1. 防治病毒和惡意代碼的方法有哪些
(一)永遠斷網、拒絕未知U盤接入
比較極端的方式是電腦永遠不聯網,用定製的Linux系操作系統或其他自製操作系統,禁止所有未知安全性的U盤插入。這是國家安全機構在某些環節會用到的方式,不適合普通家庭用戶。
(二)還原軟體、影子系統
冰點、shadow defender、PowerShadow、等,這類軟體可以隔離你對保護區域的文件的改動,重啟或者設置後,能恢復原樣,在恢復過程中自然也能消除所有改動和新增的程序文件,包括病毒。類似的還有「虛擬機」,如vmware、等。不過這類方式也不太適合家庭用戶,中木馬後,密碼會被毫無徵兆的盜走,而沒有任何警報,而且家用電腦通常每天會有很多個性化的改動微調、增刪文件等,如果每天都設置一下還原軟體或影子系統,會比較繁瑣。
(三)殺毒軟體
這是最普適的方式,首先當然要提到《網路殺毒》,然後是國內比較主流的是360殺毒、金山毒霸、等,最後是國外比較著名的(我只說歐洲的)如卡巴斯基、小紅傘、eset、BitDefender、等,這些安全軟體的防禦力完全可以滿足普通家用的需求,防禦病毒和惡意代碼毫無壓力(只等下一個全球性的病毒被開發出來)。有的網友有一種妄想,就是黑客會來攻擊他,其實這種擔憂完全沒必要,有能力干這事的黑客,絕對有更豐厚的收入來源等著他,絕對不會浪費在你身上,很多網友中毒僅僅是因為自己安裝的殺毒軟體工作狀態不正常、比如服務未啟、病毒庫很長時間沒更新等,只要你確保自己安裝的靠譜的殺毒軟體狀態良好,就不應該擔心中毒了。如果你是李嘉誠,當然有必要請網路安全磚家來保障你的電子設備、賬戶和隱私等的安全。
2. 如何分辨惡意代碼
如何防範看不見的網頁病毒
當網頁病毒愈演愈烈,諸如網頁惡意代碼、網頁木馬、蠕蟲、絕情炸彈、歡樂時光、極限女孩等病毒,放肆的通過不計其數的固定的或臨時的惡意網站傳播並破壞計算機的時候,工程師們不得不把注意力更多的投向了網頁病毒的工作方式上——「僅僅是看了一眼」惡意網頁,就會感染病毒,對系統造成破壞,其作用機制又是如何的呢?
普通病毒侵入計算機的方式雖然復雜,但只要堵住漏洞不被他人有意將病毒復制進入或不下載和打開陌生文件、郵件,都還是能夠避免的。而網頁病毒則是通過瀏覽網頁侵入,人們無從識別難以防範。現在讓大家一起了解網頁病毒是怎樣工作的?
*
第一步:網頁病毒大多由惡意代碼、病毒體(通常是經過偽裝成正常圖片文件後綴的.exe文件)和腳本文或JAVA小程序組成,病毒製作者將其寫入網頁源文件;
*
第二步:用戶瀏覽上述網頁,病毒體和腳本文件以及正常的網頁內容一起進入計算機的臨時文件夾;
*
第三步:腳本文件在顯示網頁內容的同時開始運行,要麼直接運行惡意代碼,要麼直接執行病毒程序,要麼將偽裝s的文件還原為.exe文件後再執行,執行任務包括:完成病毒入駐,修改注冊表,嵌入系統進程,修改硬碟分區屬性等;
*
第四步:網頁病毒完成入侵,在系統重啟後病毒體自我更名、復制、再偽裝,接下來的破壞依病毒的性質正式開始;
注:網頁病毒的工作或稱其為遺傳結構是簡單的,但這便意味著它們能迅速變異。
基本上所有的病毒都可以通過殺毒軟體殺滅,但遺憾的是殺毒軟體總是慢半拍,尤其對網頁病毒,殺毒軟體幾乎跟不上趟。對此網友們只能無奈的相互告誡,盡量不要瀏覽不熟悉的網站,不少網站專門登出惡意網站地址以提醒大家注意。今天在互聯網上隨意揮灑的自由已經被大塊剝奪。
事實上免疫系統才是病毒最大的敵人,軟體工程師早就知道,只要禁止腳本文件則網頁病毒就無法完成入侵,但是這么一來大部分的網頁特效也將無法展示,工程師們不能讓網頁失去生動華麗、光彩照人的魅力。解決這一難題,以往只能使用殺毒軟體的腳本監控功能,從系統的底層監視瀏覽器的網頁執行,並產生提示信息,由用戶自己決定取捨,這一方法在使用中顯然不合常理,因此並未得到用戶的廣泛認可;某實名軟體採用了惡意網頁代碼清除技術,這一方法在使用中僅僅解決極少數早先被截獲的惡意網頁代碼在IE中的修復問題,效果極差;某些免疫軟體還採用了屏蔽自定義的惡意網站列表的方法,這一做法顯然太弱智,惡意網站層出不窮,豈能靠屏蔽自定義列表解決;上述方法都完全無法從根本上解決所有瀏覽器受網頁病毒侵入的問題。在這方面,設計第三方管理軟體的工程師再次走在前面,他們不但採用腳本監控技術,而且對腳本服務模塊進行多層次處理,一方面保障腳本文件在所有瀏覽器中正常啟用,一方面切斷腳本文件攜帶病毒入侵的一切可能路徑。在這方面做得較好的軟體有:白貓清理工、優化大師、超級兔子等,配合軟體中的禁止IE自動彈出窗口功能,基本可以不再懼怕惡意網站。實際上,許多軟體不但能夠禁止網頁病毒和惡意網站,而且即便此前已經讓惡意網站完成入侵,也能夠自動偵測、清理。
特別值得提及的是,Mazilla公司的Firefox瀏覽器, 由於其採用完全獨立的內核,不採用ActiveX插件技術,因此在有害插件防範方面,比其他瀏覽器(特別是微軟的IE瀏覽器)有獨到的優勢 ,可以徹底杜絕ActiveX類惡意插件。而Firefox感染其它病毒的機會,也只有IE的21分之一(華盛頓大學統計結果,雅虎新聞)。
美中不足的是,國內的一些銀行網站,還使用落後的插件技術來進行網站支付的安全校驗,這樣的網站,就不能使用Firefox進行支付操作了。
好在越來越多的站點開始注意與Firefox的兼容性了。
3. 哪些方法是惡意代碼分析過程中不建議使用的
摘要 您好!很高興你選擇使用網路問一問咨詢項目!感謝你對我們的信任!在這里我攜手廣大的問一問工作人員以及答主。對你表示由衷的感謝,對您提出的這個問題,我們系統已經為您分配到最專業的答主,接下來的5分鍾內,他會對你提出的問題進行相關的解答,因為目前咨詢人數較多,請您耐心等待一下。你可以查看一下你的問題,補全資料,或者對你的問題進行補充說明。
4. 惡意代碼是什麼
惡意代碼
不必要代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟體。
一、惡意代碼的特徵
惡意代碼(Malicious code)或者叫惡意軟體Malware(Malicious Software)具有如下共同特徵:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特徵進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於主機的防火牆,通過記錄網路活動,才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網路上計算機系統的安全漏洞將自動攻擊腳本安裝到多台主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網路漏洞掃描
口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問許可權的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟體監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行信息刺探和網路攻擊。
(6)P2P 系統.
基於Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共埠穿透防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然後用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟體,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟體就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的限制和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括採用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟體,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平台,或者使用後門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,後門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
「混合病毒威脅」和「收斂(convergent)威脅」的成為新的病毒術語,「紅色代碼」利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
(3)多平台
多平台攻擊開始出現,有些惡意代碼對不兼容的平台都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,並且使用網路探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)伺服器和客戶機同樣遭受攻擊
對於惡意代碼來說伺服器和客戶機的區別越來越模糊,客戶計算機和伺服器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統預設的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限於伺服器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平台,病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟體執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對於防護效果的提高很小。
(2)用戶對於Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟體的花費要小,而被比喻成「治療比疾病本身更糟糕」。
(4)企業在防火牆管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟體有系統活動日誌,但是由於文件大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟體只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟體本身就有安全缺陷,容易被攻擊者利用,只是由於害怕被攻擊,病毒軟體廠商不願意談及。
(8)許多的軟體都是既可以用在安全管理,也可以用在安全突破上,問題在於意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鍾, Nimda 用了不到 30分鍾. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
5. 如何清除惡意代碼
建議用「黃山IE修復專家」------專門清除間隔一段時間自動彈出惡意網頁......
----------------------------------
黃山IE修復專家 V8.07
軟體語言:簡體中文
軟體類別:國產軟體 / 免費版 / 網路安全
應用平台:Win9x/NT/2000/XP/2003
最新版本: 8.07
軟體介紹:
反瀏覽器劫持病毒,超越IE修復極限,立足永久修復的治本之點。
同時具備IE修復、殺QQ病毒殺各種以服務方式運行的病毒、殺各類木馬(無進程木馬、插入線程木馬)、清除各種間諜廣告程序、各種流行病毒及系統救援與日誌上報於一身,一套等於多套。
修復易死灰復燃頑固性、古怪性惡意網頁所破壞的不能完全徹底修復的IE,專門清除間隔一段時間自動彈出惡意網頁、多開幾次IE及重起系統後又會被反復篡改的不能從注冊表、進程、服務、啟動項等清除的揮之不去、除之不盡的奇怪惡意代碼;一次性根除在用戶在打開文本文件、可執行文件、瀏覽器、我的電腦、驅動器等又會死灰復燃的關聯性病毒。
在修復時自動為系統建立備份快照,自動創建瀏覽器劫持日誌供用戶查看、分析。
特點:
集預防、修復、免疫、救援四大功能於一身無需實時監控,也可實現惡意網站預防及免疫,從而減少系統開銷,已免疫過的惡意站點以後將不會被感染。
可以清除用其他殺毒軟體在正常模式與安全模式下也無法刪除、清除失敗的病毒文件。
既然你選擇了這個工具、既然她是一個工具,那麼就不應該佔用您太多的時間來分析與交互,也不應是太多的高深莫測與難以駕馭,一切以人為本,寄予求新求變。
您休息,她工作;您悠然享受,我欣然服務;一切讓她來做。
我們的新觀念:
把復雜的事情變簡單,而不象日誌式的修復軟體把很簡單的事情搞復雜---如此反反復復地分析折騰,這無疑不是一個優秀軟體的所具有的品質和我們所願看到的;我們可以做的就是----簡單而有效。
---------------------------------------
說明:
主要功能:
1、清除QQ尾巴、黑客、蠕蟲、木馬病毒,IE清理,系統優化
2、清除惡意網站的惡意代碼
3、清除打開文本文件、可執行文件、flash、瀏覽器、我的電腦、驅動器等又會死灰復
燃的關聯性病毒
4、「毒」字敏感問題,也就是不能做與毒字方面的操作,及老是重起的問題
5、可以修復輸入空白頁但內容顯示的卻是別的英文網址
6、可以清除頑固性篡改主頁及收藏夾的問題
7、輸入一個網址卻被轉向另一個網址的問題
8、一些網頁可以打開,而部分網頁無法打開的問題,或者有時能打開有時不能打開的問題
9、無法打開網頁里具體某個連接及所有連接的問題(也就是說點連接沒反應),IE窗口無法最大化等
10、無法進入某個具體聊天室房間或只顯示一部分界面的問題
11、郵箱界面只顯示一部分界面的問題
12、集無需實時監控的預防、修復、永久免疫三大功能於一身
13、不停地向外面亂發垃圾郵件
14、修復注冊表被鎖、工具條刪不掉、右鍵被連入惡意網址、啟動時出現對話框等最常見現象。
15、該軟體的永久免疫功能無須實時開啟,當你以後再進入惡意網頁,惡意網頁對你再不會起作用
下載地址:http://www.skycn.com/soft/14441.html
或者下載:
這是MMAssit,它可以被超級兔子的專業卸載完全清除的。
你下載最新版的兔子試試了嗎?
兔子 安全模式下進行,不行就多試幾次
順序:安全模式 --》正常啟動-->安全模式--->正常啟動....
最新發布的版本是 7.72
6. 如何手動分析惡意軟體或病毒(主要是木馬)
用相關工具查看埠開放情況,如果發現有危險埠開放可以關聯到開放該埠的進程,那麼該進程就是病毒的進程了,將該進程直接刪除就行了。
還有就是分析病毒這種東西不是一朝一夕就能做到的,建議樓主多看一些關於PC安全的書籍,實踐。
7. 什麼是惡意代碼
不必要代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟體。
一、惡意代碼的特徵
惡意代碼(Malicious code)或者叫惡意軟體Malware(Malicious Software)具有如下共同特徵:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特徵進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於主機的防火牆,通過記錄網路活動,才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網路上計算機系統的安全漏洞將自動攻擊腳本安裝到多台主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網路漏洞掃描
口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問許可權的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟體監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行信息刺探和網路攻擊。
(6)P2P 系統.
基於Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共埠穿透防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然後用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟體,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟體就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的限制和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括採用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟體,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平台,或者使用後門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,後門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
「混合病毒威脅」和「收斂(convergent)威脅」的成為新的病毒術語,「紅色代碼」利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
(3)多平台
多平台攻擊開始出現,有些惡意代碼對不兼容的平台都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,並且使用網路探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)伺服器和客戶機同樣遭受攻擊
對於惡意代碼來說伺服器和客戶機的區別越來越模糊,客戶計算機和伺服器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統預設的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限於伺服器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平台,病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟體執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對於防護效果的提高很小。
(2)用戶對於Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟體的花費要小,而被比喻成「治療比疾病本身更糟糕」。
(4)企業在防火牆管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟體有系統活動日誌,但是由於文件大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟體只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟體本身就有安全缺陷,容易被攻擊者利用,只是由於害怕被攻擊,病毒軟體廠商不願意談及。
(8)許多的軟體都是既可以用在安全管理,也可以用在安全突破上,問題在於意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鍾, Nimda 用了不到 30分鍾. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
8. 惡意代碼的軟體部署常見的實現方式有哪些
1、等級保護中惡意代碼防範的基本要求惡意代碼防範主要涉及信息系統的網路、主機和應用三個層面。1.1 網路惡意代碼防範絕大多數的惡意代碼是從網路上感染本地主機的,因此,網路邊界防範是整個防範工作的重點,是整個防範工作的「第一道門檻」。如果惡意代碼進入內網,將直接威脅內網主機及應用程序的安全。防範控制點設在網路邊界處。防範需對所有的數據包進行拆包檢查,這樣會影響網路數據傳輸效率,故其要求的實施條件比較高。在不同等級信息系統中的要求也不同,如表1所示。1.2 主機惡意代碼防範主機惡意代碼防範在防範要求中占據著基礎地位。~方面是因為網防範的實施條件要求較高;另-方面因網路邊界防護並不是萬能的,它無法檢測所有的惡意代碼。因各等級信息系統都必需在本地主機進行惡意代碼防範,主機惡意代碼防範有以下三條要求:(1)應安裝防惡意代碼軟體,並及時更新防惡意代碼軟體版本和惡意代碼庫;(2)主機防惡意代碼產品應具有與網路防惡意代碼產品不同的惡意代碼庫;(3)應支持防惡意代碼軟體的統一管理。不同等級信息系統的惡意代碼防範要求如表2所示。1.3 應用程序的惡意代碼防範在等級保護基本要求中,對應用程序的惡意代碼防範沒有提出具體的要求。結合日常使用應用程序時在安全方面出現的問題,應用程序的惡意代碼防範應要求在應用程序使用前應先對應用程序進行漏洞檢測、黑白盒測試等,確保應用程序中不存在可被惡意代碼利用的漏洞、不存在編程人員插入的惡意代碼或留下的後門。2、惡意代碼防範的工作要點在等級保護安全測評工作中,具體的測評項和測評方法在測評標准中已經有較詳細的規定。根據實際工作經驗,我們提出防範惡意代碼要取得顯著成效,應注意的工作要點。2.1 風險評估應全面考慮系統的脆弱性和風險性風險評估應全面衡量信息系統在應用和數據方面的脆弱性,預估這些脆弱性衍生出安全風險的概率;然後結合系統已部署的安全措施對風險的影響進行全面分析2.2 注重全網防護,防止安全短板對系統的惡意代碼防護部署要做到多層次、多角度,確保在所有惡意代碼入口對惡意代碼進行檢測、阻止、清除。因此,在部署惡意代碼防範系統時要做到覆蓋全部終端和網路邊界,防止由於ARP或沖擊波這樣的惡意代碼感染系統內部分主機而導致整個網路不可用。2.3 在全網范圍內部署統一的安全管理策略在等保中,低級別安全域的威脅可能會影響到高級別安全域。為避免出現這種風險,可以在邏輯隔離區邊界配置訪問控制策略,限制通過網路對高級別安全域的訪問;還可以將網內不同級別安全域的配置統一為最高級別安全域的惡意代碼防範要求,防止低級別安全域中因防範策略過低感染惡意代碼後對基礎架構造成威脅。2.4 應注重對網路安全狀況的監控和多種保護能力的協作這主要是從管理和運維的角度對等保提出的要求。要求人員能隨時監控系統安全狀況,了解本網內信息系統發惡意代碼入侵事件,做到風險可視、行為可控;要求系統安全隱患進行預警、排除,對緊急情況進行應急處理。3、結語惡意代碼防範是信息系統安全等級工作的重要部分,網路、主機和應用三個層次。惡意代碼的分析方法分為靜析和動態分析。惡意代碼的檢測技術包括特徵碼掃描、虛擬機檢測、啟發式掃描、完整性控制、主動防禦等。在分析、檢測和防範三者中,分析是基礎、檢測是關鍵、防範是目標。提高風險意識、注重全網防護、實施統一管理