《恶意代码基础与防范（微课版）》 课件 第9章-其他恶意代码

第9章其他恶意代码CONTENTS目录流氓软件01WebPage中的恶意代码02僵尸网络03行业PPT模板/hangye/定义：流氓软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含中国法律法规规定的计算机病毒。流氓软件定义及特征特征：1.采用多种社会和技术手段，强行或者秘密安装，并抵制卸载；2.强行修改用户软件设置，如浏览器的主页，软件自动启动选项，安全选项；3.强行弹出广告，或者其他干扰用户、占用系统资源行为；4.有侵害用户信息和财产安全的潜在因素或者隐患；5.与电脑病毒联合侵入用户电脑；6.停用杀毒软件或其他电脑管理程序来做进一步的破坏；7.未经用户许可，利用用户疏忽或者利用用户缺乏相关知识，秘密收集用户个人信息、秘密和隐私；8.恶意篡改注册表信息；9.威胁恐吓或误导用户安装其他的产品。流氓软件的分类1.广告软件（Adware）危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。2.间谍软件（Spyware）危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是网络安全的重要隐患之一。3.浏览器劫持危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。4.行为记录软件（TrackWare）危害：危及用户隐私，可能被黑客利用来进行网络诈骗。5.恶意共享软件（maliciousshareware）危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。脚本病毒的基本类型1．基于JavaScript的恶意脚本使用JavaScript语言编写的恶意代码主要运行在IE浏览器环境中，可以对浏览器的设置进行修改，主要破坏是对注册表的修改，危害不是很大。2．基于VBScript的恶意脚本使用VBScript语言的恶意代码可以在浏览器中运行。这种恶意代码在Office，主要是浏览器、Outlook中运行，可以执行的操作非常多，甚至可以修改硬盘上的文件、删除文件和执行程序等，危害非常大。3．基于PHP的恶意脚本基于PHP的恶意脚本是新的恶意代码类型，感染PHP脚本文件，主要对服务器造成影响，对个人计算机影响不大。4

.

Shell恶意脚本编写Shell恶意脚本是一种制造Linux恶意代码的简单方法。Web恶意代码的工作机制在网页中用脚本实现的恶意代码。由于因特网用户经常使用浏览器浏览网页，因此给这种恶意代码的发作造成了便利环境。“万花谷”就是其中一种恶意脚本代码，它是利用JavaScript技术进行破坏的一个恶意网址。感染了该恶意代码后的特征如下：（1）不能正常使用Windows的DOS功能程序。（2）不能正常退出Windows。（3）“开始”菜单上的“关闭”“运行”等栏目被屏蔽，禁止重新以DOS方式启动，关闭DOS命令和Regedit命令等。（4）将IE浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址(www.on888.xxx.X)。（5）在IE的收藏夹中自动加上“万花谷”的快捷方式，网络地址是http://96。与普通恶意脚本有所不同的是：用“查看源文件”方法来查看感染“万花谷”的网页代码时，只能看到一大段杂乱字符。原因是为了具有隐蔽性，该恶意代码采用了JavaScript的escape()函数进行了字符处理，把某些符号、汉字等变成乱码以达到迷惑人的目的。防范脚本病毒的措施（1）养成良好的上网习惯，不浏览不熟悉的网站，尤其是一些个人主页和色情网站，从根本上减少被病毒侵害的机会。（2）选择安装适合自身情况的主流厂商的杀毒软件，或安装个人防火墙，在上网前打开“实时监控功能”，尤其要打开“网页监控”和“注册表监控”两项功能。（3）将正常的注册表进行备份，或者下载注册表修复程序，一旦出现异常情况，马上进行相应的修复。（4）如果发现不良网站，立刻向有关部门报告，同时将该网站添加到黑名单中。（5）提高IE的安全级别。将IE的安全级别设置为“高”。（6）最好安装专业的杀毒软件对计算机进行全面监控.用户在安装了反病毒软件之后，应该经常进行升级,将一些主要监控经常打开。僵尸网络的概念及特点僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。僵尸网络的特点（1）分布性。僵尸网络是一个具有一定分布性的、逻辑的网络，它不具有物理拓扑结构。随着Bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。（2）恶意传播。僵尸网络是采用了一定的恶意传播手段形成的，如主动漏洞攻击、恶意邮件等各种传播手段，都可以用来进行Bot程序的传播。（3）一对多控制。Botnet的最主要的特点就是可以一对多地进行控制，传达命令并执行相同的恶意行为，如DDoS攻击等。这种一对多的控制关系使得攻击者能够以低廉的代价高效地控制大量的资源为其服务，这也是Botnet攻击受到黑客青睐的根本原因。僵尸网络的分类按bot程序的种类分类Agobot/Phatbot/Forbot/XtremBot最著名的僵尸工具类SDBot/RBot/UrBot/SpyBot最活跃的Bot程序家族GT-Bots基于IRC的聊天工具类Bot客户端按Botnet的控制方式分类IRCBotnet这类Botnet利用IRC协议进行控制和通信。目前绝大多数Botnet都属于这一类别，例如Spybot、GTbot和SDbot等。AOLBotnet这类Botnet是依托AOL这种即时通信服务形成的网络而建立的，被感染主机登录到固定的服务器上接收控制命令。P2PBotnet这类Botnet中使用的Bot程序本身包含了P2P的客户端，可以连入采用Gnutella技术的服务器，利用WASTE文件共享协议进行相互通信。由于这种协议分布式地进行连接，就使得每一个僵尸主机可以很方便地找到其他的僵尸主机并进行通信，这类的Botnet具有不存在单点失效但实现相对复杂的特点。僵尸网络的工作过程（1）传播阶段在传播阶段，Botnet把Bot程序传播到尽可能多的主机上去。Botnet需要的是具有一定规模的被控计算机，而这个规模是随着Bot程序的扩散而形成的。在这个传播过程中有如下几种手段：①即时通信软件。②邮件型恶意代码。③主动攻击漏洞。④恶意网站脚本。⑤特洛伊木马。（2）加入阶段在加入阶段，每一台被感染主机都会随着隐藏在自身上的Bot程序的发作而加入到Botnet中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中，感染Bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。（3）控制阶段在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让僵尸计算机执行恶意行为。典型的恶意行为是发起DDoS攻击、窃取主机敏感信息、升级恶意程序等。僵尸网络的危害DDOS攻击使用Botnet发动DDOS攻击是当前最主要的威胁之一。攻击者可以向自己控制的所有僵尸计算机发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDOS的目的。发送垃圾邮件一些bots会设立sockv4、v5代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。