《计算机防病毒技术培训》由会员分享,可在线阅读,更多相关《计算机防病毒技术培训(69页珍藏版)》请在金锄头文库上搜索。
1、Trend Micro Confidential 9/1/2019,1,计算机防病毒技术培训,病毒概述 常见病毒类型说明及行为分析 病毒处理技术 典型病毒案例分析,培训课程安排,病毒概述,当前用户面临的威胁,随着互联网的发展,我们的企业和个人用户在享受网络带来的快捷和商机的同时,也面临无时不在的威胁: 病毒 PE 蠕虫 WORM 木马 TROJ 后门 BKDR 间谍软件 TSPY 其他 以上统称为恶意代码。,当前用户面临的威胁,防间谍软件产品覆盖范围,防病毒产品覆盖范围,现代计算机病毒的分类,病毒,特洛伊木马,后门 木马,蠕虫,恶意软件,间谍软件 (有恶意行为),间谍软件 (无恶意行为),灰色
2、软件(正邪难辨) (往往是用户不需要的程序),恶意程序: 一种会带来危害结果的程序,特洛伊木马: 伪装成正常的应用程序或其它正常文件,后门木马: 一种会在主机上开放端口让远程计算机远程访问的恶意程序,现代计算机病毒的分类,病毒,特洛伊木马,后门 木马,蠕虫,恶意软件,间谍软件 (有恶意行为),间谍软件 (无恶意行为),灰色软件(正邪难辨) (往往是用户不需要的程序),病毒: 病毒会复制(感染)其它文件通过各种方法 前附着 插入 C. 覆盖 D. 后附着,蠕虫: 蠕虫自动传播自身的副本到其他计算机: 通过邮件(邮件蠕虫) 通过点对点软件 (点对点蠕虫) 通过IRC (IRC 蠕虫) 通过网络 (
3、网络蠕虫),现代计算机病毒的分类,病毒,特洛伊木马,后门 木马,蠕虫,恶意软件,间谍软件 (有恶意行为),间谍软件 (无恶意行为),灰色软件(正邪难辨) (往往是用户不需要的程序),间谍软件: 此类软件会监测用户的使用习惯和个人信息,并且会将这些信息在未经用户的认知和许可下发送给第三方。包括键盘纪录,事件日志,cookies,屏幕信息等,或者是上面所列的信息的组合。 对系统的影响表现为系统运行速度下降,系统变得不稳定,甚至当机。,恶意程序,灰色地带,间谍软件,不同种类的间谍软件,当前病毒流行趋势,范围:全球性爆发逐渐转变为地域性爆发 如WORM_MOFEI.B等病毒逐渐减少 TSPY_QQPA
4、SS, TSPY_WOW, PE_LOOKED等病毒逐渐增加 速度:越来接近零日攻击(Zero-Day Attack) 如WORM_ZOTOB,WORM_DOWNAD(飞客),欧洛拉(google)等 方式:病毒、蠕虫、木马、间谍软件联合 如PE_LOOKED病毒感染的同时也会从网络下载感染TSPY_LINAGE病毒,常见病毒类型说明及行为分析,木马病毒: TROJ_XXXX.XX 后门程序: BKDR_XXXX.XX 蠕虫病毒: WORM_XXXX.XX 间谍软件: TSPY_XXXX.XX 广告软件: ADW_XXXX.XX 文件型病毒: PE_XXXX.XX 引导区病毒:目前世界上仅存的
5、一种引导区病毒 POLYBOOT-B 加壳软件:PACKER_XXXX.XX,趋势科技对恶意程序的分类,病毒感染系统时,感染的过程大致可以分为: 通过某种途径传播,进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如: 打开后门等待连接 发起DDOS攻击 进行键盘记录 ,病毒感染的一般方式,除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对于不同类型的病毒,它们传播、感染系统的方法也有所不同。,常见病毒传播途径,常见病毒传播途径,传播方式主要有: 电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播,IE 零日
6、攻击 Adobe漏洞 Windows操作系统漏洞,U盘病毒,常见病毒传播途径,电子邮件 HTML正文可能被嵌入恶意脚本, 邮件附件携带病毒压缩文件 利用社会工程学进行伪装,增大病毒传播机会 快捷传播特性 例:WORM_MYTOB,WORM_STRATION等病毒,常见病毒传播途径,网络共享 病毒会搜索本地网络中存在的共享,包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通过空口令或弱口令猜测,获得完全访问权限 病毒自带口令猜测列表 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例:WORM_SDBOT 等病毒,常见病毒传播途径,P2P共享软件 将自身复制到P
7、2P共享文件夹 通常以游戏,CDKEY等相关名字命名 通过P2P软件共享给网络用户 利用社会工程学进行伪装,诱使用户下载 例:WORM_PEERCOPY.A等病毒,常见病毒传播途径,系统漏洞 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. 病毒往往利用系统漏洞进入系统, 达到传播的目的。 常被利用的漏洞 RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Local Security Authority Subsystem Service) 例:WORM_MYTOB
8、、WORM_SDBOT等病毒,常见病毒传播途径,案例 SQL Slammer 攻击网络上任意IP的1434端口,实现DDOS攻击 造成大量网络流量,阻塞网络 2005年3月,国内某银行一台服务器感染该病毒,导致核心交换机负载达到99%,引起网络瘫痪 从ServerProtect日志中确认为SQL Slammer病毒 SQL服务器未安装补丁 安装SQL Server 2000 SP3,并再次使用ServerProtect查杀病毒,问题解决。,Google被黑事件,“极光行动 Operation Aurora” 或“欧若拉行动”,攻击使用的是以前所有版本的IE中都未发现的漏洞,除了5.01 (CV
9、E-2010-0249). 在最近的安全咨询中, 微软承认此漏洞被利用来攻击谷歌和其他机构,并且推荐了一些变通解决方案来减少此漏洞带来的影响。,百度“被黑”事件,不法分子并没有攻击百度的服务器,而是选取美国域名注册商为攻击对象,非法篡改。 在此次攻击事件当中,黑客实际上是绕开了百度本身的安全保护,而攻击了DNS管理服务器,常见病毒传播途径,移动存储设备 利用自动播放、自动执行功能进行传播。 和使用者操作习惯相关。 多通过U盘等移动存储设备传播,故又被称为“U盘病毒” 例子,PE_PAGIPEF等病毒,常见病毒传播途径,其他常见病毒感染途径: 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其
10、他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。,广告软件/灰色软件 由于广告软件/灰色软件的定义,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定。,常见病毒传播途径,及时更新系统和应用软件补丁,修补漏洞 强化密码设置的安全策略,增加密码强度 加强网络共享的管理 增强员工的病毒防范意识,防止病毒入侵,自启动特性 除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。 病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机后自动加载的功能。,病毒自启动方式,修改注册表 将自身添加为服务
11、 将自身添加到启动文件夹 修改系统配置文件,加载方式 服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件,修改注册表 注册表启动项 文件关联项 系统服务项 BHO项 其他,病毒自启动方式,注册表启动 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下: RunServices RunServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下: Run RunOnce(当次运行时出现) RunSe
12、rvices 以上这些键一般用于在系统启动时执行特定程序,病毒自启动方式,文件关联项 HKEY_CLASSES_ROOT下: exefileshellopencommand =“%1“ %*“ comfileshellopencommand =“%1“ %*“ batfileshellopencommand =“%1“ %*“ htafileShellOpenCommand =“%1“ %*“ piffileshellopencommand =“%1“ %*“ 病毒将“%1 %*“改为 “virus.exe %1 %*“ virus.exe将在打开或运行相应类型的文件时被执行,病毒自启动方式,
13、修改配置文件 %windows% wininit.ini中Rename节 NUL=c:windowsvirus.exe 将c:windowsvirus.exe设置为NUL,表示让windows在将virus.exe 运行后删除. Win.ini中的windows节 load = virus.exe run = virus.exe 这两个变量用于自动启动程序。 System.ini 中的boot节 Shell = Explorer.exe,virus.exe Shell变量指出了要在系统启动时执行的程序列表。,病毒自启动方式,病毒常修改的Bat文件 %windows%winstart.bat 该
14、文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。 Autoexec.bat 在DOS下每次自启动,病毒自启动方式,修改启动文件夹(比较少,如磁碟机) 当前用户的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项 公共的启动文件夹 可以通过如下注册表键获得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项 病毒可以在
15、该文件夹中放入欲执行的程序, 或直接修改其值指向放置有要执行程序的路径。,病毒自启动方式,病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象。,常见病毒行为,无论病毒在系统表现形式如何 我们需要关注的是病毒的隐性行为!,下载特性 很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。 后门特性 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自
16、动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。,下载与后门特性-Downloader & Backdoor,信息收集特性 大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信息通常都会被病毒通过自带的SMTP引擎发送到指定的某个指定的邮箱。,信息收集特性-Stealer,QQ密码和聊天记录 网络游戏帐号密码 网上银行帐号密码 用户网页浏览记录和上网习惯 ,自身隐藏特性 多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改,以使其更加隐蔽不易被发现。,自身隐藏特性-Hide & Rootkit,有一些病毒会使用Rootkit技术来隐藏自身的进程和文件,使得用户更难以发现。
