基本介紹
- 中文名:惡意代碼
- 外文名:Malicious Code
定義,特徵,非過濾性病毒,諜件,遠程訪問特洛伊,Zombies,非法訪問許可權,鍵盤記錄程式,P2P 系統,邏輯炸彈和時間炸彈,傳播手法,傳播趨勢,種類更模糊,混合傳播模式,多平台,使用銷售技術,伺服器和客戶端,Windows作業系統,惡意代碼類型變化,相關問題,影響,默認主頁被修改,默認首頁被修改,默認的微軟主頁被修改,主頁設定被禁止鎖定,搜尋引擎被修改,被添加非法信息,非法信息破壞,非法網站連結,選單功能被禁用失常,非法添加按鈕,鎖定下拉選單,“源檔案”項被禁用,
定義
定義一:惡意代碼又稱惡意軟體。這些軟體也可稱為廣告軟體(adware)、間諜軟體(spyware)、惡意共享軟體(malicious shareware)。是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟體。與病毒或蠕蟲不同,這些軟體很多不是小團體或者個人秘密地編寫和散播,反而有很多知名企業和團體涉嫌此類軟體。有時也稱作流氓軟體。
定義二:惡意代碼是指故意編制或設定的、對網路或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒(簡稱病毒)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、後門、邏輯炸彈等。
英文:malicious software 或 malevolent software,Malicious code,malevolent code 或者簡稱Malware。
特徵
具有如下共同特徵:
(1) 惡意的目的
(2) 本身是計算機程式
(3) 通過執行發生作用
非過濾性病毒
非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
諜件
諜件(Spyware)與商業產品軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連線,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於主機的防火牆,通過記錄網路活動,才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的程式,比如NetBus 和SubSeven 可以偽裝成其他程式,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載檔案,或者遊戲和賀卡等,也可以通過物理接近的方式直接安裝。
Zombies
非法訪問許可權
鍵盤記錄程式
P2P 系統
基於Internet的點到點 (peer-to-peer)的應用程式比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程式都可以通過HTTP或者其他公共連線埠穿透防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些程式首先要從內部的PC 遠程連線到外邊的Gotomypc 主機,然後用戶通過這個連線就可以訪問辦公室的PC。這種連線如果被利用,就會給組織或者企業帶來很大的危害。
邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和應用程式為目的的程式。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟體,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟體就有輸入緩衝區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
傳播趨勢
惡意代碼的傳播具有下面的趨勢:
種類更模糊
混合傳播模式
“混合病毒威脅”和“收斂(convergent)威脅”的成為新的病毒術語,“紅色代碼”利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
多平台
使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的信箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意檔案進行操作,並且使用網路探測、電子郵件腳本嵌入和其它不使用附屬檔案的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
伺服器和客戶端
對於惡意代碼來說伺服器和客戶機的區別越來越模糊,客戶計算機和伺服器如果運行同樣的應用程式,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個作業系統預設的服務,因此它的服務程式的缺陷是各個機器都共有的,Code Red的影響也就不限於伺服器,還會影響到眾多的個人計算機。
Windows作業系統
Windows作業系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平台,病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設定,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種訊息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
惡意代碼類型變化
相關問題
(5) 惡意代碼攻擊方面的數據分析做得很不夠,儘管有些病毒掃描軟體有系統活動日誌,但是由於檔案大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
影響
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型檔案傳播,到宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鐘, Nimda 用了不到 30分鐘. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用作業系統或者應用程式的漏洞, 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程式,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
知識庫編號: RSV0603549
內容分類: 腳本病毒
關鍵字: 惡意代碼;症狀;修複方法
惡意代碼十三大症狀及簡單修複方法。
默認主頁被修改
1.破壞特性:默認主頁被自動改為某網站的網址。
3.清除方法:採用手動修改註冊表法,開始選單->運行->regedit->確定,打開註冊表編輯工具,按順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL鍵值名(用來設定默認主頁),在右視窗點擊右鍵進行修改即可。按F5鍵刷新生效。
危害程度:一般
默認首頁被修改
1.破壞特性:默認首頁被自動改為某網站的網址。
2.表現形式:瀏覽器的默認主頁被自動設為如********.COM的網址。
3.清除方法:採用手動修改註冊表法,開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage鍵值名(用來設定默認首頁),在右視窗點擊右鍵進行修改即可。按F5鍵刷新生效。
危害程度:一般
默認的微軟主頁被修改
1.破壞特性:默認微軟主頁被自動改為某網站的網址。
2.表現形式:默認微軟主頁被篡改。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL鍵值名(用來設定默認微軟主頁),在右視窗點擊右鍵,將鍵值修改,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
主頁設定被禁止鎖定
1.破壞特性:主頁設定被禁用。
2.表現形式:主頁地址欄變灰色被禁止。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支,新建“ControlPanel”主鍵,然後在此主鍵下新建鍵值名為“HomePage”的DWORD值,值為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
搜尋引擎被修改
1.破壞特性:將IE的默認微軟搜尋引擎更改。
2.表現形式:搜尋引擎被篡改。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支,找到“SearchAssistant”鍵值名,在右面視窗點擊“修改”,然後再找到“CustomizeSearch”鍵值名,將其鍵值修改,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
被添加非法信息
1.破壞特性:通過修改註冊表,使IE標題欄被強行添加宣傳網站的廣告信息。
2.表現形式:在IE頂端藍色標題欄上多出了什麼“正點網“!
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支,找到“Window Title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新。
第二,按如下順序依次打開:HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支,找到“Window Title”鍵值名,輸入鍵值為Microsoft Internet Explorer,按F5刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]"Window Title"="Microsoft Internet Explorer"
危害程度:一般
非法信息破壞
破壞特性:通過修改註冊表,在微軟的集成電子郵件程式Microsoft Outlook頂端標題欄添加宣傳網站的廣告信息br]
表現形式:在頂端的Outlook Express藍色標題欄添加非法信息。
清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支,找到WindowTitle以及Store Root鍵值名,將其鍵值均設為空。按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]"WindowTitle"="""Store Root"=""
危害程度:一般
非法網站連結
1.破壞特性:通過修改註冊表,在滑鼠右鍵彈出選單里被添加非法站點的連結。
2.表現形式:添加“網址之家”等諸如此類的連結信息。
3.清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支,在左邊視窗凡是屬於非法連結的主鍵一律刪除,按F5鍵刷新生效。
4.危害程度:一般
選單功能被禁用失常
1.破壞特性:通過修改註冊表,滑鼠右鍵彈出選單功能在IE瀏覽器中被完全禁止。
2.表現形式:在IE中點擊右鍵毫無反應。
3.清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到“NoBrowserContextMenu”鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoBrowserContextMenu"=dword:00000000
危害程度:輕度
(十).IE收藏夾被強行添加非法網站的地址連結
破壞特性:通過修改註冊表,強行在IE收藏夾內自動添加非法網站的連結信息。
表現形式:躲藏在收藏夾下。
清除方法:請用手動直接清除,用滑鼠右鍵移動至該非法網站信息上,點擊右鍵彈出選單,選擇刪除即可。
危害程度:一般
非法添加按鈕
破壞特性:工具列處添加非法按鈕。
表現形式:有按鈕圖示。
清除方法:直接點擊滑鼠右鍵彈出選單,選擇“刪除”即可。
危害程度:一般
鎖定下拉選單
破壞特性:通過修改註冊表,將地址欄的下拉選單鎖定變為灰色。
表現形式:不僅使下拉選單消失,而且在其上覆蓋非法文字信息。
清除方法:(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支,在右邊視窗找到“LinksFolderName”鍵值名,將其鍵值設為“連結”,多餘的字元一律去掉,按F5鍵刷新生效。
危害程度:輕度
“源檔案”項被禁用
破壞特性:通過修改註冊表,將IE選單“查看”下的“源檔案”項鎖定變為灰色。
表現形式:“源檔案”項不可用。
清除方法:
(1)手動修改註冊表法:開始選單->運行->regedit->確定,打開註冊表編輯工具,第一,按如下順序依次打開:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
按如下順序依次打開:HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支,找到"NoViewSource"鍵值名,將其鍵值設為“00000000”,按F5鍵刷新生效。
(2)自動檔案導入註冊表法:請把以下內容輸入或貼上複製到記事本內,以擴展名為reg的任意檔案名稱存在C糟的任一目錄下,然後執行此檔案,根據提示,一路確認,即可顯示成功導入註冊表。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions] "NoViewSource"=dword:00000000
危害程度:輕度
注意:如果要修改註冊表,請您務必在操作之前備份註冊表信息。
