計算機惡意代碼與防護

5計算機惡意代碼與防護

惡意代碼（Maliciouscode）或者叫惡意軟件（Malware：MaliciousSoftware）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。

亨達通信惡意代碼的發(fā)展史2001年，國信安辦與公安部共同主辦了我國首次計算機病毒疫情網(wǎng)上調查工作。結果感染過計算機病毒的用戶高達63％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡安全存在大量隱患。2001年8月，“紅色代碼”CodeRed蠕蟲利用微軟Web服務器IIS4.0或5.0中Index服務的安全漏洞，攻破目標機器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年1月，SQLSLammer

蠕蟲導致互聯(lián)網(wǎng)90％脆弱主機受到感染。同年8月，“沖擊波”Blaster蠕蟲爆發(fā)，8天內導致全球大量用戶電腦受影響。亨達通信惡意代碼的發(fā)展史2004年到2006年，振蕩波蠕蟲、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡主機進行瘋狂傳播，給國家和社會造成了巨大的經(jīng)濟損失。目前，網(wǎng)絡木馬等惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。亨達通信本章主要內容

計算機惡意代碼的主要類型計算機惡意代碼分析常見惡意代碼感染跡象與處理計算機惡意代碼防護計算機惡意代碼攻防應用實例防病毒系統(tǒng)亨達通信5.1計算機惡意代碼的主要類型按傳播方式，惡意代碼可以分成五類：病毒、木馬、蠕蟲、間諜軟件和移動代碼。

(1)病毒病毒一般都具有自我復制的功能，同時，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。病毒一般鑲嵌在主機的程序中，當被感染文件執(zhí)行操作的時候（例如：打開一個文件，運行一個程序，點擊郵件的附件等），病毒就會自我繁殖。由于設計者的目的不同，病毒也擁有不同的功能，一些病毒只是用于惡作劇，而另一些則是以破壞為目的，還有一些病毒表面上看是惡作劇病毒，但實際上隱含破壞功能。亨達通信

(2)特洛伊木馬

特洛伊木馬從表面上看沒有什么，但是實際上卻隱含著惡意意圖。一類木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時它可以攜帶惡意代碼，還有一類木馬會以一個軟件的身份出現(xiàn)（例如：一個可供下載的游戲），但它實際上是一個竊取密碼的工具。這種病毒通常不容易被發(fā)現(xiàn)，因為它一般是以一個正常的應用的身份在系統(tǒng)中運行的。特洛伊木馬可以分為以下三個模式：●通常潛伏在正常的程序應用中，附帶執(zhí)行獨立的惡意操作;●通常潛伏在正常的程序應用中，但是會修改正常的應用進行惡意操作;●完全覆蓋正常的程序應用，執(zhí)行惡意操作。

亨達通信

(3)蠕蟲

是一種可以自我復制的完全獨立的程序，它可以通過信息系統(tǒng)或計算機網(wǎng)絡進行自身傳播。蠕蟲的自我復制不象其他的病毒，它可以自動創(chuàng)建與它的功能完全相同的副本，并在沒人干涉的情況下自動運行。蠕蟲是通過系統(tǒng)存在的漏洞和設置的不安全性（例如：設置共享）來進行入侵的。它的自身特性可以使它以及快的速度傳輸（在幾秒中內從地球的一端傳送到另一端）。其中比較典型的有Blaster和SQLSlammer。

SQLSlammer(2003年1月)該病毒利用SQLSERVER2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務進行攻擊，全球超過50萬臺服務器被攻擊。

亨達通信

Blaster(2003年8月)：“沖擊波”這個利用微軟RPC(遠程過程調用協(xié)議,對應于135、139、445等端口)漏洞進行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶，使他們的計算機無法工作并反復重啟，大量企業(yè)用戶也未能幸免。該病毒還引發(fā)了DOS攻擊，使多個國家的互聯(lián)網(wǎng)也受到相當影響。亨達通信

(4)間諜軟件

“間諜軟件”其實是一個灰色區(qū)域，所以并沒有一個明確的定義。然而，正如同名字所暗示的一樣，它通常被泛泛的定義為從計算機上搜集信息，并在未得到該計算機用戶許可（即用戶不知情的情況下）時便將信息傳遞到第三方的軟件，包括監(jiān)視擊鍵，搜集機密信息（密碼、信用卡號、PIN碼等），獲取電子郵件地址，跟蹤瀏覽習慣等。間諜軟件還有一個副產(chǎn)品，在其影響下這些行為不可避免的影響網(wǎng)絡性能，減慢系統(tǒng)速度，進而影響整個商業(yè)進程。通常這些信息會被傳給廣告商或其他相關人員。亨達通信

(5)移動代碼

移動代碼是能夠從主機傳輸?shù)娇蛻舳擞嬎銠C上并執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木馬的一部分被傳送到客戶計算機上的。另外，移動代碼可以利用系統(tǒng)的漏洞進行入侵，例如非法的數(shù)據(jù)訪問和盜取root帳號。通常用于編寫移動代碼的工具包括Javaapplets、ActiveX、JavaScript和VBScript。移動代碼另外兩個比較常見的名稱是“網(wǎng)頁木馬”或“網(wǎng)頁惡意代碼”。亨達通信5.2計算機惡意代碼分析

如何發(fā)現(xiàn)系統(tǒng)中有惡意代碼呢？雖然有許多反病毒工具可以報警，但對于一些新出現(xiàn)的惡意代碼，反病毒軟件也可能暫時無法識別，但我們可以通過一些事先的征兆加以注意。（1）平時運行正常的計算機突然經(jīng)常性無緣無故地死機（2）操作系統(tǒng)無法正常啟動（3）運行速度明顯變慢（4）正常運行的軟件經(jīng)常發(fā)生內存不足問題（5）無意中要求對U盤進行寫操作（6）以往正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤（7）系統(tǒng)文件的時間、日期、大小發(fā)生變化亨達通信（8）

硬盤讀寫時間明顯增加(頻繁讀寫硬盤)（9）

磁盤空間迅速減少（10）

網(wǎng)絡驅動器卷或共享目錄無法調用。（11）

基本內存發(fā)生變化。（12）

陌生人發(fā)來的電子郵件（13）自動鏈接到一些陌生的網(wǎng)站（14）系統(tǒng)中出現(xiàn)一些異常的TCP、UDP端口連接，網(wǎng)絡流量異常。亨達通信5.3常見惡意代碼感染跡象與處理(1)系統(tǒng)常見功能無法使用如：無法進入桌面、IE瀏覽器無法正常使用、無法運行任何可執(zhí)行程序、驅動器被隱藏等。“無法進入桌面”的解決：一般這種情況下系統(tǒng)“任務管理器”的“運行”功能還是可用的，可以從其他相同的操作系統(tǒng)中拷貝explorer.exe(即資源管理器)到當前系統(tǒng)的系統(tǒng)目錄即可。IE瀏覽器無法正常使用：常見原因是瀏覽器主文件iexplore.exe文件被破壞，采用如上方法恢復即可，或是下載傲游Maxthon

、搜狗sogou、firefox（火狐）、Opera等瀏覽器暫時代用。亨達通信(2)被下載運行木馬程序①瀏覽某些“被掛馬”的網(wǎng)站時，會被IE下載木馬程序并自動運行。預防方法：①安裝最新系統(tǒng)補丁及最新版IE瀏覽器；②安裝防病毒程序等安全軟件。②下載的各類軟件中帶木馬。預防方法：盡量到到正規(guī)大型網(wǎng)站下載，下載到本機后先查殺病毒。亨達通信(3)注冊表被鎖定解決辦法：①下載超級兔子、Windows優(yōu)化大師等軟件進行恢復；②注冊表中：“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”中的一個鍵名叫“DisableRegistryTools”的十六進制的值由1改為0，1為禁止，0為允許。利用記事本等新建一個文件：REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]保存為enable.reg后執(zhí)行即可。亨達通信(4)IE瀏覽器被惡意修改如修改默認主頁、IE標題欄、IE右鍵、IE地址欄；或是彈出廣告對話框等，一般都可以通過修改注冊表選項進行恢復，具體見“IE瀏覽器被惡意修改及解決方案.doc”。實際使用中多是通過超級兔子、Windows優(yōu)化大師等軟件實現(xiàn)恢復。亨達通信5.4計算機惡意代碼防護近來新型惡意代碼多是基于系統(tǒng)漏洞(包括瀏覽器漏洞)的，因此主要結合系統(tǒng)安全加固、安全軟件及其他安全技術進行綜合防護。①操作系統(tǒng)和應用程序要及時打補丁，更新為最新的版本。②正確使用防病毒軟件，及時更新病毒庫代碼，同時配合木馬及病毒專殺工具。③使用防火墻及其他訪問控制工具將惡意代碼利用的服務和端口進行封堵。④關閉惡意代碼利用的客戶端功能，如在IE瀏覽器中禁行未標識安全或未簽名的ActiveX插件執(zhí)行腳本。⑤利用郵件病毒網(wǎng)關檢測郵件惡意代碼的傳播。⑥通過部署入侵檢測系統(tǒng)等實時監(jiān)控網(wǎng)絡內是否有惡意代碼攻擊的異?，F(xiàn)象。亨達通信5.5計算機惡意代碼攻防應用實例（1）SOLA病毒演示、預防及處理

SOLA病毒,也稱之為“宅男病毒”、worm.script.bat.Agent、Trojan.Win32.Sola病毒，是近兩三年影響較為廣泛惡意代碼。病毒會感染用戶近期打開過的(DOC，TXT，JPG)文件，使之全部變成EXE文件，該病毒主要通過U盤等移動存儲介質傳播。演示過程：拷貝病毒到虛擬機執(zhí)行，然后進行分析。運行:msconfig后，會看到病毒啟動項如下：右鍵--編輯--開始菜單--啟動項中的SOLA.VBS文檔：通過任務管理可以看到sleep.exe進程。亨達通信由該VBS文檔可看出該病毒藏身于:C:\WINDOWS\Fonts\HIDESE~1\文件夾，從資源管理器進入Fonts文件夾，沒有發(fā)現(xiàn)HIDESE~1目錄，因為該目錄被設置為隱藏，從命令行進入Fonts目錄，運行dir/a后發(fā)現(xiàn)該文件夾。使用cd

命令無法進入該文件夾，因為其使用了畸形文件夾名稱。使用explorerhideself...\命令可查看該文件夾內容；使用rmdir

hideself...\/s命令可刪除該文件夾（也可通過工具軟件刪除該畸形文件夾）。手動清除該病毒的方法：①清除msconfig中的啟動項；②刪除開始菜單—啟動中的啟動項；③刪除C:\WINDOWS\Fonts\HIDESE~1目錄。亨達通信預防該類病毒較為有效的系統(tǒng)設置措施：將資源管理設置為：（2）文件夾病毒該病毒也是常見的U盤