木馬文件(Tronjan)

1.1?病毒介紹

木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和攻擊Dos等特殊功能的后門(mén)程序。木馬病毒其實(shí)是計(jì)算機(jī)黑客用于遠(yuǎn)程控制計(jì)算機(jī)的程序，將控制程序寄生于被控制的計(jì)算機(jī)系統(tǒng)中，里應(yīng)外合，對(duì)被感染木馬病毒的計(jì)算機(jī)實(shí)施操作。一般的木馬病毒程序主要是尋找計(jì)算機(jī)后門(mén)，伺機(jī)竊取被控計(jì)算機(jī)中的密碼和重要文件等?？梢詫?duì)被控計(jì)算機(jī)實(shí)施監(jiān)控、資料修改等非法操作。木馬病毒具有很強(qiáng)的隱蔽性，可以根據(jù)黑客意圖突然發(fā)起攻擊。

1.2?行為特征/攻擊方式

木馬的種類(lèi)很多，主要有以下幾種：

其一，遠(yuǎn)程控制型，如冰河。遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬起著遠(yuǎn)程監(jiān)控的功能，使用簡(jiǎn)單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)，并與控制端客戶(hù)程序建立網(wǎng)絡(luò)連接，控制者就能任意訪(fǎng)問(wèn)被控制的計(jì)算機(jī)。

其二，鍵盤(pán)記錄型。鍵盤(pán)記錄型木馬非常簡(jiǎn)單，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里進(jìn)行完整的記錄，然后通過(guò)郵件或其他方式發(fā)送給控制者。

其三，密碼發(fā)送型。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。這類(lèi)木馬程序大多不會(huì)在每次都自動(dòng)加載，一般都使用25端口發(fā)送電子郵件。

其四，反彈端口型。反彈端口型木馬的服務(wù)端使用主動(dòng)端口，客戶(hù)端使用被木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線(xiàn)立即彈出端口主動(dòng)連接控制端打開(kāi)的主動(dòng)端口。為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在8O，稍微疏忽一點(diǎn)，用戶(hù)就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)。

1.3 挖礦木馬

1.3.1 什么是挖礦木馬？

攻擊者通過(guò)各種手段將挖礦程序植入受害者的計(jì)算機(jī)中，在受害者不知情的情況下利用其計(jì)算機(jī)的云算力進(jìn)行挖礦，從而獲取利益，這類(lèi)非法植入用戶(hù)計(jì)算機(jī)的挖礦程序就是挖礦木馬。

1.3.2 挖礦木馬挖什么？

由于比特幣的成功，許多基于區(qū)塊鏈技術(shù)的數(shù)字貨幣紛紛問(wèn)世，如以太幣、達(dá)世幣等；從深信服安全團(tuán)隊(duì)接到的挖礦木馬案例來(lái)看，門(mén)羅幣是最受挖礦木馬青睞的數(shù)字貨幣，主要有如下幾個(gè)原因：

1.?門(mén)羅幣交易價(jià)格可觀；

2.?門(mén)羅幣是一種匿名幣，安全性更高；

3.?門(mén)羅幣的算法通過(guò)計(jì)算機(jī)CPU和GPU即可進(jìn)行運(yùn)算，不需要其他特定的硬件支持；

4.?互聯(lián)網(wǎng)上開(kāi)源的門(mén)羅幣挖礦項(xiàng)目很多，方便使用；

5.?暗網(wǎng)支持門(mén)羅幣交易。

1.3.3 為什么會(huì)中挖礦木馬？

1. 軟件捆綁：用戶(hù)下載運(yùn)行來(lái)歷不明的破解軟件

2.?垃圾郵件：用戶(hù)運(yùn)行了釣魚(yú)郵件中的附件

3.?漏洞傳播：用戶(hù)沒(méi)有及時(shí)修補(bǔ)漏洞，目前大部分挖礦木馬都會(huì)通過(guò)漏洞傳播

4.?網(wǎng)頁(yè)挖礦：用戶(hù)訪(fǎng)問(wèn)了植入挖礦腳本的網(wǎng)頁(yè)，瀏覽器會(huì)解析腳本進(jìn)行挖礦

后門(mén)程序（Backdoor）

1.1 病毒介紹

后門(mén)程序就是留在計(jì)算機(jī)系統(tǒng)中，供某位特殊使用者通過(guò)某種特殊方式控制計(jì)算機(jī)系統(tǒng)的途徑。

后門(mén)程序，跟我們通常所說(shuō)的"木馬"有聯(lián)系也有區(qū)別。聯(lián)系在于：都是隱藏在用戶(hù)系統(tǒng)中向外發(fā)送信息,而且本身具有一定權(quán)限,以便遠(yuǎn)程機(jī)器對(duì)本機(jī)的控制。區(qū)別在于：木馬是一個(gè)完整的軟件,而后門(mén)則體積較小且功能都很單一。后門(mén)程序類(lèi)似于特洛依木馬（簡(jiǎn)稱(chēng)"木馬"），其用途在于潛伏在電腦中，從事搜集信息或便于黑客進(jìn)入的動(dòng)作。

后門(mén)程序和電腦病毒最大的差別，在于后門(mén)程序不一定有自我復(fù)制的動(dòng)作，也就是后門(mén)程序不一定會(huì)“感染”其它電腦。

后門(mén)是一種登錄系統(tǒng)的方法，它不僅繞過(guò)系統(tǒng)已有的安全設(shè)置，而且還能挫敗系統(tǒng)上各種增強(qiáng)的安全設(shè)置。

1.2 行為特征/攻擊方式

網(wǎng)頁(yè)后門(mén)此類(lèi)程序一般都是服務(wù)器上正常 的web服務(wù)來(lái)構(gòu)造自己的連接方式，比如非常流行的ASP、cgi腳本后門(mén)等。

擴(kuò)展后門(mén)，在普通意義上理解，可以看成是將非常多的功能集成到了后門(mén)里，讓后門(mén)本身就可以實(shí)現(xiàn)很多功能，方便直接控制肉雞或者服務(wù)器，這類(lèi)的后門(mén)非常受初學(xué)者的喜愛(ài)，通常集成了文件上傳/下載、系統(tǒng)用戶(hù)檢測(cè)、HTTP訪(fǎng)問(wèn)、終端安裝、端口開(kāi)放、啟動(dòng)/停止服務(wù)等功能，本身就是個(gè)小的工具包，功能強(qiáng)大。

賬號(hào)后門(mén)技術(shù)是指黑客為了長(zhǎng)期控制目標(biāo)計(jì)算機(jī)，通過(guò)后門(mén)在目標(biāo)計(jì)算機(jī)中建立一個(gè)備用管理員賬戶(hù)的技術(shù)。一般采用克隆賬戶(hù)技術(shù)?？寺≠~戶(hù)一般有兩種方式，一個(gè)是手動(dòng)克隆賬戶(hù)，一個(gè)是使用克隆工具。

1.3 案例

海陽(yáng)頂端：

這是ASP腳本方面流傳非常廣的一個(gè)腳本后門(mén)了，在經(jīng)過(guò)幾次大的改革后，推出了“海陽(yáng)頂端ASP木馬XP版”、“海陽(yáng)頂端ASP木馬紅粉佳人版”等功能強(qiáng)大、使用方便的后門(mén)，想必經(jīng)常接觸腳本安全的朋友對(duì)這些都不會(huì)陌生。

首先我們通過(guò)某種途徑獲得一個(gè)服務(wù)器的頁(yè)面權(quán)限(比如利用論壇上傳達(dá)室類(lèi)型未嚴(yán)格設(shè)置、SQL注入后獲得ASP系統(tǒng)的上傳權(quán)限、對(duì)已知物理路徑的服務(wù)器上傳特定程序)，然后我們可以通過(guò)簡(jiǎn)單的上傳ASP程序或者是直接復(fù)制海陽(yáng)項(xiàng)端的代碼，然后通過(guò)WEB訪(fǎng)問(wèn)這個(gè)程序，就能很方便地查閱服務(wù)器上的資料了

蠕蟲(chóng)病毒（Worm）

1.1 病毒介紹

蠕蟲(chóng)是一種可以自我復(fù)制的代碼，并且通過(guò)網(wǎng)絡(luò)傳播，通常無(wú)需人為干預(yù)就能傳播。蠕蟲(chóng)病毒入侵并完全控制一臺(tái)計(jì)算機(jī)之后，就會(huì)把這臺(tái)機(jī)器作為宿主，進(jìn)而掃描并感染其他計(jì)算機(jī)。當(dāng)這些新的被蠕蟲(chóng)入侵的計(jì)算機(jī)被控制之后，蠕蟲(chóng)會(huì)以這些計(jì)算機(jī)為宿主繼續(xù)掃描并感染其他計(jì)算機(jī)，這種行為會(huì)一直延續(xù)下去。蠕蟲(chóng)使用這種遞歸的方法進(jìn)行傳播，按照指數(shù)增長(zhǎng)的規(guī)律分布自己，進(jìn)而及時(shí)控制越來(lái)越多的計(jì)算機(jī)。

蠕蟲(chóng)可以通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，電子郵件，即時(shí)消息服務(wù)，社交網(wǎng)絡(luò)，可移動(dòng)媒體和其他渠道傳播。

1.2 行為特征/攻擊方式

1、行為特征

(1)、較強(qiáng)的獨(dú)立性

計(jì)算機(jī)病毒一般都需要宿主程序，病毒將自己的代碼寫(xiě)到宿主程序中，當(dāng)該程序運(yùn)行時(shí)先執(zhí)行寫(xiě)入的病毒程序，從而造成感染和破壞。而蠕蟲(chóng)病毒不需要宿主程序，它是一段獨(dú)立的程序或代碼，因此也就避免了受宿主程序的牽制，可以不依賴(lài)于宿主程序而獨(dú)立運(yùn)行，從而主動(dòng)地實(shí)施攻擊。

(2)、利用漏洞主動(dòng)攻擊

由于不受宿主程序的限制，蠕蟲(chóng)病毒可以利用操作系統(tǒng)的各種漏洞進(jìn)行主動(dòng)攻擊。例如，“尼姆達(dá)”病毒利用了IE游覽器的漏洞，使感染病毒的郵件附件在不被打開(kāi)的情況下就能激活病毒；“紅色代碼”利用了微軟IlSl服務(wù)器軟件的漏洞(idq.dll遠(yuǎn)程緩存區(qū)溢出)來(lái)傳播；而蠕蟲(chóng)王病毒則是利用了微軟數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)漏洞進(jìn)行攻擊。?

(3)、傳播更快更廣

蠕蟲(chóng)病毒比傳統(tǒng)病毒具有更大的傳染性，它不僅僅感染本地計(jì)算機(jī)，而且會(huì)以本地計(jì)算機(jī)為基礎(chǔ)，感染網(wǎng)絡(luò)中所有的服務(wù)器和客戶(hù)端。蠕蟲(chóng)病毒可以通過(guò)網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁(yè)以及存在著大量漏洞的服務(wù)器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲(chóng)病毒運(yùn)用得淋漓盡致。因此，蠕蟲(chóng)病毒的傳播速度可以是傳統(tǒng)病毒的幾百倍，甚至可以在幾個(gè)小時(shí)內(nèi)蔓延全球。?

(4)、更好的偽裝和隱藏方式

為了使蠕蟲(chóng)病毒在更大范圍內(nèi)傳播，病毒的編制者非常注重病毒的隱藏方式。在通常情況下，我們?cè)诮邮?、查看電子郵件時(shí)，都采取雙擊打開(kāi)郵件主題的方式來(lái)瀏覽郵件內(nèi)容，如果郵件中帶有病毒，用戶(hù)的計(jì)算機(jī)就會(huì)立刻被病毒感染。?

(5)、技術(shù)更加先進(jìn)

一些蠕蟲(chóng)病毒與網(wǎng)頁(yè)的腳本相結(jié)合，利用VBScript，Java，ActiveX等技術(shù)隱藏在HTML頁(yè)面里。當(dāng)用戶(hù)上網(wǎng)游覽含有病毒代碼的網(wǎng)頁(yè)時(shí)，病毒會(huì)自動(dòng)駐留內(nèi)存并伺機(jī)觸發(fā)。還有一些蠕蟲(chóng)病毒與后門(mén)程序或木馬程序相結(jié)合，比較典型的是“紅色代碼病毒”，病毒的傳播者可以通過(guò)這個(gè)程序遠(yuǎn)程控制該計(jì)算機(jī)。這類(lèi)與黑客技術(shù)相結(jié)合的蠕蟲(chóng)病毒具有更大的潛在威脅。?

(6)、使追蹤變得更困難

當(dāng)蠕蟲(chóng)病毒感染了大部分系統(tǒng)之后，攻擊者便能發(fā)動(dòng)多種其他攻擊方式對(duì)付一個(gè)目標(biāo)站點(diǎn)，并通過(guò)蠕蟲(chóng)網(wǎng)絡(luò)隱藏攻擊者的位置，這樣要抓住攻擊者會(huì)非常困難。?

2、傳播過(guò)程

（1）、掃描

由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。

（2）、攻擊

攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟l中找到的對(duì)象，取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)，獲得一個(gè)shell。?

（3）、復(fù)制

復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)?？梢钥吹?#xff0c;傳播模塊實(shí)現(xiàn)的實(shí)際上是自動(dòng)入侵的功能。所以蠕蟲(chóng)的傳播技術(shù)是蠕蟲(chóng)技術(shù)的首要技術(shù)。

3、傳播途徑

（1）、利用漏洞

這種方式是網(wǎng)絡(luò)蠕蟲(chóng)最主要的破壞方式，也是網(wǎng)絡(luò)蠕蟲(chóng)的一個(gè)最顯著的特點(diǎn)。網(wǎng)絡(luò)蠕蟲(chóng)攻擊時(shí)，首先探測(cè)目標(biāo)計(jì)算機(jī)存在的漏洞，然后根據(jù)探測(cè)到的漏洞建立傳播路徑，最后實(shí)施攻擊。

（2）、依賴(lài)Email傳播

以電子郵件附件的形式進(jìn)行傳播是網(wǎng)絡(luò)蠕蟲(chóng)采用的主要傳播方式，蠕蟲(chóng)編寫(xiě)者通過(guò)向用戶(hù)發(fā)送電子郵件，用戶(hù)在點(diǎn)擊電子郵件附件時(shí)，網(wǎng)絡(luò)蠕蟲(chóng)就會(huì)感染此計(jì)算機(jī)。

（3）、依賴(lài)網(wǎng)絡(luò)共享

網(wǎng)絡(luò)共享是網(wǎng)絡(luò)蠕蟲(chóng)傳播的重要途徑之一，網(wǎng)絡(luò)蠕蟲(chóng)利用共享網(wǎng)絡(luò)資源進(jìn)行傳播。

（4）、弱密碼攻擊

若用戶(hù)的密碼很容易猜測(cè)，網(wǎng)絡(luò)蠕蟲(chóng)則會(huì)在攻克了用戶(hù)密碼后進(jìn)入計(jì)算機(jī)并獲得其控制權(quán)。所以用戶(hù)應(yīng)該設(shè)置復(fù)雜的密碼，增加破解難度。

4、入侵過(guò)程

第一步：用各種方法收集目標(biāo)主機(jī)的信息，找到可利用的漏洞或弱點(diǎn)。方法包括用掃描器掃描主機(jī)，探測(cè)主機(jī)的操作系統(tǒng)類(lèi)型、版本，主機(jī)名，用戶(hù)名，開(kāi)放的端口，開(kāi)放的服務(wù)，開(kāi)放的服務(wù)器軟件版本等。當(dāng)然是信息搜集的越全越好。搜集完信息后進(jìn)入第二步。

第二步：針對(duì)目標(biāo)主機(jī)的漏洞或缺陷，采取相應(yīng)的技術(shù)攻擊主機(jī)，直到獲得主機(jī)的管理員權(quán)限。對(duì)搜集來(lái)的信息進(jìn)行分析，找到可以有效利用的信息。如果有現(xiàn)成的漏洞可以利用，上網(wǎng)找到該漏洞的攻擊方法，如果有攻擊代碼就直接COPY下來(lái)，然后用該代碼取得權(quán)限；如果沒(méi)有現(xiàn)成的漏洞可以利用，就用根據(jù)搜集的信息試探猜測(cè)用戶(hù)密碼，另一方面試探研究分析其使用的系統(tǒng)，爭(zhēng)取分析出—個(gè)可利用的漏洞。第三步：利用獲得的權(quán)限在主機(jī)上安裝后門(mén)、跳板、控制端、監(jiān)視器等等，清除日志。有了主機(jī)的權(quán)限，就可以進(jìn)入計(jì)算機(jī)系統(tǒng)完成想完成的任務(wù)了。

1.3 案例

熊貓燒香（變種）、求職信”病毒（Worm_Klez）

感染型病毒（Virus）

1.1 病毒介紹

感染型病毒要求主機(jī)通過(guò)修改主機(jī)或以某種方式將其自身插入“命令鏈”來(lái)使其自身附著。通過(guò)這種方式，該病毒不僅可以確保在啟動(dòng)主機(jī)時(shí)就可以執(zhí)行該病毒，而且還可以自我復(fù)制，因?yàn)槭芨腥镜奈募驯粡?fù)制，下載或以其他方式轉(zhuǎn)移到其他計(jì)算機(jī)系統(tǒng)。它的名稱(chēng)基于這樣一個(gè)事實(shí)，即其行為與生物病毒的行為非常相似。

1.2 行為特征/攻擊方式

感染型病毒由于其自身的特性，需要附加到其他宿主程序上進(jìn)行運(yùn)行，并且為了躲避殺毒軟件的查殺，通常感染型病毒都會(huì)將自身分割、變形或加密后，再將自身的一部分或者全部附加到宿主程序上。一旦一個(gè)病毒文件執(zhí)行，它很有可能就將系統(tǒng)中的絕大多數(shù)程序文件都加入病毒代碼，進(jìn)而傳播給其它的電腦。

文件被感染的結(jié)果取決于病毒的作者，有可能只是將惡意代碼附加在文件后面，程序可以正常使用；也可能會(huì)直接改寫(xiě)程序，導(dǎo)致程序運(yùn)行報(bào)錯(cuò)崩潰等。

1.3 案例

Sality：病毒運(yùn)行后，會(huì)終止安全相關(guān)軟件和服務(wù)，感染系統(tǒng)內(nèi)的exe和scr文件。并且注入病毒線(xiàn)程到所有進(jìn)程中，在后臺(tái)下載病毒到系統(tǒng)。同時(shí)它創(chuàng)建自身拷貝到可移動(dòng)設(shè)備或者網(wǎng)絡(luò)共享中，以達(dá)到傳播的目的。

熊貓燒香：將文件的圖標(biāo)改為熊貓燒香圖案，但不影響程序本身的功能

勒索病毒（Ransom）

1.1 病毒介紹

主機(jī)感染勒索病毒文件后，會(huì)在主機(jī)上運(yùn)行勒索程序，遍歷本地所有磁盤(pán)指定類(lèi)型文件進(jìn)行加密操作，加密后文件無(wú)法讀取。隨后生成勒索通知，要求受害者在規(guī)定時(shí)間內(nèi)支付一定價(jià)值的比特幣才能恢復(fù)數(shù)據(jù)，否則會(huì)被銷(xiāo)毀數(shù)據(jù)。

1.2 行為特征/攻擊方式

特征：

????①生成勒索文檔或桌面，提供了黑客信息要求進(jìn)行付款

????②文件被加密，無(wú)法打開(kāi)，并會(huì)被更改文件后綴為同一名稱(chēng)

傳播方式：

????暴力破解（通過(guò)暴力破解RDP端口、SSH端口，數(shù)據(jù)庫(kù)端口）

????Exploit Kit分發(fā)（通過(guò)黑色產(chǎn)業(yè)鏈中的Exploit Kit來(lái)分發(fā)勒索軟件）

????僵尸網(wǎng)絡(luò)分發(fā)（通過(guò)自動(dòng)傳播感染的僵尸網(wǎng)絡(luò)作為下載器，下載執(zhí)行勒索病毒）

????釣魚(yú)郵件（惡意代碼偽裝在郵件附件中，誘使打開(kāi)附件）

????蠕蟲(chóng)式傳播（通過(guò)漏洞和口令進(jìn)行網(wǎng)絡(luò)空間中的蠕蟲(chóng)式傳播）

????注：國(guó)內(nèi)常見(jiàn)的勒索病毒攻擊方式為RDP暴力破解后，人工內(nèi)網(wǎng)滲透，與安全軟件進(jìn)行對(duì)抗，手動(dòng)運(yùn)行勒索病毒加密；少部分通過(guò)漏洞利用、僵尸網(wǎng)絡(luò)和釣魚(yú)郵件進(jìn)行攻擊，目前幾乎沒(méi)有蠕蟲(chóng)式傳播的勒索病毒，曾經(jīng)爆發(fā)的wannacry家族已不具有加密威脅。

? ??

加密方式：非對(duì)稱(chēng)加密+對(duì)稱(chēng)加密（如：RSA+AES）

1.3 案例

WannaCry勒索病毒：2017年5月12日WannaCry在全球爆發(fā)，勒索病毒使用MS17-010永恒之藍(lán)漏洞進(jìn)行傳播感染。短時(shí)間內(nèi)感染全球30w+用戶(hù)，包括學(xué)校、醫(yī)療、政府等各個(gè)領(lǐng)域

Globelmposter勒索病毒：首次出現(xiàn)在2017年5月，主要釣魚(yú)郵件傳播，期間出現(xiàn)多種變種會(huì)利用RDP進(jìn)行傳播

漏洞利用（Exploit）

1.1 病毒介紹

主要通過(guò)對(duì)已知的系統(tǒng)漏洞或重要程序的公開(kāi)漏洞進(jìn)行利用，攻擊對(duì)象為未及時(shí)打補(bǔ)丁的主機(jī)。

1.2 行為特征/攻擊方式

通過(guò)shellcode對(duì)漏洞進(jìn)行利用攻擊，從而達(dá)到提權(quán)或破壞的作用。

1.3 案例

永恒之藍(lán)漏洞

挖礦病毒（Miner）

1.1 病毒介紹

挖礦木馬，是近年興起的網(wǎng)絡(luò)安全威脅，2017年下半年開(kāi)始進(jìn)入普通用戶(hù)的視野，而2018年開(kāi)始流行。中挖礦木馬的計(jì)算機(jī)，其計(jì)算機(jī)資源被大量占用用于數(shù)字加密幣的挖掘。

1.2 行為特征/攻擊方式

中了挖礦病毒的主機(jī)，會(huì)出現(xiàn)操作卡頓，cpu占用率高等現(xiàn)象。

挖礦病毒一般會(huì)開(kāi)啟進(jìn)程進(jìn)行數(shù)字貨幣挖掘，并且創(chuàng)建定時(shí)任務(wù)，定時(shí)啟動(dòng)。

1.3 案例

老一輩家族： BillGates

新生代家族： DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker

IoT家族： Mirai、Gafgyt

宏病毒（Macro）

1.1 病毒介紹

宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開(kāi)這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶(hù)打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。

1.2 行為特征/攻擊方式

1、行為特征

（1）傳播極快

Word宏病毒通過(guò).DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播，而計(jì)算機(jī)文檔是交流最廣的文件類(lèi)型。人們大多重視保護(hù)自己計(jì)算機(jī)的引導(dǎo)部分和可執(zhí)行文件不被病毒感染，而對(duì)外來(lái)的文檔文件基本是直接瀏覽使用，這給Word宏病毒傳播帶來(lái)很多便利。特別是Internet網(wǎng)絡(luò)的普及，Email的大量應(yīng)用更為Word宏病毒傳播鋪平道路。根據(jù)國(guó)外較保守的統(tǒng)計(jì)，宏病毒的感染率高達(dá)40%以上，即在現(xiàn)實(shí)生活中每發(fā)現(xiàn)100個(gè)病毒，其中就有40多個(gè)宏病毒，而國(guó)際上普通病毒種類(lèi)已達(dá)12000多種。

（2）制作、變種方便

以往病毒是以二進(jìn)制的計(jì)算機(jī)機(jī)器碼形式出現(xiàn)，而宏病毒則是以人們?nèi)菀组喿x的源代碼宏語(yǔ)言WordBasic形式出現(xiàn)，所以編寫(xiě)和修改宏病毒比以往病毒更容易。世界上的宏病毒原型己有幾十種，其變種與日俱增，追究其原因還是Word的開(kāi)放性所致。Word病毒都是用WordBasic語(yǔ)言所寫(xiě)成，大部分Word病毒宏并沒(méi)有使用Word提供的Execute-Only處理函數(shù)處理，它們?nèi)蕴幱诳纱蜷_(kāi)閱讀修改狀態(tài)。所有用戶(hù)在Word工具的宏菜單中很方便就可以看到這種宏病毒的全部面目。當(dāng)然會(huì)有“不法之徒”利用掌握的Basic語(yǔ)句簡(jiǎn)單知識(shí)把其中病毒激活條件和破壞條件加以改變，立即就生產(chǎn)出了一種新的宏病毒，甚至比原病毒的危害更加嚴(yán)重。

（3）破壞可能性極大

鑒于宏病毒用WordBasic語(yǔ)言編寫(xiě)，WordBasic語(yǔ)言提供了許多系統(tǒng)級(jí)底層調(diào)用，如直接使用DOS系統(tǒng)命令，調(diào)用WindowsAPI，調(diào)用DDE或DLL等。這些操作均可能對(duì)系統(tǒng)直接構(gòu)成威脅，而Word在指令安全性、完整性上檢測(cè)能力很弱，破壞系統(tǒng)的指令很容易被執(zhí)行。宏病毒Nuclear就是破壞操作系統(tǒng)的典型一例。

（4）多平臺(tái)交叉感染

宏病毒沖破了以往病毒在單一平臺(tái)上傳播的局限，當(dāng)WORD、EXCEL這類(lèi)著名應(yīng)用軟件在不同平臺(tái)（如Windows、Windo_wsNT、OS/2和MACINTOSH等）上運(yùn)行時(shí)，會(huì)被宏病毒交叉感染。

2、攻擊方式

1、U盤(pán)交流染毒文檔文件；

2、硬盤(pán)染毒，處理的文檔文件必將染毒；

3、光盤(pán)攜帶宏病毒；

4、Internet上下載染毒文檔文件；

5、BBS交流染毒文檔文件；

6、電子郵件的附件夾帶病毒。

1.3 案例

TaiwanNo.1

CAD病毒

1.1 病毒介紹

專(zhuān)門(mén)感染CAD的病毒，一般在你的CAD文件的目錄下生成ACAD.lsp文件。.lsp文件是Auto lsp程序，它的內(nèi)容對(duì)電腦沒(méi)有危害，但可能會(huì)損壞你做的圖。

1.2 行為特征/攻擊方式

該病毒利用CAD的讀取機(jī)制，在第一次打開(kāi)帶有病毒的圖紙后，該病毒即悄悄運(yùn)行，并感染每一張新打開(kāi)的圖紙，將病毒文件到處復(fù)制，并生成很多名為acad.lsp的程序。即便是重裝CAD甚至重裝系統(tǒng)都不能解決問(wèn)題。病毒感染計(jì)算機(jī)系統(tǒng)后,會(huì)在搜索AutoCAD軟件數(shù)據(jù)庫(kù)路徑下的自動(dòng)運(yùn)行文件(acad.lsp)后,生成一個(gè)備份文件acadapp.lsp,其內(nèi)容和自動(dòng)運(yùn)行文件一樣。打開(kāi)CAD圖紙時(shí),軟件就會(huì)運(yùn)行加載該文件,同時(shí)在存放圖紙文件的目錄中生成兩個(gè)文件(acad.lsp和acadapp.lsp)的副本。

1.3 案例

acad.lsp、acad.fas、acad.vlx

內(nèi)核劫持（Rootkit）

1.1 病毒介紹

rootkit是允許某人控制操作系統(tǒng)的特定方面而不暴露他或她的蹤跡的一組代碼。從根本上說(shuō)來(lái)，用戶(hù)無(wú)法察覺(jué)這種特性構(gòu)成了rootkit。rootkit會(huì)想盡辦法去隱藏自己的網(wǎng)絡(luò)、進(jìn)程、I/O等信息(注意，這里所謂的隱藏，只是針對(duì)ring3的ui隱藏，內(nèi)核層的功能不能隱藏，否則rootkit自己也無(wú)法使用功能了)，所以，rootkit的攻防問(wèn)題很大程度上是一個(gè)ring0爭(zhēng)奪戰(zhàn)的問(wèn)題，監(jiān)控程序必須直接深入到系統(tǒng)的底層去獲取最原始的數(shù)據(jù)，才能避免因?yàn)閞ootkit的ring3隱藏導(dǎo)致的誤判。

1.2 行為特征/攻擊方式

一個(gè)典型rootkit包括：

1、以太網(wǎng)嗅探器程序，用于獲得網(wǎng)絡(luò)上傳輸?shù)挠脩?hù)名和密碼等信息。

2、特洛伊木馬程序，例如：inetd或者login，為攻擊者提供后門(mén)。

3、隱藏攻擊者的目錄和進(jìn)程的程序，例如：ps、netstat、rshd和ls等。

4、可能還包括一些日志清理工具，例如：zap、zap2或者z2，攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關(guān)自己行蹤的條目。

一些復(fù)雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務(wù)。還包括一些用來(lái)清理/var/log和/var/adm目錄中其它文件的一些腳本。

1.3 案例

adore-ng、Diamorphine、 suterusu

廣告軟件（Adware）

1.1 病毒介紹

廣告軟件（廣告支持的軟件）是任何播放，顯示或下載廣告內(nèi)容到用戶(hù)計(jì)算機(jī)的軟件應(yīng)用程序。

典型功能包括彈出窗口或橫幅，更改網(wǎng)頁(yè)和Web瀏覽器中的搜索引擎設(shè)置等。某些廣告軟件是在計(jì)算機(jī)用戶(hù)許可的情況下安裝的：例如，在與廣告軟件捆綁在一起的合法應(yīng)用程序的安裝過(guò)程中。各種可疑工具欄就是這種情況。

1.2 行為特征/攻擊方式

采用多種社會(huì)和技術(shù)手段，強(qiáng)行或者秘密安裝，并抵制卸載；

強(qiáng)行修改用戶(hù)軟件設(shè)置，如瀏覽器的主頁(yè)，軟件自動(dòng)啟動(dòng)選項(xiàng)，安全選項(xiàng)；

強(qiáng)行彈出廣告，或者其他干擾用戶(hù)、占用系統(tǒng)資源行為；

有侵害用戶(hù)信息和財(cái)產(chǎn)安全的潛在因素或者隱患；

與電腦病毒聯(lián)合侵入用戶(hù)電腦；

停用殺毒軟件或其他電腦管理程序來(lái)做進(jìn)一步的破壞；

未經(jīng)用戶(hù)許可，或者利用用戶(hù)疏忽，或者利用用戶(hù)缺乏相關(guān)知識(shí)，秘密收集用戶(hù)個(gè)人信息、秘密和隱私；

惡意篡改注冊(cè)表信息；

威脅恐嚇或誤導(dǎo)用戶(hù)安裝其他的產(chǎn)品。

1.3 案例

2345瀏覽器自帶全家桶

威脅命名規(guī)則

1、?四段式

人工入庫(kù)會(huì)采用比較標(biāo)準(zhǔn)的四段式來(lái)對(duì)惡意文件進(jìn)行命名，格式為：主要分類(lèi).平臺(tái)環(huán)境.家族信息.變種編號(hào)

其中重點(diǎn)關(guān)注“主要分類(lèi)”和“家族信息”是否有一些可以進(jìn)行識(shí)別的關(guān)鍵字。

例如：Trojan.Win32.Dorkbot.a

我們可以知道這是一個(gè)木馬病毒，屬于Dorkbot家族的變種，就可以通過(guò)搜索引擎尋找Dorkbot家族的信息，從而進(jìn)行進(jìn)一步了解和分析。

總結(jié)

以上是生活随笔為你收集整理的恶意文件分类的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。