常见恶意软件

恶意软件

一、病毒特点

　　传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性

二、木马

1、介绍

　　其特征与特洛伊木马一样具有伪装性，表面上没有危害，甚至还附有用户需要的功能，但会在用户不经意间，进行破坏或窃取用户数据。

2、特点

　　占用空间小、运行后较难阻止其行为、隐蔽性高。

3、常见恶意软件：DDOS木马

• 黑客可向指定ip发送DDOS攻击，影响其正常业务
• 代表：盖茨木马

　　　　此类Linux木马主要恶意特点是具备了后门程序，DDOS攻击能力，并且会特换常用的系统文件进行伪装。

　　　　木马得名于其在变量函数的命名中，大量使用Gates这个单词。

　　　　盖茨木马主要针对中国地区的服务器进行DDOS攻击。

• 其余DDOS木马

　　　　DDOS_XOR、DbSecuritySpt......

三、蠕虫

1、介绍

　　蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它是利用网络进行复制和传播，传播途径是通过网络和电子邮件。

2、特点

　　蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行，未必会直接破坏被感染的系统，却几乎对网络有害。但也有直接破坏系统资源的蠕虫病毒：WannCry。

3、常见恶意软件：蠕虫病毒

• 代表：熊猫烧香

　　　　拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe、com、pif、src、html、asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件。

• 其余蠕虫

红色代码、超级病毒、WannaCry

四、Rootkit

1、介绍

　　术语来自于Unix系统。最早的一个版本是出现在SunOS 4。

　　用于修改操作系统，以改变操作系统的表现行为的工具软件。而这种改变，往往不是操作系统设计时所期望的。

　　Rootkit 也可视为一项技术，恶意软件利用该项技术来达到隐藏自身的目的。

2、特点

　　多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有—些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改，以使其更加隐藏不易被发现

　　有一些会使用 Rootkit 技术来隐藏自身的进程和文件，使得用户更难以发现。

　　使用Rootkit技术的病毒，通常都会有一个 .SYS.文件加载在系统的驱动中，用以实现 Rootkit 技术的隐藏功能。

3、Rootkit实现的功能及方法

• 隐匿系统资源：进程、系统服务、网络端口、文件、注册表设置、用户账户
• 实现手段：用户模式系统调用劫持、核心模式系统调用劫持、核心模式数据篡改、核心模式中断处理程序劫持

 五、僵尸（Bot）和僵尸网络（Botnet）

1、介绍

　　僵尸：一种集后门与蠕虫一体的恶意程序，通常使用 IRC（Internet Relay Chat）接受和执行黑客命令。

　　僵尸网络：将大量主机感染 bot 程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

2、常见恶意软件：挖矿木马

• 黑客通过木马控制大量肉鸡电脑，为其制造虚拟货币，占用大量的系统资源
• 代表：ddg
  • 对可以未授权访问 redis 的服务器写入公钥登录，定时下载并执行脚本
  • 脚本下载 AnXqV 和 ddg 文件并运行，AnXqV 进行挖矿，ddg进行系统监控远程调用并内网传播
• 其余挖矿木马

　　Linux.MulDrop.14、minerd......

六、勒索软件

1、危害

　　通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。

2、代表：WannaCry

　　WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

　　被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统─修改为. WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

3、其余勒索软件

　　RansomWare、Crypt0L0ocker、CrytoLocker、CryptWall.....

恶意软件的危害

• 破坏计算机
• 窃取用户隐私信息
• 利用被病毒控制的用户计算机进行非法行为
• 占用计算机空间、抢占硬件资源
• 网络攻击

　　　　一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种　　　　　　异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。

　　　　一些木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击，发送大量数据包以阻塞网络，甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

　　　　典型：振荡波--利用MS04-011漏洞攻击、WannaCry--利用MS17-010进行传播

恶意软件的传播途径

　　除引导区病毒外，所以其他类型的病毒，无一例外，都要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，他们传播。感染系统的方法也有所不同。

　　传播方式

　　电子邮件、网页感染、钓鱼软件、网络共享、系统漏洞、移动磁盘传播

　　下载特性

　　很多木马、后面程序间谍软件会自动链接到 Internet 某Web站点，下载其他的病毒文件或该病毒自身的更新版本 / 其他变种

　　后门特性

　　后门程序很多木马、蠕虫和间谍软件会在受感染的系统中开启并监听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

　　文件感染特性

　　文件性病毒的一个特性是感染系统中部分 / 所有的可执行文件，。病毒会将恶意代码插入到系统中正常的执行文件中，使得系统正常文件被破坏为无法运行，或使系统正常文件感染病毒而成为病毒体。

　　有的文件性病毒会感染系统中其他类型的文件。

　　如：PE_LOOKED 维京、PE_FUJACKS 熊猫烧香

自启动

1、介绍

　　出引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性

　　恶意软件的行为的前提是运行在系统中，这就决定了恶意软件必然要对系统进行修改，达到开机自启动运行的目的。

2、常用手段

• 修改注册表

• • 注册表启动项

　　　　HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion下 ：RunServices

　　　　　　　　　R.unServices9nse

　　　　　　　　　Run

　　　　　　　　　RunOnce

　　　　HKEY_CURRENT_USER\Software\Microsoft\WindowslCurrentVersion下：Run

　　　　　　　　　RUnOnce

　　　　　　　　　unServices

• • 文件关联项

　　　　HKEY_CLASSES_ROOT下:

　　　　　　　　　exefile \ shell \ open \ command] @=" \ "%1\”%* "

　　　　　　　　　comfile \ shell \ open \ command] @=" \ "%1\” %* "

　　　　　　　　　batfile \ shell \ open \ command] @=" \ "%1\” %* " 

　　　　　　　　　htafile \ Shell \ Open \ Command] @=" \ "%1\” %* "

　　　　　　　　　piffile \ shell \ open \ command] @=" \ "%1\” %* "

　　　　　　　　　.......

　　　　　　　　　病毒将"%1%* "改为“virus.exe %1%*"

　　　　　　　　　virus.exe将在打开或运行相应类型的文件时被执行

 

• • 系统服务项

　　　　在[控制面板]-[管理工具]-[服务]中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件。对于不正常的服务，可直接在注册表中删除该服务的主键。

　　　　HKEY_LOCAL_MACHINENS \ SYSTEM \ CurrentControlSet \ Services\

• • BHO（Browser Help Object）项

    • BHO项在注册表中包含以下主键的内容：

　　　　HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects

　　　　HEKY_CLASSES_ROOT \ CLSID \

　　　　可以在HKEY_CLASSES_ROOT \ CLSID \ 下的InprocServer32 主键中查看BHO项所指向的文件。当发现指向了可疑文件时，可直接删除以上注册表路径下所有包含了该CLSID的主键。

• • • 使用Hijackthis工具可以迅速有效的分析系统中的BHO项

  • 其他

　　　　　在注册表中检查以下注册表加载项键值：

　　　　HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Windsows

　　　　AppInit_DLLs =  ""

　　　　HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Windsows

　　　　Load =  ""

　　　　该键值默认为空，若键值被修改，可直接将键值内容清空。

• 注册为系统服务

 

• 修改自启动文件夹

  • 当前用户的启动文件夹

　　　　可以通过如下注册表键获得：

　　　　Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders 中的 StartUp项

• • 公共的启动文件夹

　　　　可以通过如下注册表键获得：

　　　　Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders 中的 Common StartUp 项，病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。

　　　　

• 修改系统配置文件

　　　　Win.ini 中的[ windows ]节

　　　　　　　　load = virus.exe

　　　　　　　　run = virus.exe

　　　　这两个变量用于自动启动程序

　　　　System.ini 中的[ boot ]节

　　　　　　　　Shell = Explorer.exe，virus.exe

　　　　Shell变量指出了要在系统启动时执行的程序列表

　　

3、加载方式

• 服务和进程，病毒直接运行
• 嵌入系统正常进程，DLL注入
• 驱动，SYS文件

工具

常用工具

• HijackThis
• Process Explorer
• PCHunter
• 火绒剑
• processHacker
• Autoruns

常用杀毒软件

• 360杀毒
• McAfee
• 卡巴斯基
• 诺顿

常用恶意软件查杀工具

• 火绒
• Emsisoft
• Hitmanpro