恶意软件基础

恶意软件特性

恶意软件(内部俗称“僵木蠕”)是指在计算机系统上执行恶意任务的病毒、蠕虫、特洛伊木马、后门、僵尸网络、Rootkit、逻辑炸弹、间谍软件、广告软件。

恶意代码范围很广，包括利用各种网络、操作系统、软件和物理安全漏洞来向计算机系统传播恶意程序。

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高CPU资源、自动弹出/关闭窗口、自动终止某些进程等各种不正常现象

危害

• 破坏计算机数据

  计算机病毒激发后会通过格式化、改写、删除、破坏设置等破坏计算机储存数据。

• 窃取用户隐私信息

  如银行密码、账户密码等用户隐私信息,盗用用户财产

• 利用被病毒控制的用户计算机进行非法行为

  如利用僵尸主机发起DDOS攻击

• 占用计算机空间、抢占硬件资源

  如挖矿木马，占用用户计算资源进行虚拟货币挖矿

传播方式

• 传播方式
• 电子邮件
• 网页感染
• 钓鱼软件
• 网络共享
• 系统漏洞
• 移动磁盘传播

特性

自启动特性

• 常用手段 ：

  修改注册表：注册表启动项、文件关联项、系统服务项、BHO项等。

  注册为系统服务

  添加到自启动文件夹

  修改系统配置文件

• 加载方式 ：

  服务和进程，病毒直接运行

  嵌入系统正常进程，DLL注入

  驱动，SYS文件

注册表启动

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

• RunServices
• RunServicesOnce
• Run
• RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

• Run
• RunOnce
• RunServices

文件关联项

HKEY_CLASSES_ROOT下：

• exefile\shell\open\command] @=""%1" %*"
• comfile\shell\open\command] @=""%1" %*"
• batfile\shell\open\command] @=""%1" %*"
• htafile\Shell\Open\Command] @=""%1" %*"
• piffile\shell\open\command] @=""%1" %*“
• 病毒将"%1 %"改为 “virus.exe %1 %"
• virus.exe将在打开或运行相应类型的文件时被执行

修改配置文件

• Win.ini中的[windows]节

  load = virus.exe

  run = virus.exe

  这两个变量用于自动启动程序。

• System.ini 中的[boot]节

  Shell = Explorer.exe,virus.exe

  Shell变量指出了要在系统启动时执行的程序列表。

修改启动文件夹

• 当前用户的启动文件夹

  Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的 StartUp 项

• 公共的启动文件夹

  Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的 Common StartUp 项，病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。

下载与后门特性

• 下载特性

  很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种

• 后门特性

  后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。

信息收集特性

• QQ密码和聊天记录
• 网络游戏帐号密码
• 网上银行帐号密码
• 用户网页浏览记录和上网习惯

自身隐藏特性

• 多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改，以使其更加隐蔽不易被发现
• 有一些会使用Rootkit技术来隐藏自身的进程和文件，使得用户更难以发现。使用Rootkit技术的病毒，通常都会有一个.SYS文件加载在系统的驱动中，用以实现Rootkit技术的隐藏功能

文件感染特性

• 文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。

• 有的文件型病毒会感染系统中其他类型的文件。

• example

  PE_LOOKED 维京

  PE_FUJACKS 熊猫烧香

网络攻击特性

• 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象，或是通过漏洞在受攻击的计算机上远程执行恶意代码。

• 一些木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。

• example

  振荡波－利用MS04-011漏洞攻击

  WannaCry-利用MS17-010进行传播

恶意软件类型

电脑病毒

传播机制同生物病毒类似，生物病毒是把自己注入细胞之中。而病毒是植入到计算机程序中

病毒工作原理：

1. 住进阶段: 执行被感染的程序,病毒就加载入计算机内存
2. 感染阶段: 病毒把自己注入其他程序,包括远程文件
3. 执行阶段: 当某些条件成熟时, 一些病毒会有一些特别的行为. 例如重新启动,删除文件.

特点：

• 传播性
• 隐蔽性
• 感染性
• 潜伏性
• 可激发性
• 表现性或破坏性

蠕虫

蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

第一个流行电脑蠕虫 – Morris

特点：

• 计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行，未必会直接破坏被感染的系统，却几乎都对网络有害。

木马

木马与病毒一样也是一种有害的程序，其特征与特洛伊木马一样具有伪装性，表面上没有危害、甚至还附有用户需要的功能，却会在用户不经意间，对用户的计算机系统产生破坏或窃取数据，特别是用户的各种账户及口令等重要且需要保密的信息，甚至控制用户的计算机系统。

特点：

• 占用空间小
• 运行后较难阻止其行为
• 隐蔽性高

Rootkit

术语来自于Unix系统。最早的一个版本是出现在SunOS 4

用于修改操作系统，以改变操作系统的表现行为的工具软件 。而这种改变，往往不是操作系统设计时所期望的。

广义而言，Rootkit也可视为一项技术，恶意软件利用该项技术来达到隐藏自身的目的。

隐匿系统资源：

• 进程
• 系统服务
• 网络端口
• 文件
• 注册表设置
• 用户账号

实现手段：

• 用户模式系统调用劫持
• 核心模式系统调用劫持
• 核心模式数据篡改
• 核心模式中断处理程序劫持

僵尸网络Botnet

僵尸（Bot）

• 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令.

僵尸网络（Botnet）

• 将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

常见的恶意软件代表

勒索软件

危害：通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。

代表:WannaCry

• WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

• 被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

其余勒索软件：

• RansomWare
• Crypt0L0ocker
• CryptoLocker
• CryptWall

DDOS木马

危害：黑客可向指定ip发送DDOS攻击，影响企业的正常业务。

代表:盖茨木马

• 此类Linux木马主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。
• 木马得名于其在变量函数的命名中，大量使用Gates这个单词。
• 盖茨木马主要针对中国地区的服务器进行DDoS攻击，有95%的攻击目标都在中国，排名第二的是美国。

其余DDOS木马

• DDoS_XOR
• DbSecuritySpt

蠕虫病毒

危害：计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行，未必会直接破坏被感染的系统，却几乎都对网络有害。但也有直接破坏系统资源的蠕虫病毒，如WannaCry。

代表:熊猫烧香

• 一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒，它不但能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。

其余蠕虫

• 红色代码
• 超级病毒
• WannaCry

挖矿木马

危害：黑客通过木马控制大量肉鸡电脑，为其制造虚拟货币，占用大量的系统资源

代表:ddg

• 对可以未授权访问redis的服务器写入公钥登录，定时下载并执行脚本
• 脚本下载AnXqV和ddg文件并运行，AnXqV进行挖矿，ddg进行系统监控远程调用并内网传播

其余挖矿木马

• Linux.MulDrop.14
• minerd

恶意软件处置

多数情况下，可以直接根据经验来迅速清除各种病毒。

处理过程包括修复病毒修改的注册表/文件内容和删除病毒文件两部分。

常见处置手段

• 杀毒软件
• 重装系统
• 系统还原
• Ghost还原

注册表检查

启动项检查

删除不必要的启动项键值，如发现指向不正常或不认识的程序的键值，可将该键值删除。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\un

服务检查

在[控制面板]-[管理工具]-[服务]中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件。对于不正常的服务，可直接在注册表中删除该服务的主键。

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

检查Winlogon加载项

• 在注册表中检查Winlogon相关加载项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  Shell = Explorer.exe (默认)

  Userinit=C:\WINDOWS\system32\userinit.exe,(默认)

• 以上Shell和Userinit键值为默认，若发现被修改，可直接将其修改为默认键值。

检查其他加载项

• 在注册表中检查以下注册表加载项键值：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows

  AppInit_DLLs = “”

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

  Load = “”

• 该键值默认为空。若键值被修改，可直接将键值内容清空。

可疑文件检测

所有的Windows正常执行文件都包含完整的版本信息。若文件无版本信息，或版本信息异常，则可判断为可疑文件。直接删除这样的文件不会对系统造成影响。

常用手段

• 看文件版本信息
• 第三方查询（virustotal、哈勃等）

常用工具

• HijackThis
• Process Explorer
• PCHunter
• 火绒剑
• ProcessHacker
• Autoruns

常用杀软

• 360杀毒
• Mcafee
• 卡巴斯基
• 诺顿

常用恶意软件查杀工具

• 火绒
• Emsisoft
• HitmanPro