病毒分析复习笔记（一）计算机病毒概述

一、计算机病毒概述

1.1 什么是恶意程序

• 运行在目标计算机上，使系统按照攻击者意愿执行任务的一组指令
• 恶意程序是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片断

1.2 恶意程序类型

• 计算机病毒
• 蠕虫
• 特洛伊木马
• 隐遁工具（Rootkits）
• 间谍工具
• 恶意广告
• 流氓软件
• 逻辑炸弹
• 后门
• 僵尸网络
• 恶意脚本
• 垃圾信息
• 智能终端恶意代码

1.3 恶意程序特征

• 强制安装：未明确提示用户或未经用户许可，在用户计算机上安装软件
• 难以卸载：未提供通用的卸载方式，或卸载后仍然有活动程序
• 浏览器劫持：未经用户许可，修改用户浏览器设置，迫使用户访问特定网站或导致用户无法正常上网
• 广告弹出：未明确提示用户或未经用户许可，利用安装在用户计算机软件弹出广告
• 恶意收集用户信息：未明确提示用户或未经用户许可，恶意收集用户信息
• 恶意卸载：未明确提示用户或未经用户许可，或误导、欺骗用户卸载其它软件
• 恶意捆绑：在软件中捆绑已被认定为恶意软件
• 其它侵犯用户知情权、选择权的恶意行为

1.4 计算机病毒

1.4.1 计算机病毒的定义

• 1984,Dr. Frederick Cohen：“A virus is a program that is able to infect other programs by modifying them to include a possibly evolved copy of itself.”

• 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。——《1994中华人民共和国计算机信息系统安全保护条例》

• 人为制造的、能自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合

1.4.2 病毒结构

• 搜索部件：搜索感染目标文件
• 复制部件：将病毒体复制到目标文件中
• 抗检测部件：对抗或躲避杀毒软件检测
• 载体：破坏或其它目的

1.5 特洛伊木马

1.5.1 什么是特洛伊木马

• 通过特定的程序来访问与控制另一台计算机的恶意远程控制程序

1.5.2 木马程序结构

1.5.3 木马工作过程

1.5.4 木马类型

• 网游木马：记录用户键盘输入、用户的密码和帐号
• 网银木马：盗取用户的卡号、密码，甚至安全证书
• 下载类木马：从网络上下载其它病毒程序或安装广告软件
• 代理类木马：开启HTTP、SOCKS等代理服务功能，把受感染计算机作为跳板，以被感染用户的身份进行活动
• FTP木马：让被控制计算机成为FTP服务器
• 通讯软件类：发送消息型、盗号型、传播自身型
• 网页点击类：模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量
• Android木马：间谍软件Skygofree专为有针对性的监控

1.5.5 木马危害

窃取信息、远程监控：

• 盗取网游账号，威胁虚拟财产安全
• 盗取网银信息，威胁真实财产安全
• 利用即时通讯软件盗取身份，传播木马等不良程序
• 给电脑打开后门，使电脑被黑客控制

1.5.6 网页木马

1.5.6.1 什么是网页木马

• 伪装成普通网页文件或是将恶意代码插入到正常网页文件中，当被访问时，网页木马利用系统或者浏览器的漏洞，自动将配置好的木马服务端程序下载到访问者的系统并自动执行

1.5.6.2 挂马危害

主要有4种恶行：

• 推装软件：电脑会出现一些未曾安装的软件
• 植入挖矿：用户网络带宽会被严重占用，出现运行卡慢，被利用来收集门罗币牟利
• 截取在线平台交易：当用户在使用购物网站等软件进行交易时，会劫持交易，将用户资金转入特定帐户
• 远控木马：利用用户电脑下载其它远程控制木马，实现对电脑长期控制

1.5.6.3 网页木马原理

• 网页木马实质木马种植器，通过攻击浏览器或浏览器外挂程序的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序
• 网页木马是一个HTML网页，该网页包含攻击者精心制作脚本，用户一旦访问了该网页， 网页中的脚本会利用浏览器或浏览器外挂程序的漏洞，在后台自动下载攻击者放置在网络上的木马并安装运行该木马，整个过程都在后台运行，无需用户操作

1.5.6.4 防范网页木马

• 及时安装浏览器补丁、及时升级浏览器
• 安装安全软件，拦截挂马攻击
• 不访问不熟悉的网站，警惕点击诱人的广告
• 利用virusTotal等在线查杀引擎查杀可疑网址

1.6 蠕虫

1.6.1 什么是蠕虫

• 蠕虫是通过复制方式将自身从一台计算机传播到另一台计算机的恶意代码

1.6.2 蠕虫工作原理

蠕虫通过网络，利用目标主机系统、应用程序漏洞或计算机用户的操作失误实现传播

工作流程：

• 漏洞扫描
• 攻击
• 传染
• 现场处理

特点：

传染方式多、传播速度快、清除难度大、破坏性强

1.7 流氓软件

1.7.1 什么是流氓软件

• 未明确提示或未经许可，在用户计算机或其它终端上强行安装并运行，侵犯用户合法权益的软件

1.7.2 软件流氓行为

• 强制安装
• 恶意安装
• 难以卸载
• 广告弹出
• 恶意捆绑
• 恶意卸载
• 浏览器劫持
• 恶意收集用户信息

1.8 逻辑炸弹

1.8.1 什么是逻辑炸弹

• 在特定逻辑条件满足时，实施破坏的计算机程序

1.9 僵尸网络

1.9.1 什么是僵尸网络

• 采用一种或多种传播手段，使大量主机感染僵尸程序，在控制者和被感染主机之间形成一对多控制的网络称为僵尸网络
• 被感染主机中僵尸程序通过一个控制信道接收与执行攻击者的指令

1.9.2 僵尸网络危害

攻击者可以利用僵尸网络发起各种攻击，导致整个基础信息网络或者重要应用系统瘫痪，窃取大量机密或个人隐私，或从事网络欺诈：

• 拒绝服务攻击
• 发送垃圾邮件
• 窃取秘密
• 滥用资源
• 僵尸网络挖矿

1.9.3 僵尸网络工作原理

僵尸网络包含三个阶段：

• 传播： 通过攻击漏洞、邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等传播僵尸程序
• 加入： 僵尸程序使感染主机加入到僵尸网络，登录到指定的服务器，并在给定信道中等待控制者指令
• 控制：攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为

1.9.4 防范僵尸网络

• 采用Web过滤服务
• 禁用脚本
• 及时升级浏览器
• 部署防御系统
• 使用应急补救工具

1.10 后门程序

1.10.1 什么是后门

• 绕过系统安全机制而获取对程序或系统访问权的恶意程序。即后门允许攻击者绕过系统中常规安全控制机制，按照攻击者自己意愿提供访问系统的通道

1.10.2 常见后门

常见的后门工具：

• IRC后门，具有恶意代码的功能
• Netcat，瑞士军刀
• VNC，具有远程控制功能
• Login后门
• Telnetd后门
• TCP Shell后门
• ICMP Shell后门
• Rootkit后门

1.11 恶意隐遁工具

1.11.1 恶意隐遁工具（rootkit）

• 在目标计算机上隐藏自身、指定的文件、进程和网络链接等信息的一种恶意软件
• Rootkit能持久并不被察觉地驻留在目标计算机中，操纵系统、通过隐秘渠道收集数据

1.11.2 Rookit危害

• Rootkit一般都和木马、后门、僵尸程序等其它恶意程序结合使用，帮助这些恶意程序隐身，逃避安全软件查杀，危害大

1.11.3 Rootkit原理

典型rootkit一般包含以下功能部件：

• 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息
• 特洛伊木马程序，为攻击者提供后门与通信
• 隐藏攻击者的目录和进程的程序
• 日志清理工具，隐藏自己行踪

1.11.4 防范Rootkit

防范 Rootkit 很困难，但好习惯能减少被感染机会：

• 不要在网络上使用明文传输口令
• 使用完整性检测工具及时发现攻击者的入侵
• 病毒扫描程序
• 定期更新软件
• 在主机和网络上安装防火墙
• 采用强密码策略

1.12 网络钓鱼

1.12.1 什么是网络钓鱼

• 利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动
• 诈骗者将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌单位，骗取用户私人信息。致使受骗者泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容

1.12.2 防范网络钓鱼

• 安装杀毒软件并及时升级病毒知识库和操作系统补丁
• 打开个人防火墙
• 不登录不熟悉的网站，校对键入网站地址，以防输入错误而误入钓鱼网站
• 不要点击不明电子邮件或短信中的任何链接
• 登录银行网站前，要特别留意浏览器地址栏，如果发现网页地址不能修改，最小化浏览器窗口后仍可看到浮在桌面上的网页地址等现象，请立即关闭窗口，以免账号密码被盗

1.13 安卓恶意软件

1.13.1 什么是安卓恶意程序

• 以安卓智能手机作为攻击目标的恶意程序

1.13.2 传播途径

• 重打包：选择流行应用程序进行反编译，植入恶意负载，然后重新编译并提交到第三方市场
• 更新包：在运行时动态获取或下载恶意负载
• 偷渡式下载：引诱用户访问恶意网站，在未经用户允许的情况下下载安装伪装的恶意软件

1.13.3 安卓恶意程序恶意功能

• 特权提升:能够突破安卓权限机制和沙箱机制，允许恶意软件执行特权操作
• 远程控制:远程灵活控制，负责信息回传，更新本地恶意功能
• 话费吸取:比如强行定制SP服务并从中牟利。或通过过滤SP的短信，达到秘密扣费的目的
• 隐私窃取:窃取短信，通讯录，通话记录，定位，拍照等功能。手机用户隐私数据，社交数据和设备数据
• 自我保护:恶意软件利用代码保护技术，造成反编译困难，致使静态分析失败

1.13.4 安卓恶意程序类型

• 木马软件
• 蠕虫软件
• 后门软件
• 僵尸软件
• 网络钓鱼
• 间谍软件
• 恐吓软件
• 勒索软件
• 广告软件
• 跟踪软件

1.13.5 防范安卓恶意软件

• 及时更新手机推送的系统更新，尤其是涉及安全补丁内容
• 及时更新手机软件
• 通过可信渠道安装安全软件/杀毒软件
• 加强自身的防范意识

1.14 垃圾信息

1.14.1 什么是垃圾信息

• 未经用户同意向用户发送的用户不愿意收到的信息，或用户不能根据自己的意愿拒绝接收的信息

1.14.2 常见的垃圾信息

• 垃圾短信：未经用户同意向用户发送的商业类、广告类，及其它违反行业自律性规范的短信息
• 垃圾邮件：未经用户许可就强行发送到用户的邮箱中的任何电子邮件
• 垃圾广告：未经当事人同意通过短信、电话、邮件等向当事人发送推销信息或者广告消息

1.14.3 防范垃圾信息

• 登陆12321网站，举报各种垃圾信息
• 设置手机骚扰拦截垃圾短信与垃圾电话
• 保护好个人信息，不登陆不安全的网站