計(jì)算機(jī)惡意代碼與防護(hù)

5計(jì)算機(jī)惡意代碼與防護(hù)

惡意代碼（Maliciouscode）或者叫惡意軟件（Malware：MaliciousSoftware）是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。

亨達(dá)通信惡意代碼的發(fā)展史2001年，國信安辦與公安部共同主辦了我國首次計(jì)算機(jī)病毒疫情網(wǎng)上調(diào)查工作。結(jié)果感染過計(jì)算機(jī)病毒的用戶高達(dá)63％，其中，感染三次以上的用戶又占59％多，網(wǎng)絡(luò)安全存在大量隱患。2001年8月，“紅色代碼”CodeRed蠕蟲利用微軟Web服務(wù)器IIS4.0或5.0中Index服務(wù)的安全漏洞，攻破目標(biāo)機(jī)器，并通過自動掃描方式傳播蠕蟲，在互聯(lián)網(wǎng)上大規(guī)模泛濫。2003年1月，SQLSLammer

蠕蟲導(dǎo)致互聯(lián)網(wǎng)90％脆弱主機(jī)受到感染。同年8月，“沖擊波”Blaster蠕蟲爆發(fā)，8天內(nèi)導(dǎo)致全球大量用戶電腦受影響。亨達(dá)通信惡意代碼的發(fā)展史2004年到2006年，振蕩波蠕蟲、波特后門等惡意代碼利用電子郵件和系統(tǒng)漏洞對網(wǎng)絡(luò)主機(jī)進(jìn)行瘋狂傳播，給國家和社會造成了巨大的經(jīng)濟(jì)損失。目前，網(wǎng)絡(luò)木馬等惡意代碼問題成為信息安全需要解決的，迫在眉睫的、刻不容緩的安全問題。亨達(dá)通信本章主要內(nèi)容

計(jì)算機(jī)惡意代碼的主要類型計(jì)算機(jī)惡意代碼分析常見惡意代碼感染跡象與處理計(jì)算機(jī)惡意代碼防護(hù)計(jì)算機(jī)惡意代碼攻防應(yīng)用實(shí)例防病毒系統(tǒng)亨達(dá)通信5.1計(jì)算機(jī)惡意代碼的主要類型按傳播方式，惡意代碼可以分成五類：病毒、木馬、蠕蟲、間諜軟件和移動代碼。

(1)病毒病毒一般都具有自我復(fù)制的功能，同時，它們還可以把自己的副本分發(fā)到其他文件、程序或電腦中去。病毒一般鑲嵌在主機(jī)的程序中，當(dāng)被感染文件執(zhí)行操作的時候（例如：打開一個文件，運(yùn)行一個程序，點(diǎn)擊郵件的附件等），病毒就會自我繁殖。由于設(shè)計(jì)者的目的不同，病毒也擁有不同的功能，一些病毒只是用于惡作劇，而另一些則是以破壞為目的，還有一些病毒表面上看是惡作劇病毒，但實(shí)際上隱含破壞功能。亨達(dá)通信

(2)特洛伊木馬

特洛伊木馬從表面上看沒有什么，但是實(shí)際上卻隱含著惡意意圖。一類木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時它可以攜帶惡意代碼，還有一類木馬會以一個軟件的身份出現(xiàn)（例如：一個可供下載的游戲），但它實(shí)際上是一個竊取密碼的工具。這種病毒通常不容易被發(fā)現(xiàn)，因?yàn)樗话闶且砸粋€正常的應(yīng)用的身份在系統(tǒng)中運(yùn)行的。特洛伊木馬可以分為以下三個模式：●通常潛伏在正常的程序應(yīng)用中，附帶執(zhí)行獨(dú)立的惡意操作;●通常潛伏在正常的程序應(yīng)用中，但是會修改正常的應(yīng)用進(jìn)行惡意操作;●完全覆蓋正常的程序應(yīng)用，執(zhí)行惡意操作。

亨達(dá)通信

(3)蠕蟲

是一種可以自我復(fù)制的完全獨(dú)立的程序，它可以通過信息系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自身傳播。蠕蟲的自我復(fù)制不象其他的病毒，它可以自動創(chuàng)建與它的功能完全相同的副本，并在沒人干涉的情況下自動運(yùn)行。蠕蟲是通過系統(tǒng)存在的漏洞和設(shè)置的不安全性（例如：設(shè)置共享）來進(jìn)行入侵的。它的自身特性可以使它以及快的速度傳輸（在幾秒中內(nèi)從地球的一端傳送到另一端）。其中比較典型的有Blaster和SQLSlammer。

SQLSlammer(2003年1月)該病毒利用SQLSERVER2000的解析端口1434的緩沖區(qū)溢出漏洞對其服務(wù)進(jìn)行攻擊，全球超過50萬臺服務(wù)器被攻擊。

亨達(dá)通信

Blaster(2003年8月)：“沖擊波”這個利用微軟RPC(遠(yuǎn)程過程調(diào)用協(xié)議,對應(yīng)于135、139、445等端口)漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶，使他們的計(jì)算機(jī)無法工作并反復(fù)重啟，大量企業(yè)用戶也未能幸免。該病毒還引發(fā)了DOS攻擊，使多個國家的互聯(lián)網(wǎng)也受到相當(dāng)影響。亨達(dá)通信

(4)間諜軟件

“間諜軟件”其實(shí)是一個灰色區(qū)域，所以并沒有一個明確的定義。然而，正如同名字所暗示的一樣，它通常被泛泛的定義為從計(jì)算機(jī)上搜集信息，并在未得到該計(jì)算機(jī)用戶許可（即用戶不知情的情況下）時便將信息傳遞到第三方的軟件，包括監(jiān)視擊鍵，搜集機(jī)密信息（密碼、信用卡號、PIN碼等），獲取電子郵件地址，跟蹤瀏覽習(xí)慣等。間諜軟件還有一個副產(chǎn)品，在其影響下這些行為不可避免的影響網(wǎng)絡(luò)性能，減慢系統(tǒng)速度，進(jìn)而影響整個商業(yè)進(jìn)程。通常這些信息會被傳給廣告商或其他相關(guān)人員。亨達(dá)通信

(5)移動代碼

移動代碼是能夠從主機(jī)傳輸?shù)娇蛻舳擞?jì)算機(jī)上并執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木馬的一部分被傳送到客戶計(jì)算機(jī)上的。另外，移動代碼可以利用系統(tǒng)的漏洞進(jìn)行入侵，例如非法的數(shù)據(jù)訪問和盜取root帳號。通常用于編寫移動代碼的工具包括Javaapplets、ActiveX、JavaScript和VBScript。移動代碼另外兩個比較常見的名稱是“網(wǎng)頁木馬”或“網(wǎng)頁惡意代碼”。亨達(dá)通信5.2計(jì)算機(jī)惡意代碼分析

如何發(fā)現(xiàn)系統(tǒng)中有惡意代碼呢？雖然有許多反病毒工具可以報警，但對于一些新出現(xiàn)的惡意代碼，反病毒軟件也可能暫時無法識別，但我們可以通過一些事先的征兆加以注意。（1）平時運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)（2）操作系統(tǒng)無法正常啟動（3）運(yùn)行速度明顯變慢（4）正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足問題（5）無意中要求對U盤進(jìn)行寫操作（6）以往正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤（7）系統(tǒng)文件的時間、日期、大小發(fā)生變化亨達(dá)通信（8）

硬盤讀寫時間明顯增加(頻繁讀寫硬盤)（9）

磁盤空間迅速減少（10）

網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。（11）

基本內(nèi)存發(fā)生變化。（12）

陌生人發(fā)來的電子郵件（13）自動鏈接到一些陌生的網(wǎng)站（14）系統(tǒng)中出現(xiàn)一些異常的TCP、UDP端口連接，網(wǎng)絡(luò)流量異常。亨達(dá)通信5.3常見惡意代碼感染跡象與處理(1)系統(tǒng)常見功能無法使用如：無法進(jìn)入桌面、IE瀏覽器無法正常使用、無法運(yùn)行任何可執(zhí)行程序、驅(qū)動器被隱藏等。“無法進(jìn)入桌面”的解決：一般這種情況下系統(tǒng)“任務(wù)管理器”的“運(yùn)行”功能還是可用的，可以從其他相同的操作系統(tǒng)中拷貝explorer.exe(即資源管理器)到當(dāng)前系統(tǒng)的系統(tǒng)目錄即可。IE瀏覽器無法正常使用：常見原因是瀏覽器主文件iexplore.exe文件被破壞，采用如上方法恢復(fù)即可，或是下載傲游Maxthon

、搜狗sogou、firefox（火狐）、Opera等瀏覽器暫時代用。亨達(dá)通信(2)被下載運(yùn)行木馬程序①瀏覽某些“被掛馬”的網(wǎng)站時，會被IE下載木馬程序并自動運(yùn)行。預(yù)防方法：①安裝最新系統(tǒng)補(bǔ)丁及最新版IE瀏覽器；②安裝防病毒程序等安全軟件。②下載的各類軟件中帶木馬。預(yù)防方法：盡量到到正規(guī)大型網(wǎng)站下載，下載到本機(jī)后先查殺病毒。亨達(dá)通信(3)注冊表被鎖定解決辦法：①下載超級兔子、Windows優(yōu)化大師等軟件進(jìn)行恢復(fù)；②注冊表中：“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”中的一個鍵名叫“DisableRegistryTools”的十六進(jìn)制的值由1改為0，1為禁止，0為允許。利用記事本等新建一個文件：REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]保存為enable.reg后執(zhí)行即可。亨達(dá)通信(4)IE瀏覽器被惡意修改如修改默認(rèn)主頁、IE標(biāo)題欄、IE右鍵、IE地址欄；或是彈出廣告對話框等，一般都可以通過修改注冊表選項(xiàng)進(jìn)行恢復(fù)，具體見“IE瀏覽器被惡意修改及解決方案.doc”。實(shí)際使用中多是通過超級兔子、Windows優(yōu)化大師等軟件實(shí)現(xiàn)恢復(fù)。亨達(dá)通信5.4計(jì)算機(jī)惡意代碼防護(hù)近來新型惡意代碼多是基于系統(tǒng)漏洞(包括瀏覽器漏洞)的，因此主要結(jié)合系統(tǒng)安全加固、安全軟件及其他安全技術(shù)進(jìn)行綜合防護(hù)。①操作系統(tǒng)和應(yīng)用程序要及時打補(bǔ)丁，更新為最新的版本。②正確使用防病毒軟件，及時更新病毒庫代碼，同時配合木馬及病毒專殺工具。③使用防火墻及其他訪問控制工具將惡意代碼利用的服務(wù)和端口進(jìn)行封堵。④關(guān)閉惡意代碼利用的客戶端功能，如在IE瀏覽器中禁行未標(biāo)識安全或未簽名的ActiveX插件執(zhí)行腳本。⑤利用郵件病毒網(wǎng)關(guān)檢測郵件惡意代碼的傳播。⑥通過部署入侵檢測系統(tǒng)等實(shí)時監(jiān)控網(wǎng)絡(luò)內(nèi)是否有惡意代碼攻擊的異?，F(xiàn)象。亨達(dá)通信5.5計(jì)算機(jī)惡意代碼攻防應(yīng)用實(shí)例（1）SOLA病毒演示、預(yù)防及處理

SOLA病毒,也稱之為“宅男病毒”、worm.script.bat.Agent、Trojan.Win32.Sola病毒，是近兩三年影響較為廣泛惡意代碼。病毒會感染用戶近期打開過的(DOC，TXT，JPG)文件，使之全部變成EXE文件，該病毒主要通過U盤等移動存儲介質(zhì)傳播。演示過程：拷貝病毒到虛擬機(jī)執(zhí)行，然后進(jìn)行分析。運(yùn)行:msconfig后，會看到病毒啟動項(xiàng)如下：右鍵--編輯--開始菜單--啟動項(xiàng)中的SOLA.VBS文檔：通過任務(wù)管理可以看到sleep.exe進(jìn)程。亨達(dá)通信由該VBS文檔可看出該病毒藏身于:C:\WINDOWS\Fonts\HIDESE~1\文件夾，從資源管理器進(jìn)入Fonts文件夾，沒有發(fā)現(xiàn)HIDESE~1目錄，因?yàn)樵撃夸洷辉O(shè)置為隱藏，從命令行進(jìn)入Fonts目錄，運(yùn)行dir/a后發(fā)現(xiàn)該文件夾。使用cd

命令無法進(jìn)入該文件夾，因?yàn)槠涫褂昧嘶挝募A名稱。使用explorerhideself...\命令可查看該文件夾內(nèi)容；使用rmdir

hideself...\/s命令可刪除該文件夾（也可通過工具軟件刪除該畸形文件夾）。手動清除該病毒的方法：①清除msconfig中的啟動項(xiàng)；②刪除開始菜單—啟動中的啟動項(xiàng)；③刪除C:\WINDOWS\Fonts\HIDESE~1目錄。亨達(dá)通信預(yù)防該類病毒較為有效的系統(tǒng)設(shè)置措施：將資源管理設(shè)置為：（2）文件夾病毒該病毒也是常見的U盤