|
進行惡意控制和破壞病毒描述:
帳號被偷���,密碼被盜�����,機器被人遠程控制著放歌/開關機/屏幕倒轉過來��,硬盤不住地轉動將關鍵資料向外發(fā)出���,就是進行惡意控制和破壞病毒的杰作了。這類病毒和可執(zhí)行文件病毒最本質的區(qū)別是——惡意控制和破壞病毒本身是獨立的程序�����,而不是寄生于另一個程序中。這類病毒的編寫主要在于對操作系統(tǒng)本身接口的熟悉��,網(wǎng)絡傳輸?shù)氖煜��,以及對隱蔽性的要求�����,此類病毒的編寫可使用多種語言����,對病毒寫作者本身的實力也是一種考驗。這個病毒中�,最出名的莫過于BO了,可以說��,它指引了這種病毒在windows平臺的發(fā)展理念���。這類病毒就是統(tǒng)稱的“木馬”病毒�,通過系統(tǒng)漏洞/用戶操作疏忽進入系統(tǒng)并駐留�����,通過改寫啟動設置來達到每次啟機運行或關聯(lián)到某程序的目的。在windows系統(tǒng)中����,表現(xiàn)為修改注冊表啟動項、關聯(lián)Explorer��、關聯(lián)notepad等方式��。
進行惡意控制和破壞病毒淺析:
惡意控制和破壞病毒編寫者的功力就有高有低了����。高手所編寫的遠程控制系統(tǒng)可以和最優(yōu)秀的遠程管理工具相媲美��,例如開山鼻主BO�����,國產的冰河��,著名的黃金木馬sub7都屬于這一類�����,這類程序分為2個部分�,控制端和被控制端�����;而在unix類平臺下的木馬經(jīng)常是一個簡單外部命令的重新實現(xiàn)——例如將原本的ls命令替換掉����,用自己寫的一個程序代替����,在執(zhí)行正常文件列表的同時隱含執(zhí)行特殊命令,這類木馬的編寫水平也相當高����,但在windows下極少出現(xiàn)類似程序替代的木馬,惡意控制和破壞病毒的聯(lián)系一般是單向進行的���;還有一類木馬就是網(wǎng)絡盜竊性質的���,以im軟件,網(wǎng)絡游戲盜號居多���,近來發(fā)展為對金融業(yè)有所染指��,這類一般就是通過程序監(jiān)視當前窗口�,并獲得當前窗口特定控件的值(用戶名/密碼框里的值),然后通過email�����,遠程登陸web數(shù)據(jù)庫等方式把獲得的密碼發(fā)出去���,這類程序具有一定編程基礎的各位朋友都能做到����;第4類是惟恐天下不亂的純搗亂程序�����,原理跟可執(zhí)行文件病毒似�����,不過是朝文本框寫信息�,例如著名的qq尾巴病毒���,惡意控制和破壞病毒由于病毒作者將源代碼放出�,改寫起來相當容易�����,智商85以上的人士都能勝任的。這類木馬病毒中的杰出代表為BO�����、冰河�、Sub 7等。
進行惡意控制和破壞病毒感染途徑:
利用系統(tǒng)漏洞——造成溢出——獲取一定權限——利用其他漏洞或用戶設置不當提升權限——上傳惡意程序/修改系統(tǒng)設置——啟動惡意程序�����。是這類病毒感染的慣用方式��。在后期���,出現(xiàn)了以誘騙用戶執(zhí)行為主要感染方式的新木馬����,充分利用了社會工程學�,例如在im類軟件上給你發(fā)送一個名為“我的照片.exe”這樣的文件給你,引誘你打開執(zhí)行���。由于木馬的用途主要是將病毒編寫者感興趣的資料回發(fā)——因此感染途徑99%來源于網(wǎng)絡��,在完全無網(wǎng)絡單機狀態(tài)下的木馬等于是沒用的死馬���。
進行惡意控制和破壞病毒自查:
由于木馬發(fā)送者的企圖都是通過控制你的機器操作來獲得一定利益���,因此都會設置啟動時加載該程序�?刂祁惖哪抉R需要占用相當一部分系統(tǒng)資源——用戶直接能感覺到的就是啟動速度變慢,系統(tǒng)運行速度變慢����;而帳號盜取類的木馬由于需要獲得特定窗口的窗口句柄,因此會在當前窗口切換的時候進行讀取判斷——在機器配置不高的機器上����,如果快速輪循窗口��,則感覺到窗口出現(xiàn)速度明顯下降�;惡作劇類的木馬就不用提了,大家都知道不對勁����。
木馬病毒在編制不夠完美的時候,會導致程序溢出——例如運行ie的時候多次出現(xiàn)“非法操作”����、打開資源瀏覽器速度狂慢等現(xiàn)象���,也可能是系統(tǒng)中了木馬后的蛛絲馬跡。在現(xiàn)象判斷上�����,確實沒有切實的客觀規(guī)則可循���,主要是依據(jù)主觀經(jīng)驗判斷���?傊——如果您沒有安裝任何軟件/修改任何設置���,原本昨天速度飛快的機器今天要么總是非法操作�����,要么速度延遲——那么您被感染了病毒或木馬的可能性相當大了�。當然���,如果您的qq帳號��,傳奇密碼被偷了——更有100%的可能性是潛伏著的木馬干的��。另外����,相當多的木馬程序由于帶了hook鉤子,常常導致調試類程序出錯�,如果您使用softice調試某些程序時經(jīng)常無故報錯,那或許也是系統(tǒng)中掛接了異常的hook程序——木馬����。
進行惡意控制和破壞病毒查殺:
木馬病毒的繁衍也是相當快速的,特別是行為上難以判斷——合法遠程控制軟件和木馬在本質上基本上無區(qū)別�����,在執(zhí)行行為上也相當類似���。而木馬的控制協(xié)議一般是走tcp/ip協(xié)議,理論上是可以在65535個端口中隨意選擇(當然實際中會避開一些保留端口���,防止系統(tǒng)沖突——木馬最必要的生存條件就是其隱蔽性)�,因此也無法利用端口方式準確判斷出病毒種類;通過特征碼方式��,如果木馬作者沒有留下版本信息或說明文字�����,則也相當難以判斷�;特別是木馬的源代碼公開后,想在其中加入一段獨特的功能代碼不是什么難事�,因而衍生的版本特別快也特別多,這更加大了殺毒軟件查殺的的難度��。
事實上現(xiàn)在世面上的殺毒軟件對待木馬的查殺能力并不夠強大�����,如果有可能����,可以選擇專用的木馬查殺軟件,如木馬克星等����。當然,木馬也有手工解決的辦法����,而且對待層出不窮的木馬也只有手工查殺才能以不變應萬變——感染/修改設置/啟動加載/運行獲取密碼 是木馬必經(jīng)過的4個步驟���,讓我們看看怎么找出藏在機器中的馬來——由于木馬需要啟動加載執(zhí)行,因此大多采取修改啟動項目來加載的方式進行——那么��,我們就到啟動項目里去牽馬吧���;
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商�!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
