惡意代碼概述

惡意代碼概述劉功申上海交通大學信息安全工程學院本章學習目標明確惡意代碼的基本概念了解惡意代碼的發(fā)展歷史熟悉惡意代碼的分類熟悉惡意代碼的命名規(guī)則了解惡意代碼的未來發(fā)展趨勢主要內(nèi)容為什么提出惡意代碼的概念？惡意代碼定義惡意代碼的發(fā)展歷史惡意代碼的種類惡意代碼傳播途徑染毒計算機的癥狀惡意代碼的命名規(guī)則最新發(fā)展趨勢為什么提出惡意代碼的概念？過時的計算機病毒定義國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》，以及公安部出臺的《計算機病毒防治管理辦法》將計算機病毒均定義如下：計算機病毒是指，編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。為什么提出惡意代碼的概念？惡意代碼比計算機病毒的概念更加寬泛惡意代碼更適應信息安全發(fā)展的需要惡意代碼的提出也符合法律界人士的觀點根據(jù)我國的法律木馬不屬于計算機病毒，法律界定模糊惡意代碼定義惡意代碼的概念惡意代碼-malicioussoftware-Malware《Malware:FightingMaliciousCode》中，惡意代碼定義：運行在目標計算機上，使系統(tǒng)按照攻擊者意愿執(zhí)行任務的一組指令。維基百科定義：惡意代碼是在未被授權的情況下，以破壞軟硬件設備、竊取用戶信息、擾亂用戶心理、干擾用戶正常使用為目的而編制的軟件或代碼片斷。這個定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個軟件被看作是惡意代碼主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征

惡意代碼將包括計算機病毒（computervirus），蠕蟲（worm），特洛伊木馬（trojanhorses），rootkits，間諜軟件（spyware），惡意廣告（dishonestadware），流氓軟件（crimeware），邏輯炸彈（logicboom），后門（backdoor），僵尸網(wǎng)絡（botnet），網(wǎng)絡釣魚（phishing），惡意腳本（malicescript），垃圾信息（spam），智能終端惡意代碼（malwareinintelligentterminaldevice）等惡意的或討厭的軟件。

惡意代碼的特征目的性惡意代碼的基本特征。判斷惡意代碼的主要依據(jù)。傳播性傳播性是惡意代碼體現(xiàn)其生命力的重要手段。

破壞性破壞性是惡意代碼的表現(xiàn)手段。

惡意代碼的發(fā)展歷史惡意代碼的發(fā)展歷史卡巴斯基實驗室的高級研究師DavidEmm研究獲悉，到2008年底為止，全球大約存在各種惡意代碼1,400,000個。在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復雜自動裝置的理論及組識的進行》里，就已經(jīng)勾勒出了病毒程序的藍圖。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構思出了計算機病毒的概念。美國電話電報公司(AT&T)的貝爾實驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)corewar”博士論文的主題是計算機病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了

Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導區(qū)1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。視窗病毒1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。肇事者-RobertT.Morris,美國康奈爾大學學生，其父是美國國家安全局安全專家。機理-利用sendmail,finger等服務的漏洞，消耗CPU資源，并導致拒絕服務。影響-Internet上大約6000臺計算機感染，占當時Internet聯(lián)網(wǎng)主機總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應付類似事件。莫里斯蠕蟲（MorrisWorm）1988年1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包括中國）造成了極大損失。全球流行DOS病毒伊拉克戰(zhàn)爭中的病毒-AF/91（1991）在沙漠風暴行動的前幾周，一塊被植入病毒的計算機芯片被安裝進了伊拉克空軍防衛(wèi)系統(tǒng)中的一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中的一些Windows系統(tǒng)主機以及大型計算機，據(jù)說非常成功。宏病毒1996年，出現(xiàn)針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。蠕蟲——病毒新時代1999年3月26日，出現(xiàn)一種通過因特網(wǎng)進行傳播的美麗莎病毒。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊服務器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡災害。記憶猶新的3年（2003-2005）2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設備的類型，自動把U盤里所有的資料都復制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網(wǎng)絡游戲的用戶信息，如果用戶通過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實際上是經(jīng)過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡游戲及網(wǎng)絡銀行的賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警惕。2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預警中心監(jiān)測的數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)的17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)的9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)的2.95%，監(jiān)測發(fā)現(xiàn)漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術對抗的階段。Cnnic3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網(wǎng)絡釣魚）近幾年來的重大損失

年份攻擊行為發(fā)起者受害PC數(shù)目損失金額(美元)2006木馬和惡意軟件————2005木馬————2004Worm_Sasser(震蕩波)————2003Worm_MSBLAST(沖擊波)超過140萬臺——2003SQLSlammer超過20萬臺9.5億至12億2002Klez超過6百萬臺90億2001RedCode超過1百萬臺26億2001NIMDA超過8百萬臺60億2000LoveLetter——88億1999CIH超過6千萬臺近100億惡意代碼的種類1普通計算機病毒計算機病毒是指，編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。傳統(tǒng)意義上的計算機病毒主要包括：引導區(qū)型病毒文件型病毒混合型病毒

2蠕蟲蠕蟲(Worm)是作為惡意代碼的一種，它的傳播通常不需要所謂的激活。它通過分布式網(wǎng)絡來散播特定的信息或錯誤，進而造成網(wǎng)絡服務遭到拒絕并發(fā)生死鎖。典型代表：紅色代碼尼姆達SQL蠕蟲王3特洛伊木馬特洛伊木馬是一種與遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡控制用戶計算機系統(tǒng)并且可能造成用戶的信息損失、系統(tǒng)損壞甚至癱瘓的程序。典型代表BO2K冰河灰鴿子

4Rootkit工具rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。一個典型rootkit包括：網(wǎng)絡嗅探程序特洛伊木馬程序隱藏攻擊者的目錄和進程的程序日志清理工具。

5流氓軟件流氓軟件是指具有一定的實用價值但具備電腦病毒和黑客的部分行為特征的軟件。它處在合法軟件和電腦病毒之間的灰色地帶，他會使你無法卸載、并強行彈出廣告和竊取用戶的私人信息等危害。流氓軟件是介于病毒和正規(guī)軟件之間的軟件，同時具備正常功能(下載、媒體播放等)和惡意行為(彈廣告、開后門)，給用戶帶來實質(zhì)危害。它們往往采用特殊手段頻繁彈出廣告窗口，危及用戶隱私，嚴重干擾用戶的日常工作、數(shù)據(jù)安全和個人隱私。流氓軟件的特征：（1）采用多種社會和技術手段，強行或者秘密安裝，并抵制卸載；（2）強行修改用戶軟件設置，如瀏覽器主頁，軟件自動啟動選項，安全選項；（3）強行彈出廣告，或者其他干擾用戶并占用系統(tǒng)資源行為；（4）有侵害用戶信息和財產(chǎn)安全的潛在因素或者隱患；（5）未經(jīng)用戶許可，或者利用用戶疏忽，或者利用用戶缺乏相關知識，秘密收集用戶個人信息、秘密和隱私。6間諜軟件間諜軟件（Spyware）是一種能夠在計算機使用者無法察覺或給計算機使用者造成安全假相的情況下，秘密收集計算機信息的并把它們傳給廣告商或其他相關人的程序。

7惡意廣告惡意廣告（廣告軟件，Adware），通常包括間諜軟件的成分，也可以認為是惡意軟件。廣告軟件是指未經(jīng)用戶允許，下載并安裝或與其他軟件捆綁通過彈出式廣告或以其他形式進行商業(yè)廣告宣傳的程序。8邏輯炸彈邏輯炸彈（LogicBomb）是合法的應用程序，只是在編程時被故意寫入的某種“惡意功能”。作為某種版權保護方案，某個應用程序有可能會在運行幾次后就在硬盤中將其自身刪除；某個程序員有可能希望他的程序包含某些多余的代碼，以使程序運行時對某些系統(tǒng)產(chǎn)生惡意操作。在大的項目中，如果代碼檢查措施有限，被植入邏輯炸彈的可能性是很大的。9后門后門又稱為BackDoor，是指繞過安全性控制而獲取對程序或系統(tǒng)訪問權的方法。在軟件的開發(fā)階段，程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道，或是在發(fā)布軟件之前沒有被刪除，那么它就成了安全風險。10僵尸網(wǎng)絡僵尸網(wǎng)絡（Botnet）是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡。網(wǎng)絡中被寄宿了bot程序的主機就是熟知的“肉雞”

11網(wǎng)絡釣魚網(wǎng)絡釣魚（Phishing是Phone和fishing的組合詞?，與釣魚的英語fishing?發(fā)音相近，又名釣魚法或釣魚式攻擊）是通過大量發(fā)送聲稱來自于權威機構的欺騙性信息來引誘信息接收者給出敏感信息（如用戶名、口令、帳號ID、ATMPIN碼、信用卡等）的一種攻擊方式。

網(wǎng)絡釣魚是“社會工程攻擊”的一種具體表現(xiàn)形式。

12惡意腳本惡意腳本是指利用腳本語言編寫的以危害或者損害系統(tǒng)功能、干擾用戶正常使用為目的任何腳本程序或片斷?？梢杂糜趯崿F(xiàn)惡意腳本的腳本語言包括Java攻擊小程序（Javaattackapplets）、ActiveX控件、JAVAScript、VBScript、PHP、Shell語言等。惡意腳本的危害不僅僅體現(xiàn)在修改用戶的機器配置方面，而且還可以作為傳播蠕蟲和木馬等惡意代碼的工具。13垃圾信息垃圾信息是指未經(jīng)用戶同意向用戶發(fā)送的用戶不愿意收到的信息，或用戶不能根據(jù)自己的意愿拒絕接收的信息，主要包含未經(jīng)用戶同意向用戶發(fā)送的商業(yè)類、廣告類、違法類、不良信息類等信息。垃圾信息分類：垃圾短信息，是指在手機上傳播的垃圾信息；垃圾郵件，是指通過電子郵件傳播的垃圾信息；即時垃圾信息，是指在即時消息通訊工具上傳播的垃圾信息；此外，最近還出現(xiàn)了博客垃圾信息、搜索引擎垃圾信息等概念。14移動終端惡意代碼移動終端惡意代碼是對移動終端各種病毒的廣義稱呼，它包括以移動終端為感染對象而設計的普通病毒、木馬等。移動終端惡意代碼以移動終端為感染對象，以移動終端網(wǎng)絡和計算機網(wǎng)絡為平臺，通過無線或有線通訊等方式，對移動終端進行攻擊，從而造成移動終端異常的各種不良程序代碼。

惡意代碼傳播途徑惡意代碼的傳播主要通過文件拷貝、文件傳送、文件執(zhí)行等方式進行，文件拷貝與文件傳送需要傳輸媒介，因此，惡意代碼的擴散與傳輸媒體的變化有著直接關系。切斷傳播途徑是防范惡意代碼的重要手段之一。1軟盤軟盤作為最常用的交換媒介，在計算機應用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導機器時，引導區(qū)病毒會在軟盤與硬盤引導區(qū)內(nèi)互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災難。3、硬盤（含移動硬盤、USB）帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。4Internet網(wǎng)絡--〉惡意代碼傳播的加速器網(wǎng)絡病毒技術社區(qū)集體攻擊病毒

蠕蟲病毒特洛伊木馬黑客技術腳本病毒郵件病毒病毒源碼發(fā)布網(wǎng)絡服務--〉促進惡意代碼傳播

電子布告欄（BBS）：電子郵件（Email）：即時消息服務（QQ,ICQ,MSN等）：WEB服務：

FTP服務：新聞組：5

無線通訊系統(tǒng)病毒對手機的攻擊有3個層次：攻擊WAP服務器，使手機無法訪問服務器；攻擊網(wǎng)關，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統(tǒng)和運行程序進行攻擊，使手機無法提供服務。染毒計算機的癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障1、發(fā)作前的現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常啟動運行速度明顯變慢以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常無意中要求對軟盤進行寫操作以前能正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網(wǎng)絡驅動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子函件2、發(fā)作時的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍進行游戲算法Windows桌面圖標發(fā)生變化計算機突然死機或重啟自動發(fā)送電子郵件鼠標自己在動3、發(fā)作后的現(xiàn)象硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改Autoexec.bat文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡癱瘓，無法提供正常的服務4、與病毒現(xiàn)象類似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導過程故障用不同的編輯軟件程序5、與病毒現(xiàn)象類似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅故障關于CMOS的問題惡意代碼的命名規(guī)則CARO規(guī)則CARO命名規(guī)則，每一種病毒的命名包括五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點命名不用公司或商標命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類舉例：

精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時能奏樂，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中的第一個變種。

業(yè)界補充：反病毒軟件商們通常在CARO命名的前面加一個前綴來標明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。VGREPVGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱通過某種方法關聯(lián)起來，其目的是不管什么樣的掃描軟件都能按照可被識別的名稱鏈進行掃描。VGrep將病毒文件讀入并用不同的掃描器進行掃描，掃描的結果和被識別出的信息放入數(shù)據(jù)庫中。每一個掃描器的掃描結果與別的掃描結果相比較并將結果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個最通用的名字最為代表名字。擁有成千上萬掃描器的大型企業(yè)集團要求殺毒軟件供應商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒的一致性很有幫助。最新發(fā)展趨勢發(fā)展趨勢網(wǎng)絡化發(fā)展專業(yè)化發(fā)展簡單化發(fā)展多樣化發(fā)展自動化發(fā)展犯罪化發(fā)展相關資源1.Wildlist國際組織http://該網(wǎng)站維護世界各地發(fā)現(xiàn)的病毒列表。網(wǎng)站負責維護這個列表，并且按月打包供用戶下載。此外，網(wǎng)站上還有一些計算機病毒方面的學術論文。2.病毒公告牌http://對于任何關心惡意代碼和垃圾信息防護、檢測和清除的人來說，病毒公告在線雜志是一個必不可少的參考。逐日逐月地，病毒公告牌提供如下信息：1)來自于反惡意代碼業(yè)界的發(fā)人深省的新聞和觀點2)最新惡意代碼威脅的詳細分析3)探索反惡意代碼技術開發(fā)的長篇文檔4)反惡意代碼專家的會見5)對當前反病毒產(chǎn)品的獨立評