🪴 Cyril

典型恶意代码和病毒

2024年5月02日28分钟阅读

病毒

定义:

网络病毒指计算机病毒的定义计算机病毒 (Computer Virus) 在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒 ” 指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 ”。

其一般具有感染性、潜伏性、触发性和破坏性。

可执行文件病毒

  可执行文件病毒主要是感染可执行文件 (对于 DOS 或 Windows 来说是感染 COM 和 EXE 等可执行文件)。被感染的可执行文件在执行的同时,病毒被加载并向其他正常的可执行文件传染。像在我国流行的 Die_Hard、DIR Ⅱ和感染 Windows 95/98 操作系统的 CIH、HPS、Murburg,以及感染 NT 操作系统的 Infis、RE 等病毒都属此列。 在各种 PC 机病毒中,可执行文件型病毒占的数目最大,传播最广,采用的技巧也多。

CIH

发作时,可以利用 Windows 系统的 SEH 和 IDT 缺陷,获取到 CPU RING0 权限,这让 CIH 可以直接通过对 BIOS FLASH 施加特殊的逻辑电压,达到改写或清除 BIOS 程序的目的;也可以直接对硬盘进行覆写,使用硬盘分区表或其他数据彻底丢失。

(PS:Intel 的处理器通过 Ring 级别来进行访问控制的,级别共分 4 层, RING0,RING1,RING2,RING3。RING0 为系统级,1,2 为驱动级,3 为应用程序级)

CIH 出现后一个月,各个版本就陆续被反病毒厂商发现,但是无法有效清除,CIH 会使用 Vxd 技术将自身分割成几个部分并存放在可执行文件的空白段中,被感染的 PE 执行文件大小将不会发生改变,并且可以正常执行,在执行后 CIH 会将自己重新组装并且潜伏在内存中,等待发作。

宏病毒

宏病毒是利用宏语言编制的病毒,与前两种病毒存在很大的区别。宏病毒寄存在文档或模板的宏中,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),会利用宏语言的功能将自己寄生到其他数据文档。甚至可以利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅向 Word、Excel 和 Access、PowerPoint、Project 等办公自动化程序编制的文档进行传染,而不会传染给可执行文件。

宏病毒的传播路线

在 Word 和其他微软 Office 系列办公软件中,宏分为两种——

内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等

全局宏:位于 office 模板中,为所有文档所共用,如打开 Word 程序(AutoExec)

单机:单个 Office 文档 Office 文档模板 多个 Office 文档(文档到模块感染)

首先 Office 文档被感染病毒,当文档打开会执行自动宏,如果宏被执行,它会去检测当前模板是否被感染病毒,如果没有被感染,它会将释放自身的病毒代码。当模板被感染之后,系统中任何一个文档被打开,都会执行模板中的病毒,宏病毒进行传播。

网络:电子邮件居多

梅丽莎病毒

打开相关邮件时将关闭 Word 的宏病毒防护、打开转换确认、模板保存提示;使“宏”、“安全性”命令不可用,并设置安全性级别为最低。用 Outlook 给地址簿中前 50 个联系人发 E-mail,其主题为“Important Message From XXX”(XXX 为用户名),内容为“Here is that document you asked for … don’t show anyone else ;”,附件为当前被感染的文档;

蠕虫

一、定义:

蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。

二、特点:

1.较强的独立性

计算机病毒 一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。

2.传播快速

蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的 共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病毒的几百倍,甚至可以在几个小时内蔓延全球。

3.技术更加先进

一些蠕虫病毒与网页的 脚本 相结合,利用 VBScript,Java,ActiveX 等技术隐藏在 HTML 页面里。当用户上网游览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。

4.追踪困难

当蠕虫病毒感染了大部分系统之后,攻击者便能发动多种其他攻击方式对付一个目标站点,并通过蠕虫网络隐藏攻击者的位置,这样要抓住攻击者会非常困难。

三、结构

(1) 传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动。

(2) 隐藏模块:侵入主机后,负责隐藏蠕虫程序。

(3) 目的功能模块:实现对计算机的控制、监视或破坏等。

四、攻击案例

蠕虫自互联网诞生以来就已经存在。有些蠕虫导致了大量的网络和业务中断,造成严重影响。以下列举一些近年来著名的蠕虫攻击事件:

1.莫里斯蠕虫(Morris)

莫里斯蠕虫首次被发现于 1988 年,被广泛认为是第一个计算机蠕虫。他针对不同 UNIX 系统的漏洞,多次感染系统,影响了大量的 UNIX 系统。其目的不是破坏,而是耗尽资源,对当时的计算机网络造成了严重破坏。

2.我爱你蠕虫(ILOVEYOU)

我爱你蠕虫首次被发现在 2000 年的电子邮件中,以 ILOVEYOU 标题出现,并携带脚本附件“LOVE-LETTER-FOR-YOU.TXT.vbs”,该脚本在 Microsoft Outlook 中自动运行,且添加 Windows 注册表数据以在系统启动时自动启动,使用自身副本替换计算机中的其他文件,同时附加文件扩展名 VBS,并将其他文件隐藏。然后,通过邮件地址列表再次发送其副本,造成再次传播。

3.震网蠕虫(Stuxnet)

震网蠕虫首次被发现在 2010 年,他由两个部分组成,分别是针对监控和数据采集系统的 恶意软件,以及通过感染 USB 设备传播恶意软件的蠕虫。震网蠕虫利用 Windows 操作系统的缺陷进行传播,最终导致核离心机发生故障。

美国 NSA 使用震网蠕虫(Stuxnet)攻击了物理隔离的伊朗核设施,蠕虫在传播过程中使用了多达 4 个 windows 系统的 0day 漏洞,最终导致上千台提纯浓缩铀离心机损坏,致使伊朗的核武器研发计划遇到重大挫折。“震网”蠕虫是世界上第一个能够实战破坏工业基础设施的病毒,打破了网络攻击无法破坏物理隔离的工控系统的神话,也标志着人类进入了网络战争时代。

4.WannaCry(Wanna Decryptor)

WannaCry 蠕虫首次被发现在 2017 年,是一款蠕虫勒索式恶意软件,利用 Windows 系统远程安全漏洞进行传播。WannaCry 会扫描开放 445 文件共享端口的 Windows 计算机,无需用户任何操作,只要开机上网,就能在存在漏洞的计算机或服务器中植入恶意程序。当侵入组织或机构内部时,WannaCry 会不停地探测存在漏洞的计算机,并感染他们,因此受感染的计算机数量飞速增长。当计算机被感染后,WannaCry 勒索蠕虫会锁定该计算机,并加密包括照片、图片、文档、压缩文件、音频、视频、可执行程序等多种类型的文件。加密成功后,蠕虫制造者向受害者勒索价值相当于 300 美元的比特币进行文件解密,否则进行文件销毁。

特洛伊木马

什么是特洛伊木马(Trojan Horse)

特洛伊木马(Trojan Horse)是一种计算机安全术语,指的是一种看似有用但实际上含有恶意代码的程序或文件。这种恶意代码通常会隐藏在一个正常的程序或文件中,并在用户执行或打开该程序或文件时悄悄地执行恶意操作,比如窃取个人信息、损坏文件或系统,或者为黑客提供对受感染系统的远程访问权限。

特洛伊木马通常会隐藏在其他程序或文件中,并通过社会工程手段或其他欺骗手段诱使用户对其进行互动。一旦被激活,特洛伊木马可用于窃取敏感信息、损坏系统、创建后门或提供远程访问权限,以满足黑客的恶意目的。与传统病毒和蠕虫不同,它不会自行传播,而是依赖用户的行为来激活。

常见的特洛伊木马类型

  1. 后门木马(Backdoor Trojan):用于创建后门,以便黑客可以远程访问受感染系统并执行各种恶意操作。

  2. 数据窃取木马(Data Stealing Trojan):设计用于窃取用户的敏感信息,如登录凭据、银行账号和密码等。

  3. 远程控制木马(Remote Access Trojan,RAT):允许攻击者远程控制受感染系统,执行各种命令和操作。

  4. 木马银行木马(Banking Trojan):专门针对在线银行账户和支付系统,以窃取用户的银行账户信息。

  5. 下载器木马(Downloader Trojan):用于下载和安装其他恶意软件,如间谍软件、广告软件或勒索软件。

  6. 代理木马(Proxy Trojan):用于在受感染系统上建立代理服务,使攻击者能够隐藏其真实的网络活动。

  7. 破坏木马(Destructive Trojan):旨在破坏受感染系统的功能或数据,如擦除文件或格式化硬盘等。

  8. 假冒木马(Fake Trojan):伪装成防病毒软件或系统优化工具等合法程序,实际上却是恶意软件。

特洛伊木马攻击案例

  1. Stuxnet:Stuxnet 是一种特洛伊木马,被认为是一场网络攻击的首个武器化利用,用于破坏伊朗的核设施。它于 2010 年被发现,针对伊朗的离心机设备,并被认为是一次由美国和以色列发动的网络攻击。

  2. Zeus:Zeus 是一种银行木马,最早于 2007 年出现。它被用来窃取用户的银行账户凭据和其他敏感信息,导致了数百万美元的财务损失。Zeus 的变体持续出现,并对全球范围内的金融机构和个人用户造成了重大影响。

  3. NotPetya:NotPetya 是一种勒索软件,但实际上是一种特洛伊木马,最初于 2017 年袭击了乌克兰的电力公司。它迅速传播到全球其他地区,并导致了数十亿美元的损失,尤其是对欧洲和美国的企业和机构造成了重大影响。

  4. DarkTequila:DarkTequila 是一种针对墨西哥银行和金融机构的特洛伊木马,它最早于 2013 年被发现。DarkTequila 窃取了用户的银行凭据和其他敏感信息,导致了数百万美元的损失。

  5. Emotet:Emotet 最初是一种银行木马,但后来发展成了一种广泛传播的僵尸网络(botnet),用于分发其他恶意软件,如勒索软件和间谍软件。Emotet 的攻击导致了全球范围内的数百万美元的财务损失和个人信息泄露。

这些案例突出了特洛伊木马对个人、企业和国家安全的严重威胁,并强调了加强网络安全和数据保护的重要性。

防范特洛伊木马的措施

  1. 使用可信赖的安全软件:安装并定期更新杀毒软件、防火墙和反间谍软件。这些安全软件可以帮助检测和阻止特洛伊木马的攻击。

  2. 保持系统和软件更新:及时安装操作系统和应用程序的安全补丁和更新。更新可以修补已知的漏洞,减少特洛伊木马利用漏洞入侵系统的机会。

  3. 谨慎打开附件和链接:避免打开来自未知或不信任来源的电子邮件附件,以及点击不明来源的链接。特别是避免下载和打开看似可疑或不明确来源的文件。

  4. 加强密码安全性:使用强密码,并定期更改密码。不要在不安全的网络或计算机上输入敏感信息,尤其是银行账户或支付信息。

  5. 启用防火墙:通过启用操作系统和路由器的防火墙来限制对网络和系统的未经授权访问,从而阻止特洛伊木马的传播。

  6. 教育用户:提高用户对特洛伊木马的认识和警惕性,教育用户不轻易点击或下载来自未知来源的文件,以及如何识别和避免钓鱼邮件和欺骗手段。

  7. 定期备份数据:定期备份重要数据,并将备份存储在安全的地方,以防止特洛伊木马加密数据并勒索赎金时造成无法挽回的损失。

  8. 监控系统活动:定期审查系统日志和网络流量,以便及时发现和应对任何异常活动。

逻辑炸弹

什么是逻辑炸弹(logic bomb)?

逻辑炸弹是在满足特定逻辑条件时能改变运行方式,对目标计算机系统实施破坏的计算机程序。这种程序通常隐藏在具有正常功能的程序中,在不具备触发条件的情况下,逻辑炸弹深藏不露,系统运行情况良好,用户也察觉不到任何异常。但是,一旦触发条件得到满足,逻辑炸弹就会“爆炸”,造成对目标系统的硬件破坏、文件破坏、数据破坏、信息渗漏及系统瘫痪等严重后果。逻辑炸弹的触发方式非常多,如事件触发、时间触发、计数器触发等。

逻辑炸弹程序不但可以设置在计算机的软件中,也可以暗藏在计算机的固件中。逻辑炸弹不具传给你染性,不能自我复制,但触发逻辑炸弹发作的诱因可以存在于逻辑炸弹载体的各个环节,具有不可控制的意外性。

此外,虽然有时逻辑炸弹的交付技术与可能使您的计算机感染病毒或其他恶意软件的技术相同,但更多情况下,它们是由对被攻击系统具有特权访问权限的内部人员植入的,因此很难检测到。

而且,最棘手的部分是逻辑炸弹并不总是以引人注目的方式一次引爆,它们可以多次激活,完成工作后再次进入休眠状态,而您或您的网络安全人员都不会注意到。

与病毒、木马的区别

病毒是通过自我复制进行传播的计算机程序,自我复制是病毒的基本定义,病毒通常包括复制传播机制和条件破坏机制,而后者不是必备的,所以也存在那些只传染复制而不实施恶性破坏的所谓的“良性”病毒。而只破坏却不能自我复制的程序不属于病毒。典型的木马程序是以“冒充”来作为传播手段的,比如经常说起的 PK-ZIP300 就是典型的例子,它冒充是某个软件的新版本,在用户无意尝试或使用的时候实施破坏。国际上比较先进的计算机反病毒软件有些已经加进了对典型木马程序的判别。

相比而言,逻辑炸弹要更隐藏一些。逻辑炸弹可以理解为在特定逻辑条件满足时实施破坏的计算机程序。与病毒相比,逻辑炸弹强调破坏作用本身,而实施破坏的程序不会传播。我们从定义上将能够复制传染的破坏程序归属在病毒中。与典型木马程序相比,逻辑炸弹一般是隐含在具有正常功能的软件中,而典型木马程序可能一般仅仅是至多只模仿程序的外表,而没有真正的实际功能。当然,这些概念本身都具备一定的灵活性,在一定的条件下可以相互产生和相互转化。我们也把逻辑炸弹发作的条件称为诱因、逻辑诱因。

逻辑炸弹攻击案例

1982 年,一场大规模爆炸中断了一条穿越西伯利亚的重要天然气传输管道。多年来,一直有谣言称,这是中央情报局的破坏行为。据称, 美国情报人员发现他们的苏联同行正试图从西方窃取自动化管道所需的计算机代码,因为苏联本土的软件行业无法胜任这项任务。所以,美国人故意让苏联人窃取了藏有逻辑炸弹的代码,最终导致管道中断。此次事件被称为原始的逻辑炸弹攻击,尽管此事从未得到任何官方证实,且有一些证据表明破坏可能只是管道老化的结果。

虽然我们可能永远无法得知那条管道究竟发生了什么,但有很多有据可查的逻辑炸弹攻击案例:

2001 年底,一名系统管理员辞去了他在瑞银的工作,仅几个小时后,他购买了许多“看跌”期权,如果其前雇主的股票在 2002 年 3 月 15 日之前下跌,他就可以获利。结果,他留下的逻辑炸弹在 3 月 4 日成功引爆,瑞银的众多系统遭到破坏(导致股票下跌)。最终,他被捕并被判处多年监禁,还被迫支付数百万美元的赔偿金。

2003 年,一名系统管理员因担心其雇主 Medco Health Solutions 解雇他,便在他们的服务器上设置了一个逻辑炸弹,以删除大量数据。他将炸弹设置在自己 2004 年生日那天触发,但由于编程错误最终宣告失败,所以他在次年又更改了触发日期。不过,最终该逻辑炸弹提前几个月被发现并禁用,他也被判入狱 30 个月。

2008 年,一名被美国抵押贷款巨头 Fannie Mae 解雇的程序员设法在网络访问权限被终止前植入了一个逻辑炸弹,旨在清除该公司的所有数据。但最终,Fannie Mae 的程序员通过网络日志追踪到他的恶意脚本,并通过比较他在被终止那天在笔记本电脑上创建的目录发现并禁用了该逻辑炸弹。

2014 年 -2016 年间,一位在宾夕法尼亚州任职的西门子派遣工(David Tinley)将逻辑炸弹放入了西门子用于管理订单的电子表格中,然后他又收取数万美元的报酬来修复这些电子表格。(类似于在路上撒图钉,路边补胎)

David Tinley 写的程序一直运行到 2014 年才出现崩溃现象,基本每次都在特定的时间,于是西门子就找 David Tinley 来修复。每次修复的时候,西门子就要和 David Tinley 继续签署合同,这种情况断断续续持续了 3 年。

关系图谱

反向链接