常见恶意软件

恶意软件

一、病毒特点

  传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性

二、木马

1、介绍

  其特征与特洛伊木马一样具有伪装性,表面上没有危害,甚至还附有用户需要的功能,但会在用户不经意间,进行破坏或窃取用户数据。

2、特点

  占用空间小、运行后较难阻止其行为、隐蔽性高。

3、常见恶意软件:DDOS木马

  • 黑客可向指定ip发送DDOS攻击,影响其正常业务
  • 代表:盖茨木马

    此类Linux木马主要恶意特点是具备了后门程序,DDOS攻击能力,并且会特换常用的系统文件进行伪装。

    木马得名于其在变量函数的命名中,大量使用Gates这个单词。

    盖茨木马主要针对中国地区的服务器进行DDOS攻击。

  • 其余DDOS木马

    DDOS_XOR、DbSecuritySpt......

三、蠕虫

1、介绍

  蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它是利用网络进行复制和传播,传播途径是通过网络和电子邮件。

2、特点

  蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行,未必会直接破坏被感染的系统,却几乎对网络有害。但也有直接破坏系统资源的蠕虫病毒:WannCry。

3、常见恶意软件:蠕虫病毒

  • 代表:熊猫烧香

    拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件。

  • 其余蠕虫

红色代码、超级病毒、WannaCry

四、Rootkit

1、介绍

  术语来自于Unix系统。最早的一个版本是出现在SunOS 4。

  用于修改操作系统,以改变操作系统的表现行为的工具软件。而这种改变,往往不是操作系统设计时所期望的。

  Rootkit 也可视为一项技术,恶意软件利用该项技术来达到隐藏自身的目的。

2、特点

  多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有—些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改,以使其更加隐藏不易被发现

  有一些会使用 Rootkit 技术来隐藏自身的进程和文件,使得用户更难以发现。

  使用Rootkit技术的病毒,通常都会有一个 .SYS.文件加载在系统的驱动中,用以实现 Rootkit 技术的隐藏功能。

3、Rootkit实现的功能及方法

  • 隐匿系统资源:进程、系统服务、网络端口、文件、注册表设置、用户账户
  • 实现手段:用户模式系统调用劫持、核心模式系统调用劫持、核心模式数据篡改、核心模式中断处理程序劫持

 五、僵尸(Bot)和僵尸网络(Botnet)

1、介绍

  僵尸:一种集后门与蠕虫一体的恶意程序,通常使用 IRC(Internet Relay Chat)接受和执行黑客命令。

  僵尸网络:将大量主机感染 bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

2、常见恶意软件:挖矿木马

  • 黑客通过木马控制大量肉鸡电脑,为其制造虚拟货币,占用大量的系统资源
  • 代表:ddg
    • 对可以未授权访问 redis 的服务器写入公钥登录,定时下载并执行脚本
    • 脚本下载 AnXqV 和 ddg 文件并运行,AnXqV 进行挖矿,ddg进行系统监控远程调用并内网传播
  • 其余挖矿木马

  Linux.MulDrop.14、minerd......

六、勒索软件

1、危害

  通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。

2、代表:WannaCry

  WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。

  被该勒索软件入侵后,用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密,加密文件的后缀名被统─修改为. WNCRY,并会在桌面弹出勒索对话框,要求受害者支付价值数百美元的比特币到攻击者的比特币钱包,且赎金金额还会随着时间的推移而增加。

3、其余勒索软件

  RansomWare、Crypt0L0ocker、CrytoLocker、CryptWall.....

恶意软件的危害

  • 破坏计算机
  • 窃取用户隐私信息
  • 利用被病毒控制的用户计算机进行非法行为
  • 占用计算机空间、抢占硬件资源
  • 网络攻击

    一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击,从而导致受攻击的计算机出现各种      异常现象,或是通过漏洞在受攻击的计算机上远程执行恶意代码。

    一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击,发送大量数据包以阻塞网络,甚至通过散布虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪。

    典型:振荡波--利用MS04-011漏洞攻击、WannaCry--利用MS17-010进行传播

恶意软件的传播途径

  除引导区病毒外,所以其他类型的病毒,无一例外,都要在系统中执行病毒代码,才能实现感染系统的目的。对于不同类型的病毒,他们传播。感染系统的方法也有所不同。

  传播方式

  电子邮件、网页感染、钓鱼软件、网络共享、系统漏洞、移动磁盘传播

  下载特性

  很多木马、后面程序间谍软件会自动链接到 Internet 某Web站点,下载其他的病毒文件或该病毒自身的更新版本 / 其他变种

  后门特性

  后门程序很多木马、蠕虫和间谍软件会在受感染的系统中开启并监听某个端口,允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。

  文件感染特性

  文件性病毒的一个特性是感染系统中部分 / 所有的可执行文件,。病毒会将恶意代码插入到系统中正常的执行文件中,使得系统正常文件被破坏为无法运行,或使系统正常文件感染病毒而成为病毒体。

  有的文件性病毒会感染系统中其他类型的文件。

  如:PE_LOOKED 维京、PE_FUJACKS 熊猫烧香

自启动

1、介绍

  出引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性

  恶意软件的行为的前提是运行在系统中,这就决定了恶意软件必然要对系统进行修改,达到开机自启动运行的目的。

2、常用手段

  • 修改注册表

    • 注册表启动项

    HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion下 :RunServices

         R.unServices9nse

         Run

         RunOnce

    HKEY_CURRENT_USER\Software\Microsoft\WindowslCurrentVersion下:Run

         RUnOnce

         unServices

    • 文件关联项

    HKEY_CLASSES_ROOT下:

         exefile \ shell \ open \ command] @=" \ "%1\”%* "

         comfile \ shell \ open \ command] @=" \ "%1\” %* "

         batfile \ shell \ open \ command] @=" \ "%1\” %* " 

         htafile \ Shell \ Open \ Command] @=" \ "%1\” %* "

         piffile \ shell \ open \ command] @=" \ "%1\” %* "

         .......

         病毒将"%1%* "改为“virus.exe %1%*"

         virus.exe将在打开或运行相应类型的文件时被执行

 

    • 系统服务项

    在[控制面板]-[管理工具]-[服务]中,查看是否存在可疑服务。若无法确定服务是否可疑,可直接查看该服务属性,检查服务所指向的文件。随后可以检查该文件是否为正常文件。对于不正常的服务,可直接在注册表中删除该服务的主键。

    HKEY_LOCAL_MACHINENS \ SYSTEM \ CurrentControlSet \ Services\

    • BHO(Browser Help Object)项
      • BHO项在注册表中包含以下主键的内容:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects

    HEKY_CLASSES_ROOT \ CLSID \

    可以在HKEY_CLASSES_ROOT \ CLSID \ 下的InprocServer32 主键中查看BHO项所指向的文件。当发现指向了可疑文件时,可直接删除以上注册表路径下所有包含了该CLSID的主键。

      • 使用Hijackthis工具可以迅速有效的分析系统中的BHO项
    • 其他

     在注册表中检查以下注册表加载项键值:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Windsows

    AppInit_DLLs =  ""

    HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Windsows

    Load =  ""

    该键值默认为空,若键值被修改,可直接将键值内容清空。

  • 注册为系统服务

 

  • 修改自启动文件夹

    • 当前用户的启动文件夹

    可以通过如下注册表键获得:

    Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders 中的 StartUp项

    • 公共的启动文件夹

    可以通过如下注册表键获得:

    Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Shell Folders 中的 Common StartUp 项,病毒可以在该文件夹中放入欲执行的程序,或直接修改其值指向放置有要执行程序的路径。

    

  • 修改系统配置文件

    Win.ini 中的[ windows ]节

        load = virus.exe

        run = virus.exe

    这两个变量用于自动启动程序

    System.ini 中的[ boot ]节

        Shell = Explorer.exe,virus.exe

    Shell变量指出了要在系统启动时执行的程序列表

  

3、加载方式

  • 服务和进程,病毒直接运行
  • 嵌入系统正常进程,DLL注入
  • 驱动,SYS文件

工具

常用工具

  • HijackThis
  • Process Explorer
  • PCHunter
  • 火绒剑
  • processHacker
  • Autoruns

常用杀毒软件

  • 360杀毒
  • McAfee
  • 卡巴斯基
  • 诺顿

常用恶意软件查杀工具

  • 火绒
  • Emsisoft
  • Hitmanpro
posted @ 2023-03-28 19:31  白榆-  阅读(354)  评论(0)    收藏  举报