恶意代码介绍及防范

目录

一、蠕虫病毒概述 (2)

1、蠕虫病毒的定义 (2)

2、蠕虫病毒分类及特点 (2)

二、蠕虫病毒分析和防范 (2)

1、利用系统漏洞的恶性蠕虫病毒分析 (3)

2、对个人用户产生直接威胁的蠕虫病毒 (3)

3、个人用户对蠕虫病毒的防范措施 (4)

三、特洛伊木马攻击步骤 (5)

1、配置木马 (5)

2、传播木马 (5)

3、运行木马 (6)

四、杀毒软件 (7)

1、天网防火墙 (7)

2、卡巴斯基 (8)

3、Windows流氓软件清理大师 (8)

参考文献 (8)

恶意代码介绍及防范

一、蠕虫病毒概述

1、蠕虫病毒的定义

计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速发展的时候，蠕虫病毒引起的危害开始显现！从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系，一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等！

2、蠕虫病毒分类及特点

根据使用者情况可将蠕虫病毒分为2类，一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果!以“红色代码”，“尼姆达”，以及最新的“蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是Email，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的。

蠕虫病毒一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件Email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫病毒传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球！可以预见，

二、蠕虫病毒分析和防范

蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软IE和Outlook 的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(Social Engineering)，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而个人用户而言，主要是防范第二种缺陷。

1、利用系统漏洞的恶性蠕虫病毒分析

在这种病毒中，以红色代码、尼姆达和SQL蠕虫为代表！他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击，由于网上存在这样的漏洞比较普遍，使得病毒很容易传播！而且攻击的对象大都为服务器，所以造成的网络堵塞现象严重！其实蠕虫病毒本身除了对网络产生拒绝服务攻击外，并没有别的破坏措施。但如果病毒编写者在编写病毒的时候加入破坏代码，后果将不堪设想！

2、对个人用户产生直接威胁的蠕虫病毒

对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等！

对于利用Email传播得蠕虫病毒来说，通常利用的是社会工程学(Social Engineering)，即以各种各样的欺骗手段那诱惑用户点击的方式进行传播！

恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，所以会被很多心怀不良企图者所利用，此外在很多黑客网站竟然有关于用网页进行破坏的技术论坛，并提供破坏程序代码下载，从而造成恶意网页的大面积泛滥，也使越来越多的用户遭受损失。

对于恶意网页，常常采取VB script和java script编程的形式！由于编程方式十分的简单,所以在网上非常的流行！VB script和java script是由微软操作系统的WSH（Windows Scripting HostWindows 脚本主机）解析并执行的，由于其编程非常简单，所以此类脚本病毒在网上疯狂传播，曾经疯狂一时的爱虫病毒就是一种VB script脚本病毒，然后伪装成邮件附件诱惑用户点击运行，更为可怕的是，这样的病毒是以源代码的形式出现的，只要懂得一点关于脚本编程的人就可以修改其代码，形成各种各样的变种。

下面以一个简单的脚本为例：

Set objFs=CreateObject （“Scripting.FileSystemObject”）(创建一个文件系统对象)objFs.CreateTextFile （"C:\virus.txt"，1）(通过文件系统对象的方法创建了TXT文件)如果我们把这两句话保存成为.vbs的VB脚本文件，点击就会在C盘中创建一个TXT文件了。倘若我们把第二句改为：

objFs.GetFile （WScript.ScriptFullName）.Copy （"C:\virus.vbs"）

就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件，WScript.ScriptFullName指明是这个程序本身，是一个完整的路径文件名。GetFile函数获得这个文件，Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我复制的功能，已经具备病毒的基本特征——自我复制能力。

此类病毒往往是通过邮件传播的，在VB script中调用邮件发送功能也非常的简单，病毒往往采用的方法是向Outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的，一个简单的实例如下：

Set objOA=Wscript.CreateObject （"Outlook.Application"）（创建一个OUTLOOK应用的对象）

Set objMapi=objOA.GetNameSpace （"MAPI"）（取得MAPI名字空间）

For i=1 to objMapi.AddressLists.Count（遍历地址簿）

Set objAddList=objMapi.AddressLists （i）

For j=1 To objAddList. AddressEntries.Count

Set objMail=objOA.CreateItem （0）

objMail.Recipients.Add （objAddList. AddressEntries （j））（取得收件人邮件地址）

objMail.Subject="你好!" （设置邮件主题，这个往往具有很大的诱惑性）objMail.Body="这次给你的附件，是我的新文档！" （设置信件内容）objMail.Attachments.Add （“c:\virus.vbs"）（把自己作为附件扩散出去）objMail.Send（发送邮件）

next

next

Set objMapi=Nothing（清空objMapi变量，释放资源）

set objOA=Nothing(清空objOA变量)

这一小段代码的功能是向地址簿中的用户发送电子邮件，并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象，是必不可少的。在其下是一个循环，在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。由此可以看出，利用VB script编写病毒是非常容易的，这就使得此类病毒的变种繁多，破坏力极大，同时非常难以根除的！

3、个人用户对蠕虫病毒的防范措施

通过上述的分析，我们可以知道，病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

(1)使用合适的杀毒软件！在杀毒软件市场上，赛门铁克公司的Norton系列杀毒软件在全球具有很大的比例！经过多项测试，Norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒，而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平。像瑞星，kv系列等杀毒软件，在杀毒软件的同时整合了防火强功能，对蠕虫兼木马程序有很大克制作用。

(2)经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快，变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒!

(3)提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！

当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件，所以在IE设置中将ActiveX 插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。

(4)不随意查看陌生邮件，尤其是带有附件的邮件，由于有的病毒邮件能够利用IE和Outlook的漏洞自动执行，所以计算机用户需要升级IE和Outlook 程序，及常用的其他应用程序！

三、特洛伊木马攻击步骤

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

1、配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

（1）木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等等。

（2）信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等。

2、传播木马

（1）传播方式

木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

（2）伪装方式

鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的。因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。一般来说有以下几种：

◆修改图标

也许你会在E-MAIL的附件中看到一个很平常的文本图标，但是这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标，不过目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆、疑神疑鬼的。

◆捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件，即EXE、COM一类的文件。

◆出错显示

当服务端用户打开木马程序时，会弹出一个错误提示框——这当然是假的，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

◆定制端口

现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024——65535之间任选一个端口作为木马端口。一般不选1024以下的端口，这样就给判断所感染木马类型带来了麻烦。

◆自我销毁

当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件的C:\WINDOWS或C:\WINDOWS\SYSTEM目录下，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的，捆绑文件的木马除外。那么中了木马就只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

◆木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型。

3、运行木马

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中C:\WINDOWS或C:\WINDOWS\SYSTEM目录下。然后在注册表、启动组、非启动组中设置好木马的触发条件之后由触发条件激活木马，触发条件是指启动木马的条件，大致出现在下面八个地方：

◆注册表

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

◆WIN.INI

C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows 字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

◆SYSTEM.INI

C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh、mic、drivers32中有命令行，在其中寻找木马的启动命令。

◆Autoexec.bat和Config.sys

在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

◆*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

◆注册表

打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值。通过修改TXT、HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP。

◆捆绑文件

实现这种触发条件首先要控制端和服务端通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

◆启动菜单

在“开始—程序—启动”选项下也可能有木马的触发条件。

四、杀毒软件

1、天网防火墙

软件介绍:

天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全方案，适合于任何方式上网的用户。

主要功能:

1)严密的实时监控

天网防火墙(个人版)对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。

2)灵活的安全规则

天网防火墙(个人版)设置了一系列安全规则，允许特定主机的相应服务，拒绝其它主机的访问要求。用户还可以根据自已的实际情况，添加、删除、修改安全规则，保护本机安全。

3)应用程序规则设置

新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。

4)详细的访问记录和完善的报警系统

天网防火墙(个人版)可显示所有被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，你可以清楚地看到是否有入侵者想连接到你的机器，从而制定更有效的防护规则。与以往的版本相比，天网防火墙(个人版)设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。

推荐理由:功能强大、占时系统资源少，软件操作简单。

2、卡巴斯基

软件介绍:

卡巴斯基中文单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序，时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术，能够有效查杀"冲击波"、"Welchia"、"Sobig.F"等病毒及其其他8万余种病毒，并可防范未知病毒。另外，该软件的界面简单、集中管理、提供多种定制方式，自动化程度高，而且几乎所有的功能都是在后台模式下运行，系统资源占有低。最具特色的是该产品每天两次更新病毒代码，更新文件只有3-20Kb，对网络带宽的影响极其微小，能确保用户系统得到最为安全的保护。

推荐理由:操作简单、清毒功能强大、病毒库更新及时。

3、Windows流氓软件清理大师

软件介绍:

一个完全免费的超强的系统维护工具，能够检测、清理已知的大多数广告软件、工具条和流氓软件。比起其它同类软件，清理软件更方便、更彻底，并且是国内唯一能真正彻底清理流氓软件所有的注册表及文件记录，不需要进入DOS，不需要进入安全模式，不需要备份注册表，只要清理后重新启动一次即可卸载干净。Windows 流氓软件清理大师同时还有注册表清理、垃圾文件的清理功能，并且还是国内唯一具有注册表压缩优化功能，只有注册表压缩优化才能真正让系统的注册表真正干净。Windows 流氓软件清理大师真正让你一次即完整清理干净电脑。

推荐理由:面对网上众多流氓软件，Windows 流氓软件清理大师现在可清除80种软件。

[参考文献]

[1]王双滨. Windows使用中病毒、蠕虫和木马的防治[J] 电脑学习，2007年01期

[2]杨军. 计算机蠕虫病毒的解析与防范 [J] 电脑知识与技术，2005年29期

[3]百度百科. 杀毒软件

（注：专业文档是经验性极强的领域，无法思考和涵盖全面，素材和资料部分来自网络，供参考。可复制、编制，期待你的好评与关注）