第4章恶意代码案例.ppt

U盘病毒 病毒程序不可能明目张胆的出现，一般都是巧妙存在U盘中。常见的隐藏方式有： 1） 作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的。现在的病毒一般不会采用这种方式。 2） 伪装成其他文件。由于一般人们不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。 3） 藏于系统文件夹中。虽然感觉与第一种方式相同，但是不然。这里的系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。 4） 运用Window的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开，系统提示不存在路径。其实这个文件夹的真正名字是 runauto...\。 5） 隐藏文件夹，生成对应的文件夹图标的病毒文件或者快捷方式。 自己编写U盘病毒 关闭自动播放（运行：gpedit.msc） 4.3.6 网络蠕虫 从编程角度来看，蠕虫由两部分组成： 1. 主程序。一旦在计算机中建立，就开始收集与当前计算机联网的其他计算机的信息，能通过读取公共配置文件并检测当前计算机的联网状态信息，尝试利用系统的缺陷在远程计算机上建立引导程序 2. 引导程序。负责把“蠕虫”病毒带到它所感染的每一台计算机中，主程序中最重要的是传播模块，实现了自动入侵的功能，U盘病毒具备蠕虫的一些特性，也可以将其归为蠕虫病毒。 网络蠕虫 最近一次比较有代表性的蠕虫事件，当属2006年底感染全世界的“熊猫烧香”，一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆，上百万个人用户、网吧及企业局域网用户遭受感染和破坏，损失难以估量，曾被列为“十大病毒之首”，病毒别名有：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香” 熊猫烧香 该蠕虫的作者李某，武汉新洲区人，中专学历，水泥工艺专业。2006年10月16日，时年25岁的李某编写了“熊猫烧香”病毒，它是一种经过多次变种的蠕虫病毒，2007年1月初肆虐网络。李某于2007年2月12日被捕，因表现良好，获刑4年的李某减刑一年多，于2009年12月24日出狱。 “熊猫烧香”除了带有病毒的所有特性外，还具有强烈的商业目的：可以盗取用户游戏账号、QQ账号，以供出售牟利，还可以控制受感染电脑，将其变为“网络僵尸”，暗中访问一些按访问流量付费的网站，从而获利，后续的部分变种中均含有网络游戏盗号木马。 熊猫烧香 这里分析“熊猫烧香”后续的一种变种病毒的攻击方法，其主要表现为： 1. 病毒进程为“spoclsv.exe”，这是“熊猫烧香”早期变种之一，特别之处是“杀死杀毒软件”，感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。 2. 在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒，目前所有专杀工具及杀毒软件均不会修复此病毒行为，需要手动清除病毒添加的代码，并且一定要清除，否则访问了有此代码的网页，又会感染。 3. 用户系统中所有.exe可执行文件的图标全部被改成熊猫举着三根香的模样。 熊猫烧香 其主要隐藏、感染和攻击行为包括： 1 复制自身到系统目录下 %System%\drivers\spoclsv.exe，不同的spoclsv.exe变种，此目录可不同。比如某变种目录是：C:\WINDOWS\System32\Drivers\spoclsv.exe。 2.创建启动项 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] svcshare=%System%\drivers\spoclsv.exe 3.在各分区根目录生成病毒副本 X:\setup.exe X:\autorun.inf autorun.inf内容为： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 熊猫烧香 4. 使用net share命令关闭管理共享 cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y 5. 修改“显示所有文件和文件夹”设置 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue=dword熊猫烧香 6. 熊猫烧香病毒尝试关闭带如下关键字的安全软件相关窗口 天网、防火墙、进程、VirusScan、NOD32、网镖、杀毒、毒霸、瑞星、江民、黄山IE