信息安全基礎(chǔ)InformationSecurityFundamentals7.2計(jì)算機(jī)病毒實(shí)例計(jì)算機(jī)病毒防治本節(jié)內(nèi)容蠕蟲病毒熊貓燒香病毒勒索病毒宏病毒1.蠕蟲病毒網(wǎng)絡(luò)化病毒網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結(jié)合多途徑：通過各種網(wǎng)絡(luò)途徑傳播攻擊反病毒軟件變化快（變種）清除難度大破壞性強(qiáng)1.蠕蟲病毒蠕蟲病毒的概念蠕蟲(Worm)病毒是一種常見的計(jì)算機(jī)病毒，通過網(wǎng)絡(luò)復(fù)制和傳播，具有病毒的一些共性，如傳播性、隱蔽性、破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)攻擊，以及與黑客技術(shù)相結(jié)合。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使蠕蟲可以在短時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。1.蠕蟲病毒蠕蟲病毒的概念蠕蟲一般不采用利用PE格式插入文件的方法，而是復(fù)制自身在Internet環(huán)境下傳播。一般病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是Internet內(nèi)的所有計(jì)算機(jī)。局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球，而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性將使人們手足無措。1.蠕蟲病毒蠕蟲病毒的分類根據(jù)使用者的情況將蠕蟲病毒分為兩類：針對企業(yè)用戶和局域網(wǎng)的，這類病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對整個(gè)Internet造成癱瘓性的后果。針對個(gè)人用戶的，通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式）迅速傳播。在這兩類蠕蟲中，第一類具有很大的主動(dòng)攻擊性，而且爆發(fā)也有一定的突然性。第二類病毒的傳播方式比較復(fù)雜、多樣，少數(shù)利用了Microsoft應(yīng)用程序的漏洞，更多的是利用社會(huì)工程學(xué)對用戶進(jìn)行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時(shí)也是很難根除的。1.蠕蟲病毒蠕蟲病毒的特點(diǎn)傳染方式多傳播速度快清除難度大破壞性強(qiáng)1.蠕蟲病毒蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)1.蠕蟲病毒蠕蟲病毒的實(shí)例：2003蠕蟲王2003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒——“2003蠕蟲王”(Worm.NetKiller2003)，其危害遠(yuǎn)遠(yuǎn)超過曾經(jīng)肆虐一時(shí)的“紅色代碼病毒”。該蠕蟲是利用SQLSERVER2000的解析端口1434的緩沖區(qū)溢出漏洞，對其網(wǎng)絡(luò)進(jìn)行攻擊。此病毒不具有破壞文件、數(shù)據(jù)的能力，主要影響就是大量消耗網(wǎng)絡(luò)帶寬資源，使得網(wǎng)絡(luò)癱瘓。由于“2003蠕蟲王”具有極強(qiáng)的傳播能力，在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。2.宏病毒宏病毒的定義宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來的一種工具。它利用簡單的語法，把常用的動(dòng)作寫成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作。宏病毒，就是利用軟件所支持的宏命令編寫的具有復(fù)制和傳染能力的宏。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。2.宏病毒宏病毒的工作原理在用WORD處理文檔時(shí)，需要同時(shí)進(jìn)行各種不同的動(dòng)作，每一種動(dòng)作其實(shí)都對應(yīng)著特定的宏命令。當(dāng)建立一個(gè)文檔時(shí)，系統(tǒng)首先打開一個(gè)通用模版文件，如NORMAL.DOT，其中存放了一些新文檔的初始化宏程序。在處理文檔時(shí)，WORD總要進(jìn)行某些宏的操作，須執(zhí)行模版上有標(biāo)準(zhǔn)名稱的宏程序。病毒包含在宏中時(shí)，只要染毒的文件被打開，病毒的宏程序就可能會(huì)被執(zhí)行，進(jìn)而取得系統(tǒng)控制權(quán)，進(jìn)行感染和破壞。為了能廣泛地傳播，宏病毒大都采用感染通用模版NORMAL.DOT的方法將自己復(fù)制到其它文檔中去。2.宏病毒宏病毒的特點(diǎn)傳播極快：因?yàn)檗k公數(shù)據(jù)的交流要比拷貝.EXE文件更加經(jīng)常和頻繁，如果說扼制盜版可以減少普通.EXE或.COM病毒傳播的話，那么這一招對Word病毒將束手無策。病毒隱蔽性強(qiáng)：由于人們忽視了在傳遞一個(gè)文檔時(shí)也會(huì)有傳播病毒的機(jī)會(huì)，病毒更加隱蔽。危害嚴(yán)重：因?yàn)镸icrosoftWord幾乎已經(jīng)成為全世界辦公文檔的事實(shí)工業(yè)標(biāo)準(zhǔn)，其影響是全球范圍的。由于該病毒能跨越多種平臺，并且針對數(shù)據(jù)文檔進(jìn)行破壞，因此具有極大的危害性，該病毒在公司通過內(nèi)聯(lián)網(wǎng)相互進(jìn)行文檔傳送時(shí)，迅速蔓延，往往很快就能使公司的機(jī)器全部染上病毒。難以防治：由于宏病毒利用了Word的文檔機(jī)制進(jìn)行傳播，所以它和以往的病毒防治方法不同。一般情況下，人們大多注意可執(zhí)行文件（.COM、.EXE）的病毒感染情況，而Word宏病毒寄生于Word的文檔中，而且人們一般都要對文檔文件進(jìn)行備份，因此病毒可以隱藏很長一段時(shí)間。2.宏病毒宏病毒的行為特征宏病毒會(huì)感染.DOC文檔和.DOT模板文件。宏病毒的傳染通常是Word在打開一個(gè)帶宏病毒的文檔或模板時(shí)，激活宏病毒。多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動(dòng)宏，通過這些自動(dòng)宏病毒取得文檔（模板）操作權(quán)。宏病毒中總是含有對文檔讀寫操作的宏命令。宏病毒在.DOC文檔、.DOT模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，每個(gè)Word版本格式可能不兼容。宏病毒具有兼容性。2.宏病毒宏病毒實(shí)例2.宏病毒宏病毒的檢測宏病毒離不開可供其運(yùn)行的系統(tǒng)軟件(WORD，EXCEL等OFFICE軟件)，所以宏病毒的檢測其實(shí)非常容易。只要留意一下常用的OFFICE系統(tǒng)軟件是不是出現(xiàn)了一些不正常的現(xiàn)象，就能大概知道計(jì)算機(jī)是不是染上了宏病毒。在自己使用的Word中打開“工具”中的“宏”菜單，選擇通用模板，若發(fā)現(xiàn)有“AutoOpen”等自動(dòng)宏、“FileSave”等文件操作宏或一些怪名字的宏，而自己又沒有加載特殊模板，就有可能中病毒了。因?yàn)榇蠖鄶?shù)用戶的通用模板中是沒有宏的。如果打開一個(gè)文檔，未經(jīng)任何改動(dòng)，立即有存盤操作，也有可能是word帶有病毒。打開以DOC為后綴的文件，在“另存為”菜單中只能以模板方式存盤，而此時(shí)通用模板中含有宏，也有可能是文件帶有病毒。嘗試保存文檔時(shí)，只允許將文檔保存為文檔模版的格式。2.宏病毒宏病毒的清除打開word，選擇“工具”→“宏”→“安全性”，將“安全級”設(shè)置為“高”。選擇“工具”→“宏”→“宏”，打開宏編輯器，將其中的可疑宏刪除。找到normal.dot文件（一般在C:\DocumentsandSettings\Administrator\ApplicationData\Microsoft\Templates），用先前干凈的備份替換之，或者干脆刪除（會(huì)自動(dòng)生成一個(gè)）。查看normal.dot文件所在的目錄是否還有其他可疑宏，如果有，也刪除掉。2.宏病毒宏病毒的預(yù)防根據(jù)AUTO宏的自動(dòng)執(zhí)行的特點(diǎn)，在打開WORD文檔時(shí)，可通過禁止所有自動(dòng)宏的執(zhí)行辦法來達(dá)到防治宏病毒的目的。當(dāng)懷疑系統(tǒng)帶有宏病毒時(shí)，首先應(yīng)檢查是否存在可疑的宏，也就是一些用戶沒有編制過、也不是OFFICE默認(rèn)提供而出現(xiàn)的宏，特別是出現(xiàn)一些怪名字的宏，肯定是病毒無疑，將它刪除即可。具體做法是，選擇“工具”→“宏”→“VisualBasic編輯器”，刪除各宏代碼模塊即可。針對宏病毒感染NORMAL模版的特點(diǎn)，用戶在新安裝了OFFICE軟件后，可打開一個(gè)新文檔，將OFFICE的工作環(huán)境按照自己的使用習(xí)慣進(jìn)行設(shè)置，并將需要使用的宏一次編制好，做完后保存新模板。這時(shí)生成的NORMAL模版絕對沒有宏病毒，可將其備份起來。在遇到有宏病毒感染時(shí)，用備份的NORMAL模版覆蓋當(dāng)前的NORMAL模版，可以起到消除宏病毒的作用。3.熊貓燒香病毒熊貓燒香是一種經(jīng)過多次變種的蠕蟲病毒變種，2006年10月16日由25歲的中國湖北武漢人李俊編寫。由于中毒計(jì)算機(jī)的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案而得名。3.熊貓燒香病毒循環(huán)遍歷磁盤目錄，感染所有EXE,SCR,PIF,COM文件，將感染目標(biāo)文件和病毒溶合成一個(gè)文件（被感染文件貼在病毒文件尾部）完成感染，并更改圖標(biāo)為燒香的熊貓。感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，在這些腳本文件尾加上如下鏈接：<iframesrc=/worm.htmwidth=height=0></iframe>導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。感染時(shí)會(huì)自動(dòng)刪除.gho文件，使用戶的系統(tǒng)備份文件丟失。建立一個(gè)計(jì)時(shí)器，以6秒為周期在磁盤的根目錄下生成setup.exe（病毒本身）autorun.inf，并利用AutoRunOpen關(guān)聯(lián)使病毒在用戶點(diǎn)擊被感染磁盤時(shí)能被自動(dòng)運(yùn)行?！靶茇垷恪辈《镜墓暨^程3.熊貓燒香病毒當(dāng)病毒發(fā)現(xiàn)能成功聯(lián)接攻擊目標(biāo)的139或445端口后，將使用內(nèi)置的一個(gè)用戶列表及密碼字典進(jìn)行聯(lián)接（猜測被攻擊端的密碼）。當(dāng)成功聯(lián)接上以后將自己復(fù)制過去，并利用計(jì)劃任務(wù)啟動(dòng)激活病毒?？截愇募翰《具\(yùn)行后，會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe添加注冊表自啟動(dòng)：病毒會(huì)添加自啟動(dòng)項(xiàng)svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe感染“熊貓燒香”病毒的傳播方式3.熊貓燒香病毒每隔1秒尋找桌面窗口，并關(guān)閉窗口標(biāo)題中含有以下字符的程序：防火墻、進(jìn)程、網(wǎng)鏢、殺毒、瑞星（等殺毒軟件的名字）、超級兔子、優(yōu)化大師（等系統(tǒng)優(yōu)化工具的名字）、注冊表編輯器、系統(tǒng)配置實(shí)用程序并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword；添加注冊表使自己自啟動(dòng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe

并結(jié)束系統(tǒng)中以下的進(jìn)程：Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、Rundll32.exe每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁，并用命令行檢查系統(tǒng)中是否存在共享，共享存在的話就運(yùn)行netshare命令關(guān)閉admin$共享感染“熊貓燒香”病毒的攻擊行為3.熊貓燒香病毒每隔10秒下載病毒作者指定的文件，并用命令行檢查系統(tǒng)中是否存在共享，共享存在的話就運(yùn)行netshare命令關(guān)閉admin$共享每隔6秒刪除安全軟件在注冊表中的鍵值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask、KvMonXP、kav、KAVPersonal50、McAfeeUpdaterUI、NetworkAssociatesErrorReportingService等并修改以下值不顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00刪除以下服務(wù)：navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc等感染“熊貓燒香”病毒的傳播方式3.熊貓燒香病毒4.勒索病毒勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測和評估，從2018年初到9月中旬，勒索病毒總計(jì)對超過200萬臺終端發(fā)起過攻擊，攻擊次數(shù)高達(dá)1700萬余次，且整體呈上升趨勢。4.勒索病毒勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰，利用公鑰對文件進(jìn)行加密。除了病毒開發(fā)者本人，其他人是幾乎不可能解密。勒索病毒的傳播途徑加密完成后，還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。且變種類型非?？?，對常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規(guī)依靠特征檢測的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。4.勒索病毒據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測，勒索病毒主要通過三種途徑傳播：漏洞、郵件和廣告推廣。通過漏洞發(fā)起的攻擊占攻擊總數(shù)的87.7%。由于win7、xp等老舊系統(tǒng)存在大量無法及時(shí)修