第8章 病毒、蠕虫与木马

另外一种常用的方法是虽然替换了文件，但是 保证了替换后的文件和替换前的文件的长度是 一样的，这样就可以逃避以文件长度为检测特 征的软件的查杀。
密文病毒




通过自我加密，密文病毒的外观能够从一种形 态变成另一种形态，并将感染过的文本和信息 隐藏起来。 加密后的病毒文件看起来并不是病毒，而是一 段毫无疑义的乱码。 病毒加密的部分需要一把“密钥”来译解其隐 藏的代码，这把钥匙就隐藏在病毒的固定文本 中。 当被感染文件执行时，密钥会把病毒的剩余部 分解密还原。

破坏性



指对正常程序和数据进行覆盖、修改和删除， 造成用户敏感数据的丢失或系统的崩溃。 任何病毒只要侵入系统，都会对系统及应用 程序产生程度不同的影响。 如同上文讲过的良性和恶性病毒，轻者会占 用内存空间、降低计算机工作效率或占用系 统资源，重者可格式化硬盘以至导致系统崩 溃。
计算机病毒的特点
电子邮件病毒




电子邮件病毒是近来出现的恶意软件。最早利 用电子邮件散布的病毒，是利用邮件附件的宏 病毒。 如果收件者打开附件，就会执行Word宏，然后 病毒就会根据收件者的联系人名单，将自身复 制传送给所有的联系人。 现在有些病毒甚至不需要打开邮件的附件，只 要接收了电子邮件，就会感染病毒。 这种病毒是由软件所支持的VBScript语言所编 写的。
ห้องสมุดไป่ตู้
键盘记录型


木马的分类

破坏型

破坏被感染计算机的文件系统 它们可以自动删除受控主机上所有的exe、doc、 ppt、ini和dll等文件，甚至远程格式化受害者硬盘， 使其遭受系统崩溃或者重要数据丢失巨大损失 打开被控主机系统上FTP服务监听的2l号端口，并且 使得每一个试图连接该机器的用户使用匿名登录即 可以访问，并且能够以最高权限进行文件的操作， 如上传和下载等，破坏受害主机系统文件机密性。
红色代码 求职信 蠕虫王 冲击波 MyDoom 震荡波
爆发时间 1988年
2001年7月 2001年12月 2003年1月 2003年7月 2004年1月 2004年4月
造成损失 6000台电脑停机，数千万美元经济损失
大范围网络瘫痪，26亿美元经济损失 邮件服务器被堵塞，数百亿美元经济损失 十分钟内攻击了7.5万台计算机，大范围 网络瘫痪，30亿美元经济损失 大范围网络瘫痪，数十亿美元经济损失 大量垃圾邮件攻击SCO和微软网站，300 多亿美元损失 100万台计算机被感染，数百万美元损失
木马的分类

远程控制型


现今最广泛的特洛伊木马，目前所流行的大 多数木马程序都是基于这个目的而编写的。 其工作原理非常简单，就是一种简单的客户 /服务器程序。


只要被控制主机连入网络，并与控制端客户程序 建立网络连接．控制者就能任意访问被控制的计 算机。 由于要达到远程控制的目的，所以，该种类的木 马往往集成了其他种类木马的功能。

触发性




指计算机病毒激发的条件实际是病毒设计者事先设 定的，可以是某个事件、日期、时间、文件名或者 是病毒内置的计数器等等，也可以是几个条件的结 合 当满足其触发条件或者激活病毒的传染机制，病毒 发作。 但是过于苛刻的触发条件，可能使病毒有好的潜伏 性，但不易传播。 而过于宽松的触发条件将导致病毒频繁感染与破坏， 容易暴露，被用户发现。
防治措施
计算机使用者角色 对抗主体
从宿主文件中摘除
病毒传播中的关键环节 计算机使用者、反病毒厂 商
为系统打补丁
无关 系统软件和服务软件提供 商、网络管理人员
典型蠕虫与解决方案

冲击波（Worm.Blaster）病毒 蠕虫王病毒 红色代码/红色代码II蠕虫
造成较大危害的蠕虫病毒
病毒名称 莫里斯蠕虫
8.3 木马

木马的概念



来源于希腊神话《木马屠城记》 表面上是有用、实际目的却是危害计算机安 全并导致严重破坏的计算机程序 木马程序本身不能做任何事情，必须依赖于 用户的帮助来实现它们的目标。 恶意程序通常都伪装成为升级程序、安装程 序、图片等文件，来诱惑用户点击。一旦用 户禁不起诱惑打开了以为来自合法来源的程 序，特洛伊木马便趁机传播


将病毒加于文件之前，则病毒先于文件代码激活 将病毒置于文件之后，但在执行文件的开端会加入 一个跳转指令到病毒程序 病毒文件直接将执行文件程序覆盖，当受感染文件 执行时，病毒就开始作用了。

按照传染方式不同，文件型的病毒又分成非常 驻型以及常驻型两种。
引导扇区病毒



藏匿和感染软盘或硬盘的第一个扇区，即平常 我们所说的引导扇区 引导型病毒借由引导动作而侵入内存，若用已 经感染的磁盘引导，那么病毒将立即感染到硬 盘。 DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断得 到完全的控制, 并且拥有更大的能力进行传染 与破坏。 现在这类病毒比较少见。
计算机病毒的特点

潜伏性



指病毒进入到被感染的系统中，并不会马上 发作，而是寻找机会在用户不察觉的情况下 继续感染其它文件和系统 在几周或者几月的时间内都隐藏在合法文件 中，等待条件激发。 病毒的潜伏性越好,它在系统中存在的时间 也就越长,感染的文件和系统就越多，危害 性也越大。
计算机病毒的特点
8.1 计算机病毒

计算机病毒的分类

文件型病毒 引导扇区病毒 混合性病毒 宏病毒 隐形飞机式病毒 密文病毒 多态病毒 Script病毒 电子邮件病毒
文件型病毒


这一类病毒主要是感染计算机中的个别文件， 当这些文件被执行，病毒程序就跟着被执行。 寄生在主程序上的方式主要有3种
计算机病毒的特点

传染性




传染性是计算机病毒的最重要特征，指病毒从一个 程序复制进入另一个程序体的过程，其功能是有病 毒的传染模块来实现的。 病毒本身是一个可以运行的程序段，因此正常程序 运行途径和方法就是病毒运行传染的途径和方法。 病毒程序代码一旦进入计算机并得以执行，它就会 搜寻其他符合其传染条件的程序或存储介质，确定 目标后再将自身代码插入其中，达到自我繁殖的目 的。 在单机环境下，病毒只能通过软盘从一台计算机带 到另一台， 而在网络中则可以通过网络通讯机制进 行迅速扩散。
多态病毒


每当病毒它们运行一次，就会以不同的 病毒码传染到别的地方去。 每一个中毒的文件中，所含的病毒码都 不一样，对于扫描固定病毒码的防毒软 件来说，基本无法彻底查杀
Script病毒



Script病毒（VBScript、JavaScript、HTML）是利用脚 本来进行破坏的病毒，它本身是一个ASCII码或加密的 ASCII码文本文本，由特定的脚本解释器执行。 它利用了脚本解释器的疏忽和用户登录身份不当对系 统设置进行恶意配置或恶意调用系统命令造成危害。 VBScript（Visual Basic Script）以JavaScript病毒必须 透过Microsoft的Windows Scripting Host（WSH）才能 够启动执行以及感染其它文件。 HTML病毒使用内嵌在HTML文件中的Script来进行破坏， 当使用者从具备Script功能的浏览器检视HTML网页时， 内嵌Script便会自动执行。

wazzu病毒 大麻病毒 米开朗基罗病毒 我爱你病毒 熊猫烧香病毒
8.2 蠕虫

蠕虫的概念



计算机蠕虫可以独立运行，并能把自身的一 个包含所有功能的版本传播到另外的计算机 上 网络蠕虫是借助网络进行传播，无须用户干 预能够自主地或者通过开启文件共享功能而 主动进攻的恶意代码 无须计算机使用者干预即可运行的独立程序， 它通过不停地获得网络中存在漏洞的计算机 的部分或全部控制权来进行传播
第八章 病毒蠕虫与木马
8.1 计算机病毒

计算机病毒的概念




一种能够自身复制自身并以其他程序为宿主的可执 行的代码 --Fred Cohen 编制或者在计算机程序中插入的破坏计算机功能或 者破坏数据，影响计算机使用并且能够自我复制的 一组计算机指令或者程序代码 --中华人民共和国计 算机信息系统安全保护条例 计算机病毒潜入到计算机内部时会附着在程序中， 当宿主程序启动后，病毒就随之被激活并感染系统 中的其它部分 计算机病毒可以分作良性和恶性
计算机病毒的特点

隐蔽性




指计算机病毒进入计算机系统开始破坏数据的过程 不易为用户察觉，而且这种破坏性活动用户难以预 料。 无论是在传染的过程中，还是在病毒运行的过程中， 如果病毒能够轻易的被用户察觉，比如出现一个安 装界面的话，那么这个病毒是无法存在的。 大部分的病毒的代码之所以设计得非常短小，也是 为了隐藏。对于一个几百KB大小的文件，如果病毒 程序只插入了几百字节数据的话，通常是不会被发 现的。 已有部分病毒实现了将程序中无用代码替换为病毒 代码，从而保证感染后的文件大小不发生变化。
蠕虫的传播过程

扫描 攻击 复制
与计算机病毒的区别
项目
存在形式 复制形式 传染机制 攻击目标 触发传染 影响重点
病毒
寄生 插入到宿主程序（文件） 中 宿主程序运行 针对本地文件 计算机使用者 文件系统
蠕虫
独立个体 自身拷贝 系统存在漏洞 针对网络上的其它计算机 程序自身 网络性能、系统性能
混合性病毒



同时兼具引导型病毒和文件型病毒的特 点，具有很强的破坏力。 通常会先修改引导扇区，而此时病毒已 经在系统中激活，并潜伏在内存中。 下一步就是要感染其它可执行文件了。
宏病毒




利用了一些数据处理系统内置宏编程指令的特 性而形成的一种特殊病毒。 与前述的病毒不同，宏病毒不感染程序，只感 染文档和模板，如Word和Excel文件等。 它是依附在正常的文件上，利用文档可执行其 内宏命令代码的方式，在文档在打开或关闭时 来控制并感染系统。 宏病毒的影响很大，轻则文件被破坏，重则格 式化硬盘，使数据毁于一旦。
计算机病毒的特点

多态性



指病毒每次发作之后，都会改变它的形态 （特征字符串等），使病毒查杀攻击很难检 测出来它们的存在。 例如病毒在每感染一个对象时，采用随机方 法对病毒主体进行加密。 同一种病毒存在多个样本种，几乎没有稳定 的病毒代码。
计算机病毒的生命周期

休眠阶段(Dormant phase)
木马的分类

密码发送型

专门为了盗取目标计算机上的各类密码而编写的。 木马一旦被执行，就会自动搜索内存、Cache、临时文件架以 及各种秘感文件，并且在受害者不知道的情况下把它们发送 到指定的信箱。 记录受害者的键盘敲击并且在文件里查找密码。 最常见的就是针对QQ和网游的盗号木马， 这类软件与一般的键盘记录软件大同小异，只是在进行键盘 记录之前，先使用一个名为FindWindow的API函数判断目标程 序是否在运行。如果是的话，启动键盘记录功能，否则不动 作。 实现键盘记录这个功能时，大多数采用的是系统提供的钩子 （HOOK）技术，钩住用户的击键行为。
隐形飞机式病毒

病毒的目的是在防病毒软件装载和发现它们之 前就开始行动以逃避检测。 一种常采用的技术是将程序A中指向另外一个 程序B或系统信息的地址进行重定向，使其指 向一个病毒程序文件。

当程序A调用程序B的时候，得到运行的是病毒程序。 由于并没有想受感染文件中注入附加的代码，这种 方法可以逃避一些基于特征码检测的杀毒软件。

在这个阶段，病毒并不发作，而是静静等待触发条件的满足， 例如某一程序的运行、某一文件的打开或者敏感字符的出现 等等。

繁殖阶段(Propagation phase)


触发阶段(Triggering phase)

病毒对自身进行复制，并潜入到其它程序或者拷贝到磁盘上 的系统区。每个被感染的程序就又会成为病毒源，而且也进 入繁殖阶段.
病毒启动其设计之功能。相对于休眠阶段，在本阶段中，病 毒能夠在受到某些系统事件的驱动(如已经复制达到某個次数)， 而启动其功能 病毒的功能已经被執行，其影响可能是无伤大雅的，如在屏 幕上显示一段信息；也可能伤害力十足，如中止其他程式运 行以及文件。

执行階段(Execution phase)

典型病毒及其解决方案