恶意代码(Malicious Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织
安全策略相冲突的
软件。
定义
定义一:恶意代码又称恶意软件。这些软件也可称为
广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与
病毒或
蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名
企业和团体涉嫌此类软件。有时也称作流氓软件。
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。
英文:malicious software 或 malevolent software,Malicious code,malevolent code 或者简称Malware。
特征
具有如下共同特征:
(1) 恶意的目的
(2) 本身是计算机程序
(3) 通过执行发生作用
有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性
病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在
防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
非过滤性病毒
非过滤性
病毒包括口令破解
软件、
嗅探器软件、键盘输入记录软件,远程特洛伊和谍件等等,组织内部或者外部的攻击者使用这些软件来获取口令、侦察
网络通信、记录私人通信,暗地接收和传递远程
主机的非授权命令,而有些私自安装的P2P软件实际上等于在企业的
防火墙上开了一个口子。 非滤过性
病毒有增长的趋势,对它的防御不是一个简单的任务。与非过滤性
病毒病毒有关的概念包括:
谍件
谍件(Spyware)与商业产品
软件有关,有些商业软件产品在安装到用户机器上的时候,未经用户授权就通过Internet连接,让用户方软件与开发商软件进行通信,这部分通信软件就叫做谍件。用户只有安装了基于
主机的
防火墙,通过记录网络活动,才可能发现
软件产品与其开发商在进行定期通讯。谍件作为商用
软件包的一部分,多数是无害的,其目的多在于扫描系统,取得用户的私有数据。
远程访问特洛伊
远程访问特洛伊RAT 是安装在受害者机器上,实现非授权的网络访问的程序,比如NetBus 和SubSeven 可以伪装成其他程序,迷惑用户安装,比如伪装成可以执行的
电子邮件,或者Web下载文件,或者游戏和贺卡等,也可以通过物理接近的方式直接安装。
Zombies
恶意代码不都是从内部进行控制的,在
分布式拒绝服务攻击中,Internet的不少 站点受到其他
主机上 zombies程序的攻击。zombies程序可以利用网络上
计算机系统的
安全漏洞将自动攻击脚本安装到多台
主机上,这些主机成为受害者而听从攻击者指挥,在某个时刻,汇集到一起去再去攻击其他的受害者。
非法访问权限
口令破解、
网络嗅探和网络
漏洞扫描是公司内部人员侦察同事,取得非法的资源访问权限的主要手段,这些攻击工具不是自动执行, 而是被隐蔽地操纵。
键盘记录程序
某些用户组织使用PC活动监视
软件监视使用者的操作情况,通过键盘记录,防止雇员不适当的使用资源,或者收集罪犯的证据。这种
软件也可以被攻击者用来进行信息刺探和
网络攻击。
P2P 系统
基于Internet的点到点 (peer-to-peer)的
应用程序比如 Napster、Gotomypc、AIM 和 Groove,以及远程访问工具通道像Gotomypc,这些程序都可以通过HTTP或者其他公共端口穿透
防火墙,从而让雇员建立起自己的VPN,这种方式对于组织或者公司有时候是十分危险的。因为这些
程序首先要从内部的PC
远程连接到外边的Gotomypc
主机,然后用户通过这个连接就可以访问办公室的PC。这种连接如果被利用,就会给组织或者企业带来很大的危害。
逻辑炸弹和时间炸弹
逻辑炸弹和时间炸弹是以破坏数据和
应用程序为目的的程序。一般是由组织内部有不满情绪的雇员植入, 逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏,Omega 工程公司的一个前
网络管理员Timothy Lloyd,1996年引发了一个埋藏在原雇主
计算机系统中的
软件逻辑炸弹,导致了1千万美元的损失,而他本人最近也被判处41个月的监禁。
传播手法
恶意代码编写者一般利用三类手段来传播恶意代码:
软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的
蠕虫和嵌入脚本,本身就是
软件,这类恶意代码对人的活动没有要求。一些像
特洛伊木马、
电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。
利用商品
软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业
软件产品的缺陷和弱点,比如
溢出漏洞和可以在不适当的环境中执行任意代码。像没有打
补丁的IIS
软件就有输入
缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda,Linux 和Solaris上的
蠕虫也利用了远程
计算机的缺陷。
恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是
缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力,LoveLetter 就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。
对聊天室IRC(Internet Relay Chat)和即时消息IM(instant messaging)系统的攻击案例不断增加,其手法多为欺骗用户下载和执行自动的Agent
软件,让远程系统用作
分布式拒绝服务(DDoS)的攻击平台,或者使用
后门程序和特洛伊
木马程序控制之。
传播趋势
恶意代码的传播具有下面的趋势:
种类更模糊
恶意代码的传播不单纯依赖
软件漏洞或者社会工程中的某一种,而可能是它们的混合。比如
蠕虫产生寄生的文件
病毒,
特洛伊程序,口令窃取程序,
后门程序,进一步模糊了蠕虫、病毒和特洛伊的区别。
混合传播模式
“混合
病毒威胁”和“收敛(convergent)威胁”的成为新的病毒术语,“
红色代码”利用的是IIS的
漏洞,Nimda实际上是1988年出现的Morris
蠕虫的派生品种,它们的特点都是利用漏洞,病毒的模式从
引导区方式发展为多种类病毒蠕虫方式,所需要的时间并不是很长。
多平台
多平台攻击开始出现,有些恶意代码对不兼容的平台都能够有作用。来自Windows的
蠕虫可以利用Apache的
漏洞,而Linux蠕虫会派生exe格式的特洛伊。
使用销售技术
另外一个趋势是更多的恶意代码使用销售技术,其目的不仅在于利用受害者的邮箱实现最大数量的转发,更重要的是引起受害者的兴趣,让受害者进一步对恶意文件进行操作,并且使用网络
探测、
电子邮件脚本嵌入和其它不使用附件的技术来达到自己的目的。
恶意软件(malware)的制造者可能会将一些有名的攻击方法与新的
漏洞结合起来,制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。对于防病毒
软件的制造者,改变自己的方法去对付新的威胁则需要不少的时间。
服务器和客户端
对于恶意代码来说
服务器和客户机的区别越来越模糊,客户
计算机和服务器如果运行同样的
应用程序,也将会同样受到恶意代码的攻击。象IIS服务是一个
操作系统缺省的服务,因此它的服务程序的缺陷是各个机器都共有的,Code Red的影响也就不限于
服务器,还会影响到众多的
个人计算机。
Windows操作系统
Windows操作系统更容易遭受恶意代码的攻击,它也是
病毒攻击最集中的平台,
病毒总是选择配置不好的网络共享和服务作为进入点。其它溢出问题,包括字符串格式和堆溢出,仍然是滤过性
病毒入侵的基础。病毒和
蠕虫的攻击点和附带功能都是由作者来选择的。另外一类缺陷是允许任意或者不适当的执行代码, 随着scriptlet.typelib 和Eyedog
漏洞在
聊天室的传播,JS/Kak利用IE/Outlook的漏洞,导致两个
ActiveX控件在信任级别执行,但是它们仍然在用户不知道的情况下,执行非法代码。最近的一些
漏洞帖子报告说Windows Media Player可以用来旁路Outlook 2002的安全设置,执行嵌入在HTML 邮件中的JavaScript 和 ActiveX代码。这种消息肯定会引发
黑客的攻击热情。利用
漏洞旁路一般的过滤方法是恶意代码采用的典型手法之一。
恶意代码类型变化
此外,另外一类恶意代码是利用和uuencode头的处理薄弱的缺陷,将恶意代码化装
成安全数据类型,欺骗客户
软件执行不适当的代码。
相关问题
(1)
病毒防护没有标准的方法,专家认为比较安全的方式是每个星期更新一次
病毒库,但是特殊情况下,需要更加频繁地更新。1999年Y2K
病毒库需要每天更新,而2000年五月,为了对付LoveLetter
病毒的变种,一天就要几次更新病毒库。需要指出的是,有时候这种频繁的更新对于防护效果的提高很小。
(2)用户对于Microsoft的操作系统和
应用程序抱怨很多,但是
病毒防护工具本身的功能实在是应该被最多抱怨的一个因素。
(3)启发式的病毒搜索没有被广泛地使用,因为清除一个病毒比调整
启发式软件的花费要小,而被比喻成“治疗比疾病本身更糟糕”。
(4)企业在
防火墙管理,
电子邮件管理上都花费了不小的精力,建议使用单独的人员和工具完成这个任务。
(5) 恶意代码攻击方面的数据分析做得很不够,尽管有些
病毒扫描
软件有系统活动日志,但是由于文件大小限制,不能长期保存。同时对于恶意代码感染程度的度量和分析做得也不够,一般的企业都不能从战术和战略两个层次清晰地描述自己公司的安全问题。
(6)
病毒扫描
软件只是通知用户改变设置,而不是自动去修改设置。
(7)
病毒防护
软件本身就有安全缺陷,容易被攻击者利用,只是由于害怕被攻击,病毒软件厂商不愿意谈及。
(8)许多的
软件都是既可以用在安全管理,也可以用在安全突破上,问题在于意图,比如
漏洞扫描程序和
嗅探程序就可以被攻击者使用。
影响
恶意代码的传播方式在迅速地演化,从
引导区传播,到某种类型文件传播,到
宏病毒传播,到邮件传播,到网络传播,发作和流行的时间越来越短。Form
引导区病毒1989年出现,用了一年的时间流行起来,宏病毒 Concept Macro 1995年出现,用了三个月的时间流行, LoveLetter用了大约一天,而 Code Red用了大约90分钟, Nimda 用了不到 30分钟. 这些数字背后的规律是很显然的:在恶意代码演化的每个步骤,病毒和
蠕虫从发布到流行的时间都越来越短。
恶意代码本身也越来越直接的利用操作系统或者
应用程序的
漏洞, 而不仅仅依赖社会工程。
服务器和网络设施越来越多地成为攻击目标。L10n, PoisonBOx, Code Red 和 Nimda等
蠕虫程序,利用
漏洞来进行自我传播,不再需要搭乘其他代码
关键词: 恶意代码;症状;修复方法
恶意代码十三大症状及简单修复方法。
默认主页被修改
1.破坏特性:默认主页被自动改为某网站的网址。
2.表现形式:
浏览器的
默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改
注册表默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
默认的微软主页被修改
1.破坏特性:默认
微软主页被自动改为某网站的网址。
2.表现形式:默认微软主页被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_LOCAL_MACHINE(2)自动文件导入注册表法:请把以下内容的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
主页设置被屏蔽锁定
1.破坏特性:主页设置被禁用。
2.表现形式:主页地址栏变灰色被屏蔽。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:
HKEY_CURRENT_USER(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到
记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
搜索引擎被修改
1.破坏特性:将IE的默认微软搜索引擎更改。
2.表现形式:搜索引擎被篡改。
3.清除方法:
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
被添加非法信息
1.破坏特性:通过修改注册表,使IE标题栏被强行添加宣传网站的
广告信息。
2.表现形式:在IE顶端蓝色标题栏上多出了什么“正点网“!
3.清除方法:
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
危害程度:一般
非法信息破坏
破坏特性:通过修改注册表,在微软的集成
电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
表现形式:在顶端的Outlook Express蓝色标题栏添加非法信息。
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
危害程度:一般
非法网站链接
1.破坏特性:通过修改注册表,在鼠标右键弹出菜单里被添加非法站点的链接。
2.表现形式:添加“网址之家”等诸如此类的链接信息。
4.危害程度:一般
菜单功能被禁用失常
1.破坏特性:通过修改注册表,鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
2.表现形式:在IE中点击右键毫无反应。
3.清除方法:
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
危害程度:轻度
破坏特性:通过修改注册表,强行在IE
收藏夹内自动添加非法网站的链接信息。
清除方法:请用手动直接清除,用鼠标右键移动至该非法网站信息上,点击右键弹出菜单,选择删除即可。
危害程度:一般
非法添加按钮
表现形式:有按钮图标。
清除方法:直接点击鼠标右键弹出菜单,选择“删除”即可。
危害程度:一般
锁定下拉菜单
破坏特性:通过修改注册表,将地址栏的下拉菜单锁定变为灰色。
表现形式:不仅使下拉菜单消失,而且在其上覆盖非法文字信息。
危害程度:轻度
“源文件”项被禁用
破坏特性:通过修改注册表,将IE菜单“查看”下的“源文件”项锁定变为灰色。
清除方法:
(2)自动文件导入注册表法:请把以下内容输入或粘贴复制到记事本内,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示,一路确认,即可显示成功导入注册表。
REGEDIT4
危害程度:轻度
注意:如果要修改注册表,请您务必在操作之前备份注册表信息。