【安全】常见病毒类型说明及行为分析 0点
1、目前杀毒厂商对恶意程序的分类
nbsp; 木马病毒: TROJ_XXXX.XX
nbsp; 后门程序: BKDR_XXXX.XX
nbsp; 蠕虫病毒: WORM_XXXX.XX
nbsp; 间谍软件: TSPY_XXXX.XX
nbsp; 广告软件: ADW_XXXX.XX
nbsp; 文件型病毒: PE_XXXX.XX
nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒
POLYBOOT-B
2、病毒感染的一般方式
病毒感染系统时,感染的过程大致可以分为:
通过某种途径传播,进入目标系统
自我复制, 并通过修改系统设置实现随系统自启动
激活病毒负载的预定功能如:
打开后门等待连接
发起DDOS 攻击
进行键盘记录
发送带计算机使用记录电子邮件
2.1 常见病毒传播途径
毒,它们传播、感染系统的方法也有所不同。
nbsp; 计算机病毒传播方式主要有:
ü 电子邮件
ü 网络共享
ü P2P 共享
ü 系统漏洞
ü 浏览网页
ü 移动磁盘传播
ü 打开带毒影音文件
2.1.1电子邮件传播方式
nbsp; HTML正文可能被嵌入恶意脚本,
nbsp; 邮件附件携带病毒压缩文件
nbsp; 利用社会工程学进行伪装,增大病毒传播机会
nbsp; 快捷传播特性 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对
例:WORM_MYTOB,WORM_STRATION等病毒
2.1.2 网络共享传播方式
nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享
如ADMIN$ ,IPC$,E$ ,D$,C$
nbsp; 通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
nbsp; 将自身复制到网络共享文件夹中
通常以游戏,CDKEY 等相关名字命名
例:WORM_SDBOT 等病毒
2.1.3 P2P共享软件传播方式
nbsp; 将自身复制到P2P 共享文件夹
通常以游戏,CDKEY 等相关名字命名
nbsp; 通过P2P 软件共享给网络用户
nbsp; 利用社会工程学进行伪装,诱使用户下载
例:WORM_PEERCOPY.A,灰鸽子等病毒
2.1.4 系统漏洞传播方式
nbsp; 病毒往往利用系统漏洞进入系统, 达到传播的目的。
nbsp; 常被利用的漏洞
– RPC-DCOM 缓冲区溢出 (MS03-026)
– Web DAV (MS03-007)
– LSASS (MS04-011)
– Internet Explorer 中的漏洞(MS08-078)
– 服务器服务中允许远程执行代码的漏洞(MS08-067)
(Local Security Authority Subsystem Service)
例:WORM_MYTOB 、WORM_SDBOT等病毒
2.1.5 网页感染传播方式
主要是通过恶意脚本
网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点:
1、代码灵活多变
利用直接的JAVA 恶意脚本。
利用框架代码 nbsp; 由于操作系统固有的一些设计缺陷, 导致被恶意用户通过畸形的方式利用后, 可执行任意代码, 这就是系统漏
利用转译后的base64、ESC 、ASCII 等方式的代码
2、木马版本更新速度快
ActiveX 控件栈溢出漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞等漏洞的网页木马
2.1.6 其他常见病毒感染途径:
ü 与影音文件捆绑
ü 与正常软件捆绑
ü 用户直接运行病毒程序
ü 由其他恶意程序释放
目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。
2.1.7 广告软件/灰色软件
由于广告软件/灰色软件的定义,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定。 由于采用网页方式,木马控制者只需要更新后台的木马主程序版本,即可更新木马版本,造成反病毒软件无法察常见的有利用的漏洞包括:MS08-078、MS06-014、联众世界GLIEDown2.dllActive 控件任意代码执行漏洞、超
2.1 病毒自启动方式
一般来说,计算机病毒除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。
能。
计算机病毒对系统的修改方式有:
q 修改注册表
q 将自身添加为服务
q 将自身添加到启动文件夹
q 修改系统配置文件
计算机对操作系统的修改加载方式有:
q 服务和进程-病毒程序直接运行
q 嵌入系统正常进程-DLL 文件和OCX 文件等
q 驱动-SYS 文件
2.2.1 计算机病毒修改注册表的情况:
病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机
1、注册表启动
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下:
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下:
Run
RunOnce
RunServices
以上这些键一般用于在系统启动时执行特定程序
2、通过注册表对程序进行映像劫持
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
3、通过注册表修改文件关联项
HKEY_CLASSES_ROOT下:
exefileshellopencommand] @=""%1" %*"
comfileshellopencommand] @=""%1" %*"
batfileshellopencommand] @=""%1" %*"
htafileShellOpenCommand] @=""%1" %*"
piffileshellopencommand] @=""%1" %*“
……
例如:病毒将"%1 %*"改为 “virus.exe %1 %*",virus.exe 将在打开或运行相应类型的文件时被执行。
2.2.2 修改配置文件
例如:(以病毒名为virus.exe 为例)
%windows% wininit.ini中[Rename]节
NUL=c:windowsvirus.exe
将c:windowsvirus.exe设置为NUL, 表示让windows 在将virus.exe 运行后删除.
Win.ini 中的[windows]节
load = virus.exe
run = virus.exe 这两个变量用于自动启动程序。
System.ini 中的[boot]节
Shell = Explorer.exe,virus.exe
Shell 变量指出了要在系统启动时执行的程序列表。
所以,在平常我们的安全防护中,需要大家多多关注以上的系统配置文件。
2.2.3 病毒常修改的Bat 文件 目前,也经常发现计算机病毒会修改系统的配置文件,如WINDOWS 系统的wininit.ini 、Win.ini 、System.ini 。
WINDOWS 系统的BAT 文件也是可执行文件类型之一,计算机病毒也经常会修改这些文件,来实现病毒传播和例如:
%windows%winstart.bat
该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。 还有Autoexec.bat 在DOS 下每次都会自启动执行。
所以,这类文件在我们平常的系统维护中,也得特别注意。
2.2.4 修改启动文件夹
毒修改系统启动文件夹有以下两种方式:
1、当前用户的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项
2、公共的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项
病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。
2.3 常见病毒行为
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高式如何,我们都需要关注的是病毒的隐性行为!
2.3.1 计算机病毒的下载特性-Downloader
如大水牛下载者病毒 计算机病毒非常喜欢修改系统的启动文件夹,将病毒的快捷方式加入启动文件夹,以实现随系统自动启动的目的过高内存资源、自动弹出/关闭窗口、自动终止某些进程(特别是反病毒软件进程)等各种不正常现象。无论病很多木马、后门程序间谍软件会自动连接到Internet 某Web 站点,下载其他的病毒文件或该病毒自身的更新版本
当系统中此病毒后,病毒会自动下载病毒列表到%SystemRoot%system32nwizs.txt ,通过此列表下载的病毒会被再下载其他的计算机病毒文件。
大水牛病毒下载列表里面就包含:
microsoft.exe (机器狗,专杀能清除)
hosts.exe (是hosts 文件里面免疫了好多网址)
arp.exe (大水牛下载者病毒最新程序)
cq.exe (里面包含黑客木马fei.exe 和传奇盗号器lj.exe )
wow.exe (魔兽盗号木马)
ddos.exe (DDOS 工具,会攻击文件中自带的config.txt 里指向的所有地址)
在%UserProfile%Local SettingsTemp 目录下。然后自动连接病毒下载列表的下载地址:http://520sb.cn/dir/ind??_
2.2.3 计算机病毒的后门特性-Backdoor
有时候病毒还会自动连接到某IRC 站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。 如灰鸽子病毒
然后,通过控制端,对中毒机进行远程操控。
2.2.4 计算机病毒的信息收集特性-Stealer
SMTP 引擎发送到指定的某个指定的邮箱。
如:
QQ 密码和聊天记录
网络游戏帐号密码
网上银行帐号密码
用户网页浏览记录和上网习惯
……
这段时间流行比较厉害的相关的盗号木马,都具有信息收集的特性。
2.2.5 自身隐藏特性-Hide & Rootkit
显示权限等进行修改,以使其更加隐蔽不易被发现。
更有一些病毒会使用Rootkit 技术来隐藏自身的进程和文件,使得用户更难以发现。
2.2.6 文件感染特性-Infector
正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。
有的文件型病毒会感染系统中其他类型的文件。
这类病毒的典型例子就是:PE_LOOKED 维京、PE_FUJACKS 熊猫烧香、机器狗病毒和磁碟机病毒。
2.2.7 网络攻击特性-Attacker
在受攻击的计算机上远程执行恶意代码。 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统当系统在中毒之后,中毒机会自动将系统的相关资料,如IP 地址,端口号,键盘记录等资料,发送到木马控制大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信息通常都会被病多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文使用Rootkit 技术的病毒,通常都会有一个.SYS 文件加载在系统的驱动中,用以实现Rootkit 技术的隐藏功能。文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象
一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计如振荡波病毒、狙击波病毒,ARP 攻击等。
大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪
【安全】常见病毒类型说明及行为分析 0点
1、目前杀毒厂商对恶意程序的分类
nbsp; 木马病毒: TROJ_XXXX.XX
nbsp; 后门程序: BKDR_XXXX.XX
nbsp; 蠕虫病毒: WORM_XXXX.XX
nbsp; 间谍软件: TSPY_XXXX.XX
nbsp; 广告软件: ADW_XXXX.XX
nbsp; 文件型病毒: PE_XXXX.XX
nbsp; 引导区病毒:目前世界上仅存的一种引导区病毒
POLYBOOT-B
2、病毒感染的一般方式
病毒感染系统时,感染的过程大致可以分为:
通过某种途径传播,进入目标系统
自我复制, 并通过修改系统设置实现随系统自启动
激活病毒负载的预定功能如:
打开后门等待连接
发起DDOS 攻击
进行键盘记录
发送带计算机使用记录电子邮件
2.1 常见病毒传播途径
毒,它们传播、感染系统的方法也有所不同。
nbsp; 计算机病毒传播方式主要有:
ü 电子邮件
ü 网络共享
ü P2P 共享
ü 系统漏洞
ü 浏览网页
ü 移动磁盘传播
ü 打开带毒影音文件
2.1.1电子邮件传播方式
nbsp; HTML正文可能被嵌入恶意脚本,
nbsp; 邮件附件携带病毒压缩文件
nbsp; 利用社会工程学进行伪装,增大病毒传播机会
nbsp; 快捷传播特性 除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对
例:WORM_MYTOB,WORM_STRATION等病毒
2.1.2 网络共享传播方式
nbsp; 病毒会搜索本地网络中存在的共享,包括默认共享
如ADMIN$ ,IPC$,E$ ,D$,C$
nbsp; 通过空口令或弱口令猜测,获得完全访问权限
病毒自带口令猜测列表
nbsp; 将自身复制到网络共享文件夹中
通常以游戏,CDKEY 等相关名字命名
例:WORM_SDBOT 等病毒
2.1.3 P2P共享软件传播方式
nbsp; 将自身复制到P2P 共享文件夹
通常以游戏,CDKEY 等相关名字命名
nbsp; 通过P2P 软件共享给网络用户
nbsp; 利用社会工程学进行伪装,诱使用户下载
例:WORM_PEERCOPY.A,灰鸽子等病毒
2.1.4 系统漏洞传播方式
nbsp; 病毒往往利用系统漏洞进入系统, 达到传播的目的。
nbsp; 常被利用的漏洞
– RPC-DCOM 缓冲区溢出 (MS03-026)
– Web DAV (MS03-007)
– LSASS (MS04-011)
– Internet Explorer 中的漏洞(MS08-078)
– 服务器服务中允许远程执行代码的漏洞(MS08-067)
(Local Security Authority Subsystem Service)
例:WORM_MYTOB 、WORM_SDBOT等病毒
2.1.5 网页感染传播方式
主要是通过恶意脚本
网页感染传播方式是当前网络主要的传播方式,这种传播方式有以下几大优点:
1、代码灵活多变
利用直接的JAVA 恶意脚本。
利用框架代码 nbsp; 由于操作系统固有的一些设计缺陷, 导致被恶意用户通过畸形的方式利用后, 可执行任意代码, 这就是系统漏
利用转译后的base64、ESC 、ASCII 等方式的代码
2、木马版本更新速度快
ActiveX 控件栈溢出漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞等漏洞的网页木马
2.1.6 其他常见病毒感染途径:
ü 与影音文件捆绑
ü 与正常软件捆绑
ü 用户直接运行病毒程序
ü 由其他恶意程序释放
目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。
2.1.7 广告软件/灰色软件
由于广告软件/灰色软件的定义,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定。 由于采用网页方式,木马控制者只需要更新后台的木马主程序版本,即可更新木马版本,造成反病毒软件无法察常见的有利用的漏洞包括:MS08-078、MS06-014、联众世界GLIEDown2.dllActive 控件任意代码执行漏洞、超
2.1 病毒自启动方式
一般来说,计算机病毒除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。
能。
计算机病毒对系统的修改方式有:
q 修改注册表
q 将自身添加为服务
q 将自身添加到启动文件夹
q 修改系统配置文件
计算机对操作系统的修改加载方式有:
q 服务和进程-病毒程序直接运行
q 嵌入系统正常进程-DLL 文件和OCX 文件等
q 驱动-SYS 文件
2.2.1 计算机病毒修改注册表的情况:
病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机
1、注册表启动
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下:
RunServices
RunServicesOnce
Run
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下:
Run
RunOnce
RunServices
以上这些键一般用于在系统启动时执行特定程序
2、通过注册表对程序进行映像劫持
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
3、通过注册表修改文件关联项
HKEY_CLASSES_ROOT下:
exefileshellopencommand] @=""%1" %*"
comfileshellopencommand] @=""%1" %*"
batfileshellopencommand] @=""%1" %*"
htafileShellOpenCommand] @=""%1" %*"
piffileshellopencommand] @=""%1" %*“
……
例如:病毒将"%1 %*"改为 “virus.exe %1 %*",virus.exe 将在打开或运行相应类型的文件时被执行。
2.2.2 修改配置文件
例如:(以病毒名为virus.exe 为例)
%windows% wininit.ini中[Rename]节
NUL=c:windowsvirus.exe
将c:windowsvirus.exe设置为NUL, 表示让windows 在将virus.exe 运行后删除.
Win.ini 中的[windows]节
load = virus.exe
run = virus.exe 这两个变量用于自动启动程序。
System.ini 中的[boot]节
Shell = Explorer.exe,virus.exe
Shell 变量指出了要在系统启动时执行的程序列表。
所以,在平常我们的安全防护中,需要大家多多关注以上的系统配置文件。
2.2.3 病毒常修改的Bat 文件 目前,也经常发现计算机病毒会修改系统的配置文件,如WINDOWS 系统的wininit.ini 、Win.ini 、System.ini 。
WINDOWS 系统的BAT 文件也是可执行文件类型之一,计算机病毒也经常会修改这些文件,来实现病毒传播和例如:
%windows%winstart.bat
该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。 还有Autoexec.bat 在DOS 下每次都会自启动执行。
所以,这类文件在我们平常的系统维护中,也得特别注意。
2.2.4 修改启动文件夹
毒修改系统启动文件夹有以下两种方式:
1、当前用户的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项
2、公共的启动文件夹
可以通过如下注册表键获得:
SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项
病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。
2.3 常见病毒行为
病毒感染系统后,无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高式如何,我们都需要关注的是病毒的隐性行为!
2.3.1 计算机病毒的下载特性-Downloader
如大水牛下载者病毒 计算机病毒非常喜欢修改系统的启动文件夹,将病毒的快捷方式加入启动文件夹,以实现随系统自动启动的目的过高内存资源、自动弹出/关闭窗口、自动终止某些进程(特别是反病毒软件进程)等各种不正常现象。无论病很多木马、后门程序间谍软件会自动连接到Internet 某Web 站点,下载其他的病毒文件或该病毒自身的更新版本
当系统中此病毒后,病毒会自动下载病毒列表到%SystemRoot%system32nwizs.txt ,通过此列表下载的病毒会被再下载其他的计算机病毒文件。
大水牛病毒下载列表里面就包含:
microsoft.exe (机器狗,专杀能清除)
hosts.exe (是hosts 文件里面免疫了好多网址)
arp.exe (大水牛下载者病毒最新程序)
cq.exe (里面包含黑客木马fei.exe 和传奇盗号器lj.exe )
wow.exe (魔兽盗号木马)
ddos.exe (DDOS 工具,会攻击文件中自带的config.txt 里指向的所有地址)
在%UserProfile%Local SettingsTemp 目录下。然后自动连接病毒下载列表的下载地址:http://520sb.cn/dir/ind??_
2.2.3 计算机病毒的后门特性-Backdoor
有时候病毒还会自动连接到某IRC 站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。 如灰鸽子病毒
然后,通过控制端,对中毒机进行远程操控。
2.2.4 计算机病毒的信息收集特性-Stealer
SMTP 引擎发送到指定的某个指定的邮箱。
如:
QQ 密码和聊天记录
网络游戏帐号密码
网上银行帐号密码
用户网页浏览记录和上网习惯
……
这段时间流行比较厉害的相关的盗号木马,都具有信息收集的特性。
2.2.5 自身隐藏特性-Hide & Rootkit
显示权限等进行修改,以使其更加隐蔽不易被发现。
更有一些病毒会使用Rootkit 技术来隐藏自身的进程和文件,使得用户更难以发现。
2.2.6 文件感染特性-Infector
正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。
有的文件型病毒会感染系统中其他类型的文件。
这类病毒的典型例子就是:PE_LOOKED 维京、PE_FUJACKS 熊猫烧香、机器狗病毒和磁碟机病毒。
2.2.7 网络攻击特性-Attacker
在受攻击的计算机上远程执行恶意代码。 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统当系统在中毒之后,中毒机会自动将系统的相关资料,如IP 地址,端口号,键盘记录等资料,发送到木马控制大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信息通常都会被病多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文使用Rootkit 技术的病毒,通常都会有一个.SYS 文件加载在系统的驱动中,用以实现Rootkit 技术的隐藏功能。文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种异常现象
一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计如振荡波病毒、狙击波病毒,ARP 攻击等。
大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪