(diǎn)。
木馬病毒基于客戶端和辦事端的通訊、監(jiān)控步驟。客戶端的步驟用于黑客長程控制,可以發(fā)射控制下令,吸收辦事端傳來的消息。辦事端步驟運(yùn)轉(zhuǎn)在被控制盤算機(jī)上,尋常隱蔽在被控盤算機(jī)中,可以吸收客戶端發(fā)來的下令并實(shí)行,將客戶端必要的信息發(fā)回。推理可看出木馬病毒可發(fā)作的必要條件是客戶端和辦事端必需創(chuàng)建起基于IP地點(diǎn)和端標(biāo)語的網(wǎng)絡(luò)通訊。潛藏在辦事端的木馬步驟一旦被觸發(fā)實(shí)行,就會不休將通訊的IP地點(diǎn)和端標(biāo)語發(fā)送給客戶端。客戶端使用辦事端木馬步驟通訊的IP地點(diǎn)和端標(biāo)語,在客戶端和辦事端創(chuàng)建起一個(gè)通訊鏈路。客戶端的黑客便可以使用這條通訊鏈路來控便辦事端的盤算機(jī)。木馬病毒的打擊辦法尋常為向目標(biāo)群發(fā)垂綸郵件,勾引用戶掀開附件;U盤影響;盤算機(jī)體系的.lnk毛病、Windows鍵盤文件毛病、打印緩沖毛病等。
03 “污名遠(yuǎn)揚(yáng)”的病毒清點(diǎn)
現(xiàn)如今,電腦已被運(yùn)用到各行各業(yè)中,盤算機(jī)和盤算機(jī)網(wǎng)絡(luò)以前成為人們生存中緊張的構(gòu)成局部,而病毒會對盤算機(jī)數(shù)據(jù)的毀壞和竄改,偷取會形成嚴(yán)峻的網(wǎng)絡(luò)與數(shù)據(jù)寧靜成績,影響使用效益。那么盤算機(jī)病毒有哪些危害,以下舉行了擺列:
◆引發(fā)病毒會形成危害的角度:大局部盤算機(jī)病毒被引發(fā)后會直接毀壞盤算機(jī)的緊張數(shù)據(jù)、緊張信息,會直接毀壞CMOS設(shè)置大概刪除緊張文件,會格式化磁盤大概改寫目次去,會用“渣滓”數(shù)據(jù)來改寫文件等;
◆斲喪內(nèi)存危害的角度:很多病毒在活動形態(tài)下是常駐內(nèi)存的,一些文件型病毒在短時(shí)間內(nèi)可以影響多量文件,每個(gè)文件都市舉行不同水平的加長,因此會形成磁盤空間的嚴(yán)峻糜費(fèi);
◆對用戶的心思壓力危害:盤算機(jī)病毒形成的影響及心思壓力甚廣,時(shí)候會使用戶擔(dān)心蒙受了病毒的入侵,但有些情況約莫也僅僅是盤算機(jī)的正常征象(如:死機(jī)、運(yùn)轉(zhuǎn)特別等),由于用戶對病毒的恐驚會使其猜疑種了盤算機(jī)病毒的入侵。以是,盤算機(jī)病毒給用戶心思帶來的壓力是很緊張的危害后果,必要深入熟悉污名遠(yuǎn)揚(yáng)的盤算機(jī)病毒,才干建盛情理防地。
以下為對汗青上一些“污名遠(yuǎn)揚(yáng)”病毒的先容:
Flame病毒
■Flame病毒:一種后門步驟和木馬病毒,同時(shí)具有蠕蟲病毒(即:以網(wǎng)絡(luò)和電子郵件為主要轉(zhuǎn)達(dá)途徑舉行復(fù)制和轉(zhuǎn)達(dá))的特點(diǎn),只需操控者發(fā)射指令就能自我復(fù)制;
■打擊情勢:監(jiān)測網(wǎng)絡(luò)流量、獲取截屏畫面、記灌音頻對話、截取鍵盤輸入等,并將數(shù)據(jù)傳送至操控者手中;
■盤算機(jī)影響展現(xiàn)的現(xiàn)狀:主動分析本身網(wǎng)絡(luò)流量紀(jì)律、主動灌音、主動記任命戶暗碼、主動紀(jì)錄敲鍵盤紀(jì)律等,并統(tǒng)統(tǒng)打包發(fā)送給長程操控病毒辦事器;
■Flame病毒特性:繁復(fù)性(即:使用5種不同加密算法 、3種不同緊縮武藝和最少5種不同的文件格式、使用Lua言語編寫代碼)、選擇性(即:對打擊目標(biāo)具有選擇性)、埋伏性;
■Flame病毒搜集數(shù)據(jù)使用介質(zhì):如鍵盤、屏幕、麥克風(fēng)、挪動存儲裝備、網(wǎng)絡(luò)、Wi-Fi、藍(lán)牙、USB和體系歷程等;
■盤算機(jī)對否已影響Flame病毒 :
(一)搜刮盤算機(jī)對否存在~DEB93D.tmp文件(如存在則約莫影響了Flame病毒);
(二)反省注冊表HKLMSYSTEM\_CurrentControlSet\Control\Lsa\Authentication Packages,如發(fā)覺mssecmgr.ocx或authpack.ocx,則分析盤算機(jī)已被影響;
(三)假如在%windir%\system32\目次下發(fā)覺以下任一文件,也能分析盤算機(jī)約莫被影響:mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys。……
MSN性感雞病毒:
■MSN:全稱Microsoft Service Network(微軟公司旗下的流派網(wǎng)站);
■病毒屬性:是一種蠕蟲病毒;
■影響癥狀:體系主動跳出燒雞圖片、開釋名為rbot后門步驟、盤算機(jī)調(diào)制靜音形式、登錄MSN主動給好友發(fā)送郵件等;
■MSN小尾巴(Worm.MSNFunny):事后發(fā)送一條網(wǎng)站傾銷消息,接著再發(fā)送一個(gè)病毒抄本,用戶在不知情的情況下,一旦運(yùn)轉(zhuǎn)了發(fā)送來的病毒抄本,就會招致中毒;
■轉(zhuǎn)達(dá)特點(diǎn):(一)必要使用及時(shí)通訊東西MSN舉行轉(zhuǎn)達(dá);(二)使用微軟三大毛病(即:WebDay毛病、打擊波毛病、震蕩波毛病);(三)該病毒可破剖解系弱口令(如:111、ABC、123等);
■病毒應(yīng)對辦法:可在任責(zé)辦理器里把winhost.exe、winis.exe、msnus.exe、dnsserv.exe完畢,再到注冊表把win32=winhost.exe刪除。
千年蟲病毒:
■千年蟲病毒:是盤算機(jī)體系的時(shí)間變動成績,由早前盤算機(jī)的計(jì)劃毛病惹起,該毛病在盤算機(jī)更普及的東方國度影響范圍更大;
■病毒由來:由從前的利用體系開發(fā)者為了節(jié)流存儲空間所招致(如:紀(jì)錄時(shí)間使用兩位紀(jì)錄法,招致如今為2000年,在盤算機(jī)看來還處在1900年);
■病毒最早顯現(xiàn)時(shí)間:1999年4月9日開頭顯現(xiàn)(即:接納兩位紀(jì)錄法,數(shù)字串99表現(xiàn)文件完畢、永世性過時(shí)、刪除等涵義。盤算機(jī)刪除文件時(shí)會把碰到99等數(shù)字串推斷為過時(shí)文件實(shí)行了刪除利用);
■應(yīng)對辦法:公道使用軟件工程學(xué)(包含:方案、需求分析、計(jì)劃、編碼、測試、運(yùn)營、評價(jià)等)。
極虎病毒:
■發(fā)作時(shí)間:2010年春節(jié)放假之前顯現(xiàn)并在2月8日全盤發(fā)作;
■病毒屬性:殽雜病毒(由磁碟機(jī)、AV落幕者、中華吸血鬼、貓廯下載器為一體的殽雜病毒)。(一)磁碟機(jī)病毒(dummycom病毒):2007年顯現(xiàn)的一種蠕蟲病毒,影響用戶的EXE文件,毀壞力不強(qiáng)、但更新頻次很快;(二)AV落幕者(別名爬蟲):是一系列毀壞體系寧靜形式、植入木馬下載水平的病毒,意在反擊殺毒軟件;(三)中華吸血鬼:主要經(jīng)過網(wǎng)頁掛馬和U盤轉(zhuǎn)達(dá),侵入用戶體系之后可以關(guān)閉多種殺毒軟件,并下載多量病毒,毀壞體系文件;(四)貓廯下載器病毒:盤算機(jī)在影響病毒時(shí)會極約莫率伴隨網(wǎng)游賬號被盜征象,對用戶的假造產(chǎn)業(yè)影響宏大;
■病毒特點(diǎn):附帶病毒品種最多、清晰難度最高、毀壞體系水平最大、轉(zhuǎn)達(dá)辦法最特別、可形成反復(fù)影響、擁有自保護(hù)驅(qū)動反抗殺毒軟件、病毒持續(xù)更新、可影響盤算機(jī)一切可實(shí)行文件;
l轉(zhuǎn)達(dá)途徑:(一)網(wǎng)頁掛馬,可使用0day等毛病廣泛轉(zhuǎn)達(dá);(二)U盤、手機(jī)、數(shù)碼相機(jī)等挪動裝備;(三)局域網(wǎng),經(jīng)過局域網(wǎng)共享缺陷以及弱口令舉行內(nèi)網(wǎng)浸透;(四)軟件捆綁及詐騙下載;(五)影響的網(wǎng)頁文件;(六)可實(shí)行文件;(七)緊縮文件;(八)體系文件夾中創(chuàng)建usp10.dll和lpk.dll;(九)交換正常辦事,如:appmgmts.dll、qmgr.dll、xmlprov.dll等;(十)刪除主步驟(如:booter.exe),創(chuàng)建后門,使用iexplore.exe重新下載;
■影響癥狀:開機(jī)提示體系文件喪失、殺毒軟件沒效(無法主動防守)、盤算機(jī)十分卡頓(體系運(yùn)轉(zhuǎn)速率變慢、CPU占用了比力高)、桌面IE圖標(biāo)被影響、反復(fù)報(bào)毒等;
■反叛辦法:毀壞體系文件、交換體系文件、打擊種種殺毒軟件、影響一切可實(shí)行文件、聯(lián)網(wǎng)下載多量盜號/傾銷類軟件等;
■應(yīng)對辦法:(一)防備為主。如:安裝殺毒軟件、不欣賞不康健或可疑網(wǎng)站、持續(xù)反省步驟舉行掃毒、不隨意下載軟件等;(二)硬盤格式化:如影響已到達(dá)很嚴(yán)峻水平,需將整個(gè)硬盤格式化后使用光盤重裝體系。
(本文作者:杭州美創(chuàng)科技僅限公司 王澤)
版權(quán)聲明:本文來自互聯(lián)網(wǎng)整理發(fā)布,如有侵權(quán),聯(lián)系刪除
原文鏈接:http://m.avtt22014.comhttp://m.avtt22014.com/shenghuojineng/36776.html