计算机恶意代码与防护

5计算机恶意代码与防护

恶意代码（Maliciouscode）或者叫恶意软件（Malware：MaliciousSoftware）是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。

亨达通信恶意代码的发展史2001年，国信安办与公安部共同主办了我国首次计算机病毒疫情网上调查工作。结果感染过计算机病毒的用户高达63％，其中，感染三次以上的用户又占59％多，网络安全存在大量隐患。2001年8月，“红色代码”CodeRed蠕虫利用微软Web服务器IIS4.0或5.0中Index服务的安全漏洞，攻破目标机器，并通过自动扫描方式传播蠕虫，在互联网上大规模泛滥。2003年1月，SQLSLammer

蠕虫导致互联网90％脆弱主机受到感染。同年8月，“冲击波”Blaster蠕虫爆发，8天内导致全球大量用户电脑受影响。亨达通信恶意代码的发展史2004年到2006年，振荡波蠕虫、波特后门等恶意代码利用电子邮件和系统漏洞对网络主机进行疯狂传播，给国家和社会造成了巨大的经济损失。目前，网络木马等恶意代码问题成为信息安全需要解决的，迫在眉睫的、刻不容缓的安全问题。亨达通信本章主要内容

计算机恶意代码的主要类型计算机恶意代码分析常见恶意代码感染迹象与处理计算机恶意代码防护计算机恶意代码攻防应用实例防病毒系统亨达通信5.1计算机恶意代码的主要类型按传播方式，恶意代码可以分成五类：病毒、木马、蠕虫、间谍软件和移动代码。

(1)病毒病毒一般都具有自我复制的功能，同时，它们还可以把自己的副本分发到其他文件、程序或电脑中去。病毒一般镶嵌在主机的程序中，当被感染文件执行操作的时候（例如：打开一个文件，运行一个程序，点击邮件的附件等），病毒就会自我繁殖。由于设计者的目的不同，病毒也拥有不同的功能，一些病毒只是用于恶作剧，而另一些则是以破坏为目的，还有一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功能。亨达通信

(2)特洛伊木马

特洛伊木马从表面上看没有什么，但是实际上却隐含着恶意意图。一类木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一类木马会以一个软件的身份出现（例如：一个可供下载的游戏），但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现，因为它一般是以一个正常的应用的身份在系统中运行的。特洛伊木马可以分为以下三个模式：●通常潜伏在正常的程序应用中，附带执行独立的恶意操作;●通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作;●完全覆盖正常的程序应用，执行恶意操作。

亨达通信

(3)蠕虫

是一种可以自我复制的完全独立的程序，它可以通过信息系统或计算机网络进行自身传播。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQLSlammer。

SQLSlammer(2003年1月)该病毒利用SQLSERVER2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击，全球超过50万台服务器被攻击。

亨达通信

Blaster(2003年8月)：“冲击波”这个利用微软RPC(远程过程调用协议,对应于135、139、445等端口)漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户，使他们的计算机无法工作并反复重启，大量企业用户也未能幸免。该病毒还引发了DOS攻击，使多个国家的互联网也受到相当影响。亨达通信

(4)间谍软件

“间谍软件”其实是一个灰色区域，所以并没有一个明确的定义。然而，正如同名字所暗示的一样，它通常被泛泛的定义为从计算机上搜集信息，并在未得到该计算机用户许可（即用户不知情的情况下）时便将信息传递到第三方的软件，包括监视击键，搜集机密信息（密码、信用卡号、PIN码等），获取电子邮件地址，跟踪浏览习惯等。间谍软件还有一个副产品，在其影响下这些行为不可避免的影响网络性能，减慢系统速度，进而影响整个商业进程。通常这些信息会被传给广告商或其他相关人员。亨达通信

(5)移动代码

移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Javaapplets、ActiveX、JavaScript和VBScript。移动代码另外两个比较常见的名称是“网页木马”或“网页恶意代码”。亨达通信5.2计算机恶意代码分析

如何发现系统中有恶意代码呢？虽然有许多反病毒工具可以报警，但对于一些新出现的恶意代码，反病毒软件也可能暂时无法识别，但我们可以通过一些事先的征兆加以注意。（1）平时运行正常的计算机突然经常性无缘无故地死机（2）操作系统无法正常启动（3）运行速度明显变慢（4）正常运行的软件经常发生内存不足问题（5）无意中要求对U盘进行写操作（6）以往正常运行的应用程序经常发生死机或者非法错误（7）系统文件的时间、日期、大小发生变化亨达通信（8）

硬盘读写时间明显增加(频繁读写硬盘)（9）

磁盘空间迅速减少（10）

网络驱动器卷或共享目录无法调用。（11）

基本内存发生变化。（12）

陌生人发来的电子邮件（13）自动链接到一些陌生的网站（14）系统中出现一些异常的TCP、UDP端口连接，网络流量异常。亨达通信5.3常见恶意代码感染迹象与处理(1)系统常见功能无法使用如：无法进入桌面、IE浏览器无法正常使用、无法运行任何可执行程序、驱动器被隐藏等。“无法进入桌面”的解决：一般这种情况下系统“任务管理器”的“运行”功能还是可用的，可以从其他相同的操作系统中拷贝explorer.exe(即资源管理器)到当前系统的系统目录即可。IE浏览器无法正常使用：常见原因是浏览器主文件iexplore.exe文件被破坏，采用如上方法恢复即可，或是下载傲游Maxthon

、搜狗sogou、firefox（火狐）、Opera等浏览器暂时代用。亨达通信(2)被下载运行木马程序①浏览某些“被挂马”的网站时，会被IE下载木马程序并自动运行。预防方法：①安装最新系统补丁及最新版IE浏览器；②安装防病毒程序等安全软件。②下载的各类软件中带木马。预防方法：尽量到到正规大型网站下载，下载到本机后先查杀病毒。亨达通信(3)注册表被锁定解决办法：①下载超级兔子、Windows优化大师等软件进行恢复；②注册表中：“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”中的一个键名叫“DisableRegistryTools”的十六进制的值由1改为0，1为禁止，0为允许。利用记事本等新建一个文件：REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]保存为enable.reg后执行即可。亨达通信(4)IE浏览器被恶意修改如修改默认主页、IE标题栏、IE右键、IE地址栏；或是弹出广告对话框等，一般都可以通过修改注册表选项进行恢复，具体见“IE浏览器被恶意修改及解决方案.doc”。实际使用中多是通过超级兔子、Windows优化大师等软件实现恢复。亨达通信5.4计算机恶意代码防护近来新型恶意代码多是基于系统漏洞(包括浏览器漏洞)的，因此主要结合系统安全加固、安全软件及其他安全技术进行综合防护。①操作系统和应用程序要及时打补丁，更新为最新的版本。②正确使用防病毒软件，及时更新病毒库代码，同时配合木马及病毒专杀工具。③使用防火墙及其他访问控制工具将恶意代码利用的服务和端口进行封堵。④关闭恶意代码利用的客户端功能，如在IE浏览器中禁行未标识安全或未签名的ActiveX插件执行脚本。⑤利用邮件病毒网关检测邮件恶意代码的传播。⑥通过部署入侵检测系统等实时监控网络内是否有恶意代码攻击的异常现象。亨达通信5.5计算机恶意代码攻防应用实例（1）SOLA病毒演示、预防及处理

SOLA病毒,也称之为“宅男病毒”、worm.script.bat.Agent、Trojan.Win32.Sola病毒，是近两三年影响较为广泛恶意代码。病毒会感染用户近期打开过的(DOC，TXT，JPG)文件，使之全部变成EXE文件，该病毒主要通过U盘等移动存储介质传播。演示过程：拷贝病毒到虚拟机执行，然后进行分析。运行:msconfig后，会看到病毒启动项如下：右键--编辑--开始菜单--启动项中的SOLA.VBS文档：通过任务管理可以看到sleep.exe进程。亨达通信由该VBS文档可看出该病毒藏身于:C:\WINDOWS\Fonts\HIDESE~1\文件夹，从资源管理器进入Fonts文件夹，没有发现HIDESE~1目录，因为该目录被设置为隐藏，从命令行进入Fonts目录，运行dir/a后发现该文件夹。使用cd

命令无法进入该文件夹，因为其使用了畸形文件夹名称。使用explorerhideself...\命令可查看该文件夹内容；使用rmdir

hideself...\/s命令可删除该文件夹（也可通过工具软件删除该畸形文件夹）。手动清除该病毒的方法：①清除msconfig中的启动项；②删除开始菜单—启动中的启动项；③删除C:\WINDOWS\Fonts\HIDESE~1目录。亨达通信预防该类病毒较为有效的系统设置措施：将资源管理设置为：（2）文件夹病毒该病毒也是常见的U盘