【计算机系统安全】26恶意代码

人工
影响对象 网络
网络
主机
主机
主机
防治难度 难
难
易
易
一般
经济损失 严重
较大
较大
一般
一般
3
各种恶意代码的融合趋势
• 病毒、蠕虫、木马之间的界限已经不再明显； • 综合使用多种攻击手段：
• 传播：计算机系统的漏洞、电子邮件、文件共享、Web浏览、即时通 讯工具等
• 社会工程（social engineering )
12
计算机蠕虫的类型
• 系统漏洞型 • 群发邮件型 • 共享型 • 寄生型 • 混合型 …… ……
13
系统漏洞型病毒
红色代码(IIS-Worm/CodeRed) 尼姆达(I-Worm/Nimda) 求职信(I-Worm/Klez) 冲击波(I-Worm/Blaster) 震荡波(I-Worm/Sasser) 安哥(Backdoor/Agobot)
网络拥堵
互联网
第4代
笔记本电脑 服务器
已打补丁的机器
台式电脑 服务器
防毒墙
台式电脑 服务器
台式电脑 服务器
7
什么是计算机蠕虫
• 计算机蠕虫是指通过计算机网络传播的病毒， 泛滥时可以导致网络阻塞甚至瘫痪。 • 第一个Internet蠕虫是出现于1988年的Morris病 毒
8
蠕虫病毒的特点
• 传播途径是网络 • 传播速度快 • 传播面积广 • 可能造成的危害程度高
19
混合型蠕虫
• 同时具有漏洞型、邮件型、共享型和寄生型的某 些或全部特征 • 传播能力和危害最大
求职信(I-Worm/Klez) 超级密码杀手(爱情后门，I-Worm/Supkp) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) ……
20
蠕虫的爆发周期越来越短…
• 漏洞公布和蠕虫爆发的间隔越来越短
最佳时机 及时
太晚了
漏洞发现
攻击代码
蠕虫爆发
控制
清除
越来越短
越来越长，越来越难
21
补丁：MS04-011 2004年4月13日
震荡波
补丁：MS03-026 2003年7月16日
冲击波
补丁： MS02-039 2002年7月24日
蠕虫王
补丁： MS00-078 2000年10月17日
尼姆达
2004年5月1日 2003年8月11日 2003年1月25日
36
特洛伊木马隐蔽性
使用TCP协议，客户端侦听，服务端连接。这就是 所谓的反向连接技术了。
防火墙对于连入的连接往往会进行非常严格的过滤，
但是对于连出的连接却疏于防范。于是，出现了反
弹式（主动式）木马，即：服务端(被控制端)主动
连接客户端(控制端)，而不是被动的等待客户端发
送命令。为了隐蔽起见，客户端的监听端口一般开
29
加载方式－启动文件
➢ Win.ini: [Windows] run=c:\windows\file.exe load=c:\windows\file.exe
➢ System.ini： [boot] shell=explorer.exe file.exe
30
加载方式－注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
自动启动：木马一般会存在三个地方:注册表、 win.ini、system.ini,因为电脑启动的时候,需要装载 这三个文件,大部分木马是使用这三种方式启动的。 捆绑方式启动：可以捆绑到一般的常用程序上。非 捆绑方式的木马因为会在注册表等位置留下痕迹,所 以,很容易被发现,而捆绑木马可以由黑客自己确定 捆绑方式、捆绑位置、捆绑程序等,位置的多变使木 马有很强的隐蔽性。
未修补漏洞的系统 已修补漏洞的系统
WORM_SASSER.A
染毒电脑
被感染
不被感染
随机攻击
不被感染
被感染 被感染
随机攻击
不被感染
Internet
随机攻击
不被感染
16
群发邮件型蠕虫
特点：种类、变种众多，是最常见的一类蠕虫病毒
求职信(I-Worm/Klez) 大无极(I-Worm/Sobig) 网络天空(I-Worm/Netsky) 雏鹰(I-Worm/BBEagle) 挪威客(I-Worm/MyDoom)
在80(提供HTTP服务的端口)，这样，即使用户使用
端口扫描软件检查自己的端口，会以为是自己在浏
览网页(防火墙也会这么认为的)。
37
特洛伊木马隐蔽性
连接请求
80
连接请求
38
特洛伊木马隐蔽性
这种反向连接技术要解决的一个问题是，服务端如 何找到客户端。
方法是客户端通过一个有固定IP或者固定域名的第 三方发布自己的IP，比如通过一个公共的邮箱，通 过一个个人主页。 当客户端想与服务端建立连接时， 它首先登录某个WEB服务器，把信息写到主页上面 的一个文件，并打开端口监听，等待服务端的连接； 服务端则定期的用HTTP协议读取这个文件的内容， 当发现是客户端让自己开始连接时，就主动连接， 如此就可完成连接工作。如网络神偷。
2001年9月18日
时间间隔
18 天
26 天 185 天 336 天
22
蠕虫功能结构模型
蠕虫程序功能模型
基本功能模块
扩展功能模块
信
搜
攻 传息 繁
索
击 输搜 殖
模
模 模集 模
块
块 块模 块
块
通 隐 破控 信 藏 坏制 模 模 模模 块 块 块块
23
脚本病毒
• 更甚于宏病毒－脚本病毒
• 脚本语言的广泛应用 • “爱虫”（LoveLetter） • 新的“欢乐时光”（VBS.KJ） • “中文求职信”（donghe）
28
加载方式
开始菜单的启动项，基本上没有木马会用这种方式。 在Winstart.bat中启动。 在Autoexec.bat和Config.sys中加载运行。 win.ini/system.ini：有部分木马采用，不太隐蔽。 注册表：隐蔽性强，多数木马采用。 服务：隐蔽性强，多数木马采用。 修改文件关联。
比 如 木 马 SubSeven 1.7 版 本 的 服 务 器 文 件 名 是
c:\windows\KERNEL16.DL,而windows由一个系统
文 件 是 c:\windows\KERNEL32.DLL, 删 除
KERNEL32.DLL 会 让 机 器 瘫 痪 。 木 马 SubSeven
1.5版本服务器文件名是c:\windows\window.exe, 少
一个s
34
特洛伊木马隐蔽性
隐蔽性是指木马的设计者为了防止木马被发现，会 采用多种手段来隐藏木马，这样服务端即使发现感 染了木马，由于不能确定木马的具体位置，也就没 有办法删掉。 首先应该明确的是受害者的机器上运行的木马程序 我们称之为服务端，控制者机器上运行的我们称之 为客户端
35
特洛伊木马隐蔽性
4
恶意代码的分类
1. 计算机病毒：一组能够进行自我传播、需要用户干预 来触发执行的破坏性程序或代码。
如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…
2. 网络蠕虫:一组能够进行自我传播、不需要用户干预即 可触发执行的破坏性程序或代码。
其通过不断搜索和侵入具有漏洞的主机来自动传播。 如红色代码、SQL蠕虫王、冲击波、震荡波、极速波…
• DoS（Denial of Service）攻击 I-Worm/MyDoom.a蠕虫定于爆发后1星期对http://www.sco.com发动 DoS攻击。sco网站虽积极备战，但由于感染点过多，在遭受攻击当 天即陷入瘫痪。
• 经济损失巨大 I-Worm/CodeRed: 20亿美元 I-Worm/Sobig: 26亿美元……
如RootKit、Hkdef、ByShell…
6. 拒绝服务程序，黑客工具，广告软件，间谍 软件，恶意网页……
6
病毒发展史（续1）
引导区病毒
基于文件的病毒
邮件群发病毒
台式电脑
第1代 网络病毒
台式电脑
LAN服务器
台式电脑 台式电脑 台式电脑
第2代
互联网 防毒墙
电子邮件 服务器墙
笔记本电脑
第3代
台式电脑
31
加载方式－服务
32
加载方式－修改文件关联
正常情况下TXT文件的打开方式是启动Notepad.EXE来 打开TXT文件。关联木马通过修改关联方式来加载木马 ，则TXT文件打开方式就会被修改为用木马程序打开：
HKEY_CLASSES_ROOT\txtfile\shell\open\command %SystemRoot%\system32\NOTEPAD.EXE %1 %path%
使用TCP协议，服务端侦听，客户端连接。这是最 简单，最早，最广泛使用的一种通讯方案。
使用工具可以很容易的发现在某一端口上侦听的进 程，以及进程对应的可执行文件。
如果服务端装有防火墙，那么客户端发起的连接就 会被防火墙拦截。
如果局域网内通过代理上网的电脑，因为本机没有 独立的IP地址(只有局域网的IP地址)，所以也不能 正常使用。
这样，当双击一个TXT文件，原本应用Notepad.EXE打 开的TXT文件，现在却变成启动木马程序。
33
存放位置及文件名
木马的服务器程序文件一般位置是在c:\windows和 c:\windows\system 中 , 因 为 windows 的 一 些 系 统 文 件在这两个位置。
木马的文件名总是尽量和windows的系统文件接近,
24
网页病毒
• 利用IE的ActiveX漏洞的病毒
• 修改用户的IE设置、注册表选项 • 下载木马、恶意程序或病毒 • 格式化用户硬盘或删除用户的文件 • 不具有传染性，更重主动攻击性 • 恶意网站（“爱情森林”）
25
特点和趋势
• 以网络环境传播为主，带有主动传播的特征 • 网络蠕虫将成为最主要和破坏性最大的病毒 • “网页病毒”将成为重要的破坏手段 • 技术上具有混合型特征（A、综合多种已有技术，B、蠕
3. 特洛伊木马：是指一类看起来具有正常功能，但实际 上隐藏着很多用户不希望功能的程序。通常由控制端 和被控制端两端组成。
如冰河、网络神偷、灰鸽子……
5
恶意代码的分类（续）
4. 后门：使得攻击者可以对系统进行非授权访 问的一类程序。
如Bits、WinEggDrop、Tini…
5. RootKit：通过修改现有的操作系统软件，使 攻击者获得访问权并隐藏在计算机中的程序。
恶意代码
• 从广义上定义，恶意代码指具有在信息系统上 执行非授权进程能力的代码。 • 通常恶意代码具有各种各样的形态，能够引起 计算机不同程度的故障，破坏计算机正常运行。 早期的恶意代码主要是指计算机病毒（Virus）， 但目前，蠕虫(Worm)、恶意网页（malicious web page）、特洛伊木马（Trojan Horse）、逻 辑炸弹（Logic bombs）以及后门（backdoor） 等其他形式的恶意代码日益兴盛。
虫、木马、黑客程序相互结合） • 对自身进行不断完善，形成家族 • 病毒依赖于系统，利用系统漏洞和内核 • 高级语言编写，更易于制造
26
特洛伊木马
一个特洛伊程序是：一种未经授权的程序，它包含 在一段正常的程序当中。这个未经授权的程序提供 了一些用户不知道的（也可能是不希望实现的）功 能。
27
特洛伊木马启动方式
17
共享型蠕虫
• 利用局域网共享或P2P共享软件传播的蠕虫 • 通常将自身复制到局域网共享文件夹或P2P软件的共享目录 • 复本文件名通常很有诱惑力，引诱其他用户下载执行
18
寄生型蠕虫
利用已泛滥病毒做平台传播，达到迅速传播的目的 震荡波(I-Worm/Sasser)利用Windows系统漏洞传播 但震荡波病毒本身的设计也有漏洞 匕首病毒(I-Worm/Dabber)利用震荡波病毒程序的漏洞传播
1
恶意代码危害的例子
• 用于DDoS攻击 • 破坏用户数据 • 泄漏用户秘密 • 更改手机设置 • 即时通信中插入恶意的图片和声音文件 • 弹出广告 • 更改IE设置 • ……
2
恶意代码的简单比较
传播速度
Internet 蠕虫
极快
病毒邮件 快
文件系统 病毒
一般
网页脚本 慢
木马 慢
传播方式 自动
半自动 半自动 人工
9
蠕虫特点——传播快
红色代码病毒（CodeRed） • 爆发15分钟内，受害计算机遍布全球 • 爆发9小时内感染了超过250,000台计算机
没有文件实体
可以传播复制的 电子信号
网络幽灵
10
蠕虫特点——传播广
11
蠕虫特点——危害高
• 网络拥挤 2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/Байду номын сангаасyDoom三大 蠕虫病毒一齐爆发，蚕食25%网络带宽。
……
14
系统漏洞型病毒
• 特点：利用系统设计漏洞主动 感染传播
• 软件系统漏洞曝光数量逐年增 加，漏洞型病毒滋生环境越来 越好
5000
4129
4000
3000 2000 1000
0
262 1998
417 1999
1090 2000
2437 2001
2002
软件系统漏洞曝光表
3784
2003
15
攻击模式