恶意代码常见格式
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
恶意代码常见格式
恶意代码(maliciouscode)又称为恶意软件(malicioussoftware,Malware),是能够在计算机系统中进行非授权操作,以实施破坏或窃取信息的代码。
恶意代码范围很广,包括利用各种网络、操作系统、软件和物理安全漏洞来向计算机系统传播恶意负载的程序性的计算机安全威胁。
也就是说,我们可以把常说的病毒、木马、后门、垃圾软件等一切有害程序和应用都可以统称为恶意代码。
一、恶意代码分类
病毒(Virus):很小的应用程序或一串代码,能够影响主机应用。
两大特点:繁殖(propagation)和破坏(destruction)。
繁殖功能定义了病毒在系统间扩散的方式,其破坏力则体现在病毒负载中。
特洛伊木马(TrojanHorses):可以伪装成他类的程序。
看起来像是正常程序,一旦被执行,将进行某些隐蔽的操作。
比如一个模拟登录接口的软件,它可以捕获毫无戒心的用户的口令。
可使用HIDS检查文件长度的变化内核套件(Root 工具):是攻击者用来隐藏自己的踪迹和保留root访问权限的工具逻辑炸弹(LogicBombs):可以由某类事件触发执行,例如某一时刻(一个时间炸弹),或者是某些运算的结果。
软件执行的结果可以千差万别,从发送无害的消息到系统彻底崩溃。
蠕虫(Worm):像病毒那样可以扩散,但蠕虫可以自我复
制,不需要借助其他宿主僵尸网络(Botnets):是由C&C服务器以及僵尸牧人控制的僵尸网络。
间谍软件(Spyware):间谍软件就是能偷偷安装在受害者电脑上并收集受害者的敏感信息的软件。
恶意移动代码:移动代码指可以从远程主机下载并在本地执行的轻量级程序,不需要或仅需要极少的人为干预。
移动代码通常在Web服务器端实现。
恶意移动代码是指在本地系统执行一些用户不期望的恶意动作的移动代码。
后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。
攻击者可以通过使用后门工具对目标主机进行完全控制。
广告软件(Adware):自动生成(呈现)广告的软件。
上述分类只是个大概,各种恶意代码常常是你中有我,我中有你。
而且在实际中,攻击者经常会将多种恶意代码组合起来使用。
二、病毒类型功能
病毒前缀:前缀一般为恶意代码的类型,有些病毒也会添加平台作为前缀,在这种情况下,类型作为恶意代码命名的第一前缀,平台作为第二前缀。
类型:依据恶意代码传播方式或恶意功能的分类类别。
病毒:通过对系统和共享目录中文件进行感染,以实现自身复制并执行功能的恶意代码。
蠕虫:通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。
木马:攻击者通过欺骗方法在用户不知情的情况下安装到系统中的恶意代码。
后门:绕过系统安全性控制而具有操作权限的恶意代码。
勒索:通过加密用户文件使用户数据无法正常使用,并以此为条件向用户勒索赎金的恶意代码。
挖矿:攻击者通过向被感染设备植入挖矿工具,消耗被感染设备的计算资源进行挖矿,以获取数字货币收益的恶意代码。
广告:广告是一种附带广告功能,以流量作为盈利来源的恶意代码,其往往会强制安装并无法卸卸载。
平台:恶意代码执行需要的系统环境。
Win32:运行在Win32平台下的恶意代码
OSX:运行在Mac平台下的恶意代码
Linux:运行在Linux平台下的恶意代码
Java:运行在Java虚拟机下的恶意代码
Android:运行在安卓平台下的恶意代码
PHP:PHP开发的恶意代码
W97M:微软Office97的word恶意代码
病毒名:病毒名一般用恶意代码家族命名,恶意代码家族是指具有相似功能、相同来源、不同演进程度的恶意代码集合。
常见恶意代码家族如下。
Fujacks:熊猫烧香病毒家族,爆发于2006年,具有感染和蠕虫多种传播方式。
LoveLetter:爱虫蠕虫家族,爆发于2010年,通过群发告白邮件传播。
OnlineGames:盗号木马家族,爆发于2007年,通过配置可盗取多种游戏帐号密码。
Gpigeon:灰鸽子后门家族,可对被感染设备进行远程控制。
Wannacry:Wanacry勒索家族,爆发于2017年,可对磁盘文件进行加密,并在局域网传播,勒索用户提供比特比赎金进行解密。
BitcoinMiner:比特比挖矿家族,通过向设备植入比特比挖矿工具,实现后台比特比挖矿。
IeSearchBar:IE搜索工具条广告家族,可在用户IE浏览器地址栏处安装搜索工具条,主要通过捆绑安装。
病毒后缀:病毒后缀一般是指恶意代码的变种。
变种是指恶意代码家族演进过程中捕获分析后的标号。
病毒变种使用小写英文字母表示
a为恶意代码家族第一次发现的恶意代码。
b为恶意代码家族第一次发现的恶意代码变种。
z为恶意代码家族第二十五次发现的恶意代码变种。
病毒变种采用26进制
aa为恶意代码家族第二十六次发现的恶意代码变种。