信息网络平安知识普及教育培训教程常见笔记本木马和病毒及防范.docx
《信息网络平安知识普及教育培训教程常见笔记本木马和病毒及防范.docx》由会员分享,可在线阅读,更多相关《信息网络平安知识普及教育培训教程常见笔记本木马和病毒及防范.docx(30页珍藏版)》请在冰点文库上搜索。
信息网络平安知识普及教育培训教程常见笔记本木马和病毒及防范
课程名称:
《常见计算机木马与病毒及防范》
钟尚平,男,1969年10月生,博士,副教授,硕士生导师,福州大学数计学院网络工程研究所所长,福建省超级计算中心副主任。
1991年和1997年在福州大学数学系和计算机系分别获得学士和硕士学位。
作为校优秀毕业生,留校任教六年。
1997年至2002年在IT企业从事研发工作,任高级程序员,项目经理,软件部经理和副总工程师等职。
2002年9月至2005年1月在中国科学院计算技术研究所读博士学位,师从高庆狮院士,获得诺基亚博士生冠名奖学金和中科院计算所优秀学生称号等奖励,并于2005年1月破格两年半毕业。
已在网络信息安全(总参、网安、国安)、电信和电力行业应用等方向,负责(或参与)了多项软硬件项目。
作为第一作者,已发表录用20余篇论文,作为第一申请人,获得了两项国家发明专利。
1引言
据2009年6月2日解放军报披露,5月29日,奥巴马总统公布了一份由安全部门官员起草的网络安全评估报告,认为来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一。
他在公布这份报告时说,过去两年网络入侵事件已给美国造成80亿美元的经济损失,他本人去年参加总统竞选期间竞选阵营的网络系统也曾遭黑客入侵。
“网络空间及其带来的威胁都是真实的,保护网络基础设施将是维护美国国家安全的第一要务。
”另据披露,在软杀伤网络战武器方面,美军已经研制出2000多种计算机病毒武器,如“蠕虫”程序、“特洛伊木马”程序、“逻辑炸弹”、“陷阱门”等。
2009年5月19日、20日两天,全国多个省份连续发生大面积互联网网络故障,很多用户一度无法正常访问网站。
经工业和信息化部查明,这是暴风影音等网站的域名解析系统受到攻击而引发的一次网络故障。
2009年的3月15日晚上,CCTV的晚会上全面暴光了个人信息被窃取等一系列安全事件,比如黑客通过木马盗号窃取用户的银行资金……
类似的安全事件不胜枚举。
事实上,提起计算机木马和病毒,绝大多数计算机的使用者都会深恶痛绝,因为没有“中过招”的人已经凤毛麟角了。
计算机木马和病毒的防御对个人用户和网络管理员来说是一个颇为头疼的任务。
特别是随着木马和病毒的防杀技术越来越高级,防御就变得越来越复杂,越来越困难。
但同时,木马和病毒的猖獗也催生了一个新兴的产业---信息安全产业。
反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……
这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程序上缓解了计算机木马和病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。
但稻草毕竟是稻草,救得一时不一定救得一世。
目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度讲,都已经达到了相当完善的程度。
但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢?
很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的木马和病毒攻击呢?
那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?
我们认为,关键的问题在于对“对手”的了解。
若我们对木马和病毒的成因,特点,发作症状和防范措施有了最基础的了解,才可能未雨绸缪,配合手中的工具,防患于未然。
病毒的特点
按照我国计算机管理条例法对(传统意义上的)病毒定义有两个最明显的特点,它具有自我传播性,就是我们所说的感染;还有一个是破坏性。
一般病毒会带来一定的危害,这两个特性是病毒最重要的特性。
目前病毒主要是伴随着网络的发展,需要进行快速的传播。
比如说2003年的冲击波,是利用的系统漏洞,传播速度非常之快,一天之内感染了全球大部分有漏洞的电脑。
病毒主要的发展趋势就是传播,要达到最大泛围的传播。
目前在国内外比较流行的一些病毒主要是利用即时通信软件或恶意邮件进行传播。
随着病毒的发展,一种叫做蠕虫(Worm)的病毒逐渐引起人们的注意。
一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有传播性、隐蔽性、破坏性等病毒的一些共性,同时具有自己的一些特征,比如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
它能控制计算机上可以传播文件或信息的功能,一旦系统感染蠕虫即可自行传播,该病毒会将自己从一台计算机复制到另一台计算机,更危险的是它还可大量复制。
在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪。
局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
而且它的传播不必通过“宿主”程序或文件,因此可潜入你的系统并允许其他人远程控制你的计算机,这也使它的危害远较普通病毒为大。
木马与后门
木马跟传统意义上的病毒最本质的区别是病毒以感染为目的,木马更注重于目的性。
在技术层面来讲,病毒大部分是要用底层语言编写,而木马则更容易用高级语言编写实现。
病毒主要的特性是感染很疯狂,而木马为了达到一定的目的性,选择定点传播这样的途径。
早期木马最主要的是控制电脑。
现在的木马最主要的是转变成偷窃,更关注用户的私密信息。
木马能盗取用户隐秘信息,其根本就是打开了计算机系统的后门,实际上,很多软件自己本身就带有后门。
在软件的开发阶段,程序员常会在软件内创建后门,以便修改程序中的缺陷。
如果这些后门被其他人知道,或是在发布软件之前没有删除后门,那么它马上就成了安全风险的来源。
后门又称为BackDoor。
为什么需要那么多扇门呢?
因为主人的事务很繁忙,它为了同时处理很多应酬,就决定让每扇门对应一项应酬。
所以有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)。
理论上,剩下的其他门都该是关闭着的,但偏偏因为各种原因,有的门在主人不知道的情形下,却被悄然开启。
于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼藉。
这扇悄然被开启的门,就是今天我们要讲的“后门”,当然这只是一个比喻。
后门程序一般是指那些绕过安全性控制,而获取对程序或系统访问权的程序方法。
照着这种标准来衡量的话,WindowsUpdate也被人们归纳为后门之一了,2008年的WindowsXP黑屏事件就是一个例子。
虽然微软“信誓旦旦”地说他们不会搜集个人电脑中的信息,但从WindowsUpdate的行为进行分析的话,就会发现它必须搜集个人电脑的信息才能进行操作,所不同的只是搜集信息而已。
后门程序跟我们通常所说的“木马程序”有联系也有区别。
联系在于都是隐藏在用户系统中向外发送信息,而且本身具有一定权限以便远程机器对本机的控制。
区别在于木马程序是一个完整的软件,而后门程序则体积较小且功能都很单一。
而且在病毒命名中,后门一般带有backdoor字样,而木马一般则是torjan字样。
由于它们之间的差别越来越小,所以现在“后门”基本已经被“木马”所取代。
木马与远程控制
要详细了解木马程序,首先要知道远程控制软件。
远程控制是基于网络才能实现的计算机操作。
远程控制技术,始于DOS时代,只不过当时由于技术上没有什么大的变化,网络不发达,市场没有更高的要求,所以远程控制技术没有引起更多人的注意。
但是,随着网络的高速发展,管理及技术支持的需要,远程操作及控制技术越来越引起人们的关注,远程控制也得到广泛的应用。
一、什么是远程控制
远程控制操作是通过远程控制软件来完成的。
远程控制软件一般由两部分组成,用于发送指令的发出端被称为主控端或客户端(Client),被客户端控制的计算机被称为被控端或服务端(Server)。
在进行远程控制操作以前,需要把服务端程序安装到被控制的电脑中,而在本地电脑里也需要安装相应的客户端程序。
如果要进行远程控制,首先由服务端程序在远程电脑中打开一个特定的端口,然后客户端程序向远程电脑中的服务端发出信号,这时服务端就会打开一个端口建立起远程服务,这样,客户端程序就可以远程控制服务端了。
这里所说的是一对一的电脑控制,即一台电脑对另外一台电脑的远程控制。
其实,基于远程服务的远程控制最多的模式是一对多,即利用远程控制软件,我们可以使用一台电脑控制多台电脑。
这种模式多数用于局域网中,网络管理员可以通过远程控制轻松地管理局域网中的每一台电脑。
有了一对多这种模式,当然就有多对一的模式,即利用远程控制软件让多用户同时管理一台远程电脑。
这种多对一的控制模式多数时候用于各种教学演示。
二、木马的特殊性
远程控制虽然可以方便地操纵远程计算机,但它也可能给远程计算机带来安全隐患。
因为远程计算机一旦成为服务端后,其他人只要知道了这台计算机的IP地址和服务端打开的端口,就可以对其控制,安全隐患令人担忧。
因此,远程计算机软件必须有一套严密的安全审核机制,通常采用的是密码验证等手段来判断计算机的合法客户端,只有合法的客户端才会被服务端予以执行,否则就予以拒绝,这样就能在一定程度上保证远程计算机的安全。
著名的远程控制软件“冰河”就是因为程序的密码验证功能存在一个很大的漏洞,致使“冰河”被广泛传播,给广大计算机用户带来极大的安全隐患。
其实木马程序的工作原理和远程控制软件是一样的,木马就是一种基于远程控制技术的黑客工具,它具有隐蔽性和非传播性等特点。
所谓隐蔽性就是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,如写入注册表、和某些类型的文件相关联等,这样即使木马的服务端被发现清除后,木马也可以自动恢复。
非传播性说明木马只能依靠人为的“种植”而传播的,并不能依靠木马自身进行自行传播。
木马除了有极强的远程控制能力以外,危害性也是不言而喻的。
一旦客户端和服务端连接后,客户端将享有服务端的大部分操作权限,如窃取密码、修改注册表、控制鼠标键盘等等,严重时甚至可以使计算机锁死并格式化硬盘。
一个功能强大的木马一旦被植入,黑客就可以像操作自己的机器一样对其进行控制,这台电脑就像“
肉鸡”一样被人随意支配。
木马和病毒的命名规则
木马和病毒的命名并没有统一的规定,每个反病毒公司的命名规则不完全相同,但主要采用在原有名称基础上加前后缀的方法。
中间以点“.”分隔。
如:
瑞星反病毒公司的命名规则为:
前缀:
指一个病毒的种类,他是用来区别病毒的种族的。
不同的种类的病毒,其前缀也是不同的。
比如我们常见的木马病毒的前缀Trojan,脚本类病毒的前缀VBS或Script,后门病毒的前缀是Backdoor,蠕虫病毒的前缀是Worm,宏病毒的前缀是Macro、WM、WM97、XM、XM97,而Win32、W32、PE等代表系统病毒等。
病毒名:
指一个病毒的家族特征,是用来区别和标识病毒家族的。
如1998年开始出现的CIH病毒的家族名都是统一的“CIH”,振荡波蠕虫病毒的家族名是“Sasser”。
后缀:
指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。
一般都采用英文中的26个字母或阿拉伯数字表示,如是指蠕虫病毒“魔波”的变种b。
Nimda病毒命名为:
,病毒二代命名为:
。
病毒名字结构:
“前缀”“.”“病毒名”“.”“后缀”,例如:
,表示Cap宏病毒家族中的一个变种。
若单从概念定义角度,木马、病毒和恶意代码这三者已很难区分。
事实上,业界经常对这三者不作严格区分。
本课对这三者也不作严格区分,因为这不是我们的初衷。
木马和病毒的近期热门排行
一、江民反病毒公司发布的2007年度十大病毒排行
排名
病毒名称
中文名
病毒类型
1
盘寄生虫
蠕虫
2
ARP
ARP病毒
木马
3
Trojan/
网游大盗”变种
木马
4
Worm/
性感相册
蠕虫
5
ANI病毒
蠕虫
6
Trojan/
机器狗
木马
7
Trojan/Agent
代理木马
木马
8
Trojan/
“AV杀手”变种
木马
9
脚本病毒
网页脚本
10
熊猫烧香
蠕虫
二、江民反病毒公司发布的2008年度十大病毒排行
在江民公司2008年度截获的所有病毒中,网游盗号类病毒最为猖獗,“网游窃贼”“网游大盗”病毒分别占据十大病毒第一、二名,而在病毒感染计算机台数前20名病毒中,网络游戏盗号木马占了10个席位,上千万台电脑被此类病毒感染。
“网游窃贼”病毒以压倒其它病毒的绝对优势一举成为2008年度“毒王”,而去年的“毒王”“U盘寄生虫”则下降到第四位。
排名
病毒名称
中文名
病毒类型
1
Trojan/
网游窃贼及其变种
木马
2
Trojan/
网游大盗及其变种
木马
3
Trojan/Agent
代理木马及其变种
木马
4
Checker/Autorun
U盘寄生虫及其变种
蠕虫
5
Backdoor/Huigezi
灰鸽子及其变种
木马/后门
6
Trojan/
QQ大盗及其变种
木马
7
Flas蛀虫及其变种
网页脚本
8
Trojan/StartPage
初始页及其变种
木马
9
Trojan/DogArp
机器狗及其变种
木马
10
Win32/Infectrpcss
RPCS毒手及其变种
木马
三、金山毒霸反病毒公司发布的2009年2月十大病毒排行
排名
病毒名
中文名
感染量(台次)
1
窥视器
154万
2
无公害感染源
87万
3
伪装搜索者
74万
4
网游盗号木马295241
72万
5
木马下载器425984
63万
6
小偷
47万
7
会飞的乌龟壳378833
39万
8
木马驱动器32768
38万
9
摘星者下载器
37万
10
玩家广告机
25万
四、金山毒霸反病毒公司发布的2009年4月十大病毒排行
排名
病毒名
中文名
感染量(台次)
1
文件夹模仿者
6134080
2
非法插件安装器
3560110
3
高频下载器
2927270
4
干扰弹AK
2511090
5
无公害感染源
2219330
6
宝马下载器变种
2178080
7
传奇盗号下载器AO
2097050
8
盘感染虫变种
2027830
9
1438340
宝马下载器变种
10
对抗型下载器
1378600
2009年4月安全状况
∙恶意域名变化迅速
所谓的恶意域名,就是病毒团伙用于存放恶意程序的服务器的“地址”。
网页脚本木马通常只是一个下载器,它必须要下载其它恶意程序,才能给用户电脑造成实质的破坏与损失。
而恶意程序,就是存放在那些恶意域名背后的黑客服务器上的。
为避免安全厂商和公安部门顺藤摸瓜,通过跟踪服务器动向来追查他们的行动规律和地理位置,病毒团伙频繁的更换服务器,服务器的域名自然也是随之改变。
根据金山毒霸“云安全”中心的监测,目前国内网络中,每天大约新增10个左右的恶意域名,这些域名可能指向同一个黑客服务器,也可能单独具有一个对应的服务器。
而每款木马下载器中所包含的下载列表,两三天就会更新一次,基本上是每出一个木马新变种,病毒团伙都会立即更换恶意域名。
∙具备免杀功能的木马被频繁更新,防御手段必须创新
进入4月后,各款恶意程序的更新频率都越来越高。
过去我们所接触的一些著名病毒,如机器狗、磁碟机等,可能一周、甚至半个月才出一次变种。
而近来被多次曝光的宝马下载器、脚本下载器系列等,更新频率竟然达到一天两次以上。
这种频繁的更新与过去那种缓慢更新有着很大的区别。
在过去,病毒很长时间才更新一次,每次更新,都会添加一些新的功能,也许是对抗能力更强,也许是可执行的破坏行为更多。
但现在这些每天更新的病毒,它们仅仅是做了免杀而已。
所谓免杀,简单的说就是改变病毒的某些特征,让杀毒软件无法识别,这种方法虽然简单,但对付常规的杀毒软件却非常有效,因为杀毒软件的升级具有延时性,并且由于体积庞大,不可能像病毒那样随意更新。
这样一来,杀毒软件既无法及时防御病毒,又增加了软件出错的风险,部分杀毒软件几乎是疲于奔命,最后遭殃的仍是用户。
传统的杀毒措施已经无法对电脑进行有效防护,必须要有新的防护手段,在这种情况下,金山互联网安全实验室()应运而生,相续开发出“网盾”、“系统急救箱”等深受用户欢迎的实验型安全工具。
而其他安全厂商也相继推出了自己的新理念。
∙IE首页修改病毒增多
在过去的几个月里,我们从木马下载器的下载列表中查获的恶意程序,盗号木马占主要构成。
而在四月,我们发现广告类木马出现了明显增长。
这些新增的广告木马与传统的广告木马有所不同,它们并非靠添加流氓插件来实现弹出广告。
而是利用恶意驱动来修改用户电脑中有关IE默认首页的文件,使得用户在启动IE时被强行指引到病毒作者指定的网站,为这些网站做推广和刷流量。
由于是利用驱动彻底改变了系统数据,普通的修复手段无法有效修复这种破坏,用户只有能两个选择:
忍受广告或重装系统。
金山毒霸对此所推出的方案,是利用“系统急救箱”进行暴力修复,在运行该工具时,电脑会蓝屏,但重启之后,一切就可恢复正常。
2009年5月以后的安全趋势
∙修改IE主页的恶意程序可能大幅增长
在四月露出增长苗头的IE主页修改型病毒,五月份很可能出现更大规模的爆发。
这些病毒可能是单独的一段恶意修改代码,也有可能以流氓软件的形式存在。
但它们修改IE主页,将用户指引到特定网页的动机,都无非是一个“利”字。
通过帮助这些特定网站做推广,病毒作者可以获得价值不菲的佣金,修改的电脑越多,被迫浏览这些网站的用户也就越多,那么这些网站获得的流量也就越大。
相应的,病毒作者能拿到的提成也就越多。
为保证自己能长久的驻留电脑系统,这些恶意程序的对抗能力也会继续进化,越来越多的采用驱动级的修改,令普通的安全软件难以修复。
∙病毒传播方式可能出现复古现象
在过去的几个月中,网页挂马一直是深受病毒团伙喜爱的病毒推广方式,它高效的自动攻击,为病毒团伙换取了巨大的不法利润。
不过,这种做法激起的民愤也是相当的大,网民们骂声一片,各安全厂商相继推出专门的防挂马工具,很快压缩了网页挂马的“生存空间”。
金山毒霸发现,在这种情况下,一些传统的病毒推广手段开始“复苏”,比如将病毒与普通文件捆绑,或者是在游戏外挂中直接嵌入恶意代码。
虽然传统方法的推广效率较低,但如果巧妙的利用社会热点事件吸引网民下载“诱饵”,那么病毒团伙还是能捞上一笔。
不过,只要用户注意每次下载后先用杀毒软件扫描一遍所下载的文件,安全还是有保障的。
而且,对于挂马传播,我们也应继续保持警惕。
∙第三方软件漏洞值得关注
同样是出于网页挂马生存空间的压缩,另一些病毒团伙很可能会将目光投向第三方软件的漏洞挖掘。
在四月的最后几天,有关诺基亚手机操作系统漏洞和暴风影音漏洞的消息开始在黑客圈子中传播,前者可用于无限次的试探手机银行的密码,后者可用于在视频中嵌入恶意代码。
从理论上说,任何一款软件都是存在漏洞的,问题只在于,谁会先发现它。
如果是软件的开发者,那么相关的补丁就会很快放出,堵住漏洞,将用户的损失降至最低;而如果是黑客组织先发现,那么这款软件的用户就将沦为任由宰割的肉鸡——美味可口、利润丰富。
病毒和木马的发展态势
从某种意义上说,21世纪是计算机病毒与反病毒激烈角逐的时代,而智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪计算机病毒的发展趋势。
1)智能化
与传统计算机病毒不同的是,许多新病毒(包括蠕虫、黑客工具和木马等恶意程序)是利用当前最新的编程语言与编程技术实现的,它们易于修改以产生新的变种,从而逃避反病毒软件的搜索。
例如,“爱虫”病毒是用VBScript语言编写的,只要通过Windows下自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造出病毒变种,从而可以躲避反病毒软件的追击。
2)人性化
更确定地说,也可以将人性化称为诱惑性。
现在的计算机病毒越来越注重利用人们的心理因素,如好奇、贪婪等。
3)隐蔽化
相比较而言,新一代病毒更善于隐藏和伪装自己。
其邮件主题会在传播中改变,或者具有极具诱惑性的主题和附件名。
许多病毒会伪装成常用应用程序,或者在将病毒代码写入文件内部的同时不改变文件长度,使用户防不胜防。
4)多样化
在新病毒层出不穷的同时,老病毒(如:
“灰鸽子”及其变种等)依然充满活力,并呈现多样化的趋势。
5)专用病毒生成工具的出现
以前的病毒制作者都是专家,编写病毒的目的是想表现自己高超的技术。
但是“库尔尼科娃”病毒的设计者不同,他只是修改了下载的VBS蠕虫孵化器。
据报道,VBS蠕虫孵化器被人们从VXHeavens上下载了15万次以上。
正是由于这类工具太容易得到,使得现在新病毒出现的频率超出以往的任何时间。
6)攻击反病毒软件
病毒发展的另一个趋势表现为专门攻击反病毒软件和其他安全措施的病毒的出现。
越来越多的病毒能够在反病毒软件对其查杀之前获取比反病毒软件更高的运行等级,从而阻碍反病毒软件的运行并使之瘫痪。
正如计算机病毒的出现本身就是人祸而非天灾一样,目前病毒泛滥的一个很重要的原因就是计算机用户的防范意识薄弱,因此一定要防患于未然,及时掌握反病毒知识,更新自己的反病毒软件及病毒库。
木马的特点和入侵途径
在对以往网络安全事件的分析统计里发现,有相当部分的网络入侵是通过木马来进行的。
另外,随着目前国内网络游戏和网上银行的兴起,以盗取网络游戏软件、QQ、网上银行的登录密码和账号为目的的木马病毒就像潜伏的幽灵一样越来越猖獗。
木马的隐藏性是其最大特点。
木马一般悄悄地在后台运行,它尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;另外,一般的木马执行文件非常小,大部分都是几KB到几十KB,如果把木马捆绑到其它正常文件上,用户很难发现。
目前木马入侵的主要途径有邮件附件,下载软件等,通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个
升级会员 