第10章病毒機(jī)理

第10章病毒機(jī)理分析2本章概要本章將主要討論病毒攻擊與清除問題，主要討論以下方面：病毒自啟動(dòng)技術(shù)；病毒傳播技術(shù)；可疑系統(tǒng)分析；可疑文件的查找；受感染系統(tǒng)的清理。3課程目標(biāo)通過本章的學(xué)習(xí)，讀者應(yīng)能夠：了解病毒的工作原理；掌握可疑文件的搜集方法；對被感染的系統(tǒng)有清理的能力。410.1病毒傳染機(jī)制

通常，病毒的行為會(huì)經(jīng)歷這樣一些步驟：首先，通過一定的傳播渠道進(jìn)入目標(biāo)系統(tǒng)；其次，修改系統(tǒng)設(shè)定，以幫助自身在系統(tǒng)啟動(dòng)時(shí)執(zhí)行；最后，執(zhí)行自身設(shè)定的功能，如發(fā)起自身的傳播、感染文件、發(fā)起ddos攻擊等。下面針對病毒在這個(gè)過程中所采用的一些手段進(jìn)行討論。作為病毒或惡意程序，如果要感染一個(gè)系統(tǒng)，必定需要通過一定的傳播渠道進(jìn)入系統(tǒng)，以最終完成傳播的目的。通常病毒有以下幾種傳播渠道：電子郵件網(wǎng)絡(luò)共享

P2P共享軟件即時(shí)通信軟件系統(tǒng)中程序的漏洞缺陷510.1.1電子郵件傳播方式

電子郵件作為一種相當(dāng)便利的信息通信手段在現(xiàn)代社會(huì)中被廣泛使用。病毒可以使用電子郵件的快捷傳播特性作為傳播渠道，html格式的信件正文可以嵌入病毒腳本。而郵件附件更是可以附帶各種不同類型的病毒文件。雖然在原理和傳播方法上并無特別，但該類型使用電子郵件作為傳播手段的病毒在傳播時(shí)往往會(huì)造成可見的危害和現(xiàn)象。通常會(huì)造成系統(tǒng)運(yùn)行速度的緩慢，網(wǎng)絡(luò)運(yùn)行受到影響(網(wǎng)絡(luò)中產(chǎn)生大量病毒生成的郵件)。由于很多病毒運(yùn)用了社會(huì)工程學(xué)，發(fā)信人的地址也許是熟識(shí)的，郵件的內(nèi)容帶有欺騙性、誘惑性，意識(shí)不強(qiáng)的用戶往往會(huì)輕信而運(yùn)行郵件的帶毒附件并形成感染。6

部分蠕蟲的病毒郵件還能利用IE漏洞，可使用戶在沒有打開附件的情況下感染病毒。此類病毒的代表有WORM_NETSKY、WORM_BAGLE、WORM_MYDOOM系列等。以下以WORM_mYDOOM.A為例說明病毒通過電子郵件傳播的過程。

WORM_MYDOOM.A發(fā)送的郵件所使用的地址為從被感染的系統(tǒng)中收集，收集的來源有兩種：

a.從默認(rèn)的Windows地址簿(WAB)中收集郵件地址；

b.從WAB，ADB，TBB，DBX,ASP，PHP，SHT，HTM，TXT等類型的文件中收集郵件地址。7

病毒發(fā)送郵件使用自身的SMTP引擎，而所使用的SMTP服務(wù)器名稱系從收集到電子郵件地址中提取。例如收集到的郵件地址為user＠。WORM_MYDOOM.A會(huì)從該郵件地址中提取出域名的部分，然后加上一些前綴(如mx.，mail.，smtp.，mxl.，mxs.，maill.，relay.，us.，gate.等)嘗試作為郵件的發(fā)送服務(wù)器地址。除了以上方法外，獲得用來發(fā)送郵件的SMTP服務(wù)器的方法還有多種，例如，通過使用獲得的電子郵件地址進(jìn)行DNS查詢的方式等。8

當(dāng)然，病毒僅僅通過電子郵件將自身發(fā)送出去是遠(yuǎn)遠(yuǎn)不夠的，病毒伴隨著郵件到了目標(biāo)系統(tǒng)之后只有被執(zhí)行，才能真正實(shí)現(xiàn)對目標(biāo)系統(tǒng)的感染。正如前述，病毒發(fā)送的郵件或者使用郵件客戶端的漏洞，自動(dòng)執(zhí)行發(fā)送到目標(biāo)系統(tǒng)的郵件中的自身副本；或者使用社會(huì)工程學(xué)的手法，誘使收到病居始撓沒В行執(zhí)行郵件中的附件。WORM_MYDOOM.A正是利用了社會(huì)工程學(xué)的手法，將自身偽裝為無法正常發(fā)送的郵件，以吸引用戶打開郵件中的附件，如下頁圖10.1所示。9

同時(shí)，為了讓收到郵件的用戶進(jìn)一步確信打開附件是安全的，附件使用了文本文件的圖標(biāo)進(jìn)行了偽裝，如下頁圖10.2所示。圖10.1通過電子郵件附件傳播病毒10圖10.2利用文本文件圖標(biāo)偽裝11防范措施：

這種病毒基本上可以通過技術(shù)手段解決：使用網(wǎng)絡(luò)郵件防毒網(wǎng)關(guān)，如趨勢的IMSS對郵件附件進(jìn)行過濾；在現(xiàn)有的Exchange或是Domino服務(wù)器上安裝郵件防毒產(chǎn)品，如趨勢科技的Scanmail；在客戶端(主要是Outlook)限制訪問附件中的特定擴(kuò)展名的文件?？梢员辉O(shè)置阻止運(yùn)行的附件類型包括：.adeMicrosoftAccess項(xiàng)目擴(kuò)展名；.adpMicrosoftAccess項(xiàng)目；12.basMicrosoftVisualBasic類模塊；.bat批處理文件；.chm已編譯的HTML幫助文件；.cmdMicrosoftWindowsNT命令腳本；.comMicrosoftMS－DOS程序；.cpl控制面板擴(kuò)展名；.crt安全證書；.exe可執(zhí)行文件；.hlp幫助文件；.htaHTML程序；13.inf安裝信息；.insInternet命名服務(wù)；.ispInternet通訊設(shè)置；.jsJavascript文件；.jseJavascript編碼腳本文件；.lnk快捷方式；.mdbMicrosoftAccess程序；.mdeMicrosoftAccessMDE數(shù)據(jù)庫；.mscMicrosoft通用控制臺(tái)文檔；.msiMicrosoftWindows安裝程序包；14.mspMicrosoftWindows安裝程序補(bǔ)?。?mstMicrosoftVisualTest源文件；.pcd照片CD圖像，MicrosoftVisual編譯腳本；.pifMS－DOS程序的快捷方式；.reg注冊表項(xiàng)；.scr屏幕保護(hù)程序；.sctWindows腳本組件；.ShbShell碎片對象；.shsShell碎片對象；.urlInternet快捷方式；.vbsVBScript文件。1510.1.2網(wǎng)絡(luò)共享傳播方式

病毒通過網(wǎng)絡(luò)共享進(jìn)行傳播，主要是通過搜索局域網(wǎng)中所有具有寫權(quán)限的網(wǎng)絡(luò)共享，然后將自身進(jìn)行復(fù)制進(jìn)行傳播。更進(jìn)一步，病毒還可自帶口令猜測的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對于采用這種方式傳播的病毒，需要技術(shù)和管理手段并行的方式進(jìn)行。防范措施：對于支持域的內(nèi)部網(wǎng)來說，需要在域控制器的域安全策略上增加口令強(qiáng)度策略，至少需要保證長度最小值為6，并開啟密碼復(fù)雜度要求。開啟密碼過期策略對防護(hù)此種攻擊作用不大。16定期對網(wǎng)絡(luò)中的登錄口令進(jìn)行破解嘗試，可以使用一些免費(fèi)工具進(jìn)行檢查，發(fā)現(xiàn)可能存在的弱口令。存在弱口令的主機(jī)必須及時(shí)通知使用者修改，未及時(shí)關(guān)閉者將限制網(wǎng)絡(luò)訪問。使用共享掃描工具定期掃描開放共享，發(fā)現(xiàn)開放共享的主機(jī)必須及時(shí)通知使用者關(guān)閉，未及時(shí)關(guān)閉者將限制網(wǎng)絡(luò)訪問。1710.1.3系統(tǒng)漏洞傳播方式

系統(tǒng)漏洞是操作系統(tǒng)的一些缺陷，這些缺陷可以導(dǎo)致一個(gè)惡意用戶通過精心設(shè)計(jì)，利用該漏洞執(zhí)行任意的代碼。此類病毒就是通過這種方式對某個(gè)存在漏洞的操作系統(tǒng)進(jìn)行漏洞的利用，達(dá)到傳播的目的。防范措施：強(qiáng)制要求配置WindowsUpdate自動(dòng)升級(jí)（僅對Windows2000/XP、且能夠與互聯(lián)網(wǎng)聯(lián)通的系統(tǒng)有效），無互聯(lián)網(wǎng)連接的網(wǎng)絡(luò)可以考慮安裝使用微軟的sus服務(wù)器進(jìn)行補(bǔ)丁程序的更新。18定期通過漏洞掃描產(chǎn)品查找存在漏洞的主機(jī)(可能存在部分漏洞無法通過掃描的方式進(jìn)行確定)，對發(fā)現(xiàn)存在漏洞的用戶，要求強(qiáng)制升級(jí)。當(dāng)安全服務(wù)商緊急公告發(fā)布時(shí)(通常是嚴(yán)重漏洞)，及時(shí)向內(nèi)部人員發(fā)布安全通知，告知處置方法。使用域環(huán)境的網(wǎng)絡(luò)，可以在域控制器上設(shè)置自動(dòng)登錄腳本，當(dāng)用戶登錄時(shí)，強(qiáng)制安裝安全補(bǔ)丁后重新啟動(dòng)，以幫助非技術(shù)用戶盡快安裝補(bǔ)丁。1910.1.4P2P共享軟件傳播方式P2P軟件的出現(xiàn)，使得處于互聯(lián)網(wǎng)不同位置的人員，進(jìn)行文件的共享成為可能。常見的P2P文件共享客戶端通常都會(huì)設(shè)置一個(gè)本地的文件夾放置共享的文件，由該P(yáng)2P文件共享軟件共享出去。使用傳播此種手段的病毒，往往在生成自身拷貝時(shí)使用一些吸引人或是容易被人搜索到的名稱，以獲得被他人下載的機(jī)會(huì)。例如WORM_MYDOOM.A生成如下的文件名稱就很具有欺騙性：nuke2004，office_crack，rootkitXP，strip-girl-2.0bdcom_patchers，activation_crack，icq2004-final，winamp5。

防范措施：建議企業(yè)使用技術(shù)手段，在防火墻上設(shè)置禁止P2P軟件的使用。2010.1.5即時(shí)通信軟件傳播方式目前被廣泛使用的即時(shí)通信軟件，無疑大大地提高了人與人之間交流的便捷性，而多數(shù)的即時(shí)通信軟件都帶有文件的傳輸功能，導(dǎo)致病毒可以利用這一功能，將自身快速地在即時(shí)通信軟件之間快速傳送。當(dāng)然伴隨著文件的發(fā)送，可能病毒也會(huì)同時(shí)發(fā)送一些欺騙性的文字，使得接收方確信是發(fā)送方發(fā)送的文件，從而接收并打什。以WORM_BROPIA.F為例，在接收方接收文件后，顯示的窗口如下頁圖10.3所示。21防范措施：建議企業(yè)使用技術(shù)手段，在防火墻的設(shè)置中，對企業(yè)內(nèi)部所使用的即時(shí)通信軟件的一些端口進(jìn)行阻擋，以禁止此類即時(shí)通信軟件的文件傳送功能。圖10.3即時(shí)通訊軟件傳播病毒2210.2病毒觸發(fā)機(jī)制

病毒觸發(fā)的可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。過于苛刻的觸發(fā)條件，可能使病毒有好的潛伏性，但不易傳播，只具低殺傷力。而過于寬松的觸發(fā)條件將導(dǎo)致病毒頻繁感染與破壞，容易暴露，導(dǎo)致用戶做反病毒處理，也不能有大的殺傷力。計(jì)算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作，這個(gè)條件就是計(jì)算機(jī)病毒的觸發(fā)條件。實(shí)際上病毒采用的觸發(fā)條件花樣繁多，從中可以看出病毒作者對系統(tǒng)的了解程度及其豐富的想像力和創(chuàng)造力。23

目前病毒采用的觸發(fā)條件主要有以下幾種：(1)日期觸發(fā)：許多病毒采用日期作為觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。

(2)時(shí)間觸發(fā)：時(shí)間觸發(fā)包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)、文件最后寫入時(shí)間觸發(fā)等。(3)鍵盤觸發(fā)：有些病毒監(jiān)視用戶的擊鍵動(dòng)作，當(dāng)病毒預(yù)定的鍵被擊時(shí)、病毒被激活，進(jìn)行某些特定操作。(4)感染觸發(fā)：大部分病毒感染需要觸發(fā)條件，而相當(dāng)數(shù)量的病毒又以與感染有關(guān)的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括：運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。24(5)啟動(dòng)觸發(fā)：病毒對機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱為啟動(dòng)觸發(fā)。(6)訪問磁盤次數(shù)觸發(fā)：病毒對磁盤I/O訪問的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件。(7)調(diào)用中斷功能觸發(fā)：病毒對中斷調(diào)用次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件。(8)CPU型號(hào)/主板型號(hào)觸發(fā)：病毒能識(shí)別運(yùn)行環(huán)境的CPU型號(hào)/主板型號(hào)，以預(yù)定CPU型號(hào)/主板型號(hào)作為觸發(fā)條件，這種病毒的觸發(fā)方式奇特罕見。被計(jì)算機(jī)病毒使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一個(gè)條件，而是使用由多個(gè)條件組合起來的觸發(fā)條件。25

在病毒完成了自身的傳播行為后，如果不能保證自身在下一次的系統(tǒng)啟動(dòng)時(shí)被再次執(zhí)行，那病毒的生命期就會(huì)大大縮短。因此病毒會(huì)利用系統(tǒng)中一些可以用以自動(dòng)執(zhí)行程序的設(shè)定以保證自身可以被自動(dòng)執(zhí)行。通常病毒通過以下幾種方式保證自身的啟動(dòng)：修改系統(tǒng)注冊表；修改系統(tǒng)配置文件；添加自身為系統(tǒng)服務(wù)；系統(tǒng)啟動(dòng)文件夾；其他方式。以下依據(jù)病毒使用各種不同的自啟動(dòng)方式進(jìn)行討論2610.2.1只通過修改系統(tǒng)注冊表自啟動(dòng)

在Windows的注冊表中，所有的數(shù)據(jù)都是通過一種樹狀結(jié)構(gòu)以根鍵和子鍵的方式組織起來，就像磁盤文件系統(tǒng)的目錄結(jié)構(gòu)一樣。每個(gè)鍵都包含了一組特定的信息，每個(gè)鍵的鍵名都是和它所包含的信息相關(guān)聯(lián)的。以下簡述了注冊表最頂層的五個(gè)根鍵所代表的含義：HKEY_CLASSES_ROOT管理文件系統(tǒng)。根據(jù)在Windows中安裝的應(yīng)用程序的擴(kuò)展名，該根鍵指明其文件類型的名稱，相應(yīng)打開該文件所要調(diào)用的程序等信息。HKEY_CURRENT_USER管理系統(tǒng)當(dāng)前的用戶信息。在這個(gè)根鍵中保存了本地計(jì)算機(jī)中存放的當(dāng)前登錄的用戶信息，包括用戶登錄用戶名和暫存的密碼。在用戶登錄Windows時(shí)，其信息從HKEY_USERS中相應(yīng)的項(xiàng)復(fù)制到HKEY_CURRENT_USER中。27HKEY_LOCAL_MACHINE管理當(dāng)前系統(tǒng)硬件配置。在這個(gè)根鍵中保存了本地計(jì)算機(jī)硬件配置數(shù)據(jù)，此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中，用來提供HKEY_LOCAL_MACHINE所需的信息，或者在遠(yuǎn)程計(jì)算機(jī)中可訪問的一組鍵中。這個(gè)根鍵里面的許多子鍵與System.ini文件中設(shè)置項(xiàng)類似。HKEY_USERS管理系統(tǒng)的用戶信息。在這個(gè)根鍵中保存了存放在本地計(jì)算機(jī)口令列表中的用戶標(biāo)識(shí)和密碼列表。同時(shí)每個(gè)用戶的預(yù)配置信息都存儲(chǔ)在HKEY_USERS根鍵中。HKEY_USERS是遠(yuǎn)程計(jì)算機(jī)中訪問的根鍵之一。28HKEY_CURRENT_CONFIG管理當(dāng)前用戶的系統(tǒng)配置。在這個(gè)根鍵中保存著定義當(dāng)前用戶桌面配置(如顯示器等等)的數(shù)據(jù)，該用戶使用過的文檔列表(MRU)；應(yīng)用程序配置和其他有關(guān)當(dāng)前用戶的信息，系統(tǒng)注冊表應(yīng)用通常，一個(gè)病毒在感染系統(tǒng)時(shí)，通過改變注冊表的自啟運(yùn)鍵值，即在以下的注冊表鍵值中添加自身的程序項(xiàng)目，以保證自身在系統(tǒng)啟動(dòng)時(shí)執(zhí)行起來：29以WORM_MYDOOM.A為例說明，該病毒會(huì)生成以下的注冊表項(xiàng)目以保證自己的執(zhí)行：而WORM_AGOBOT.A則會(huì)生成以下注冊表鍵值：30

另外，對于Windows系統(tǒng)來說，注冊表中還記錄了特定類型文件打開時(shí)的默認(rèn)關(guān)聯(lián)方式，某些病毒會(huì)通過修改這一關(guān)聯(lián)方式，使得用戶在打開某種類型的文件時(shí)，病毒程序反而被執(zhí)行起來。例如：31

這些“％1％*”需要被賦值，如果將其改為“server.exe％1％*”，server.exe將在執(zhí)行相關(guān)類型的文件時(shí)被執(zhí)行，理論上可以更改任意類型的文件類型，使之被訪問時(shí)同時(shí)執(zhí)行其他程序。使用這種方式的典型病毒有WORM_LOVGATE.F，該病毒修改了如下文件的關(guān)聯(lián)方式：

所以每當(dāng)用戶雙擊打開一個(gè)文本文件時(shí)，WORM_LOVGATE.F都會(huì)被執(zhí)行起來。3210.2.2通過修改系統(tǒng)配置文件自啟動(dòng)

在Windows中包含了兩個(gè)遺留自Windows3.1時(shí)代的系統(tǒng)配置文：windows.ini和system.ini。這兩個(gè)文件中也可以輸入一些自啟動(dòng)信息，簡單說明如下：這兩個(gè)變量用于自動(dòng)啟動(dòng)程序。Shell變量指出了要在系統(tǒng)啟動(dòng)時(shí)執(zhí)行的程序列表。一般情況下，上述的變量在默認(rèn)情況下是不存在于這兩個(gè)文件中的。3310.2.3通過系統(tǒng)啟動(dòng)文件夾自啟動(dòng)在Windows系統(tǒng)中，系統(tǒng)啟動(dòng)文件夾的位置可以通過如下注冊表鍵獲得：可以在該文件夾中放人欲執(zhí)行的程序，或直接修改其值指向放置要執(zhí)行的程序的路徑。3410.3可疑系統(tǒng)診斷3510.3.1判斷可疑系統(tǒng)的常用方法通常對一個(gè)懷疑有病毒的系統(tǒng)檢查從以下幾個(gè)方面著手：用戶賬號(hào)網(wǎng)絡(luò)共享安全設(shè)定漏洞掃描用戶賬號(hào)的檢查確認(rèn)所有用戶賬號(hào)都使用復(fù)雜的密碼，以避免管理員賬號(hào)被病毒使用字典攻擊的手法攻破，一般的口令設(shè)定建議如下：長度至少為8位；數(shù)字和字母混排；至少有一個(gè)特殊字符。網(wǎng)絡(luò)共享的檢查檢查整個(gè)局域網(wǎng)中的網(wǎng)絡(luò)共享都設(shè)置了相應(yīng)的權(quán)限，不存在完全開放寫權(quán)限的網(wǎng)絡(luò)共享。以有效的阻斷病毒通過網(wǎng)絡(luò)共享傳播的方式安全設(shè)定的檢查查看重要系統(tǒng)是否安裝了合適的防病毒軟件，而且是否正確配置并經(jīng)常更新。確保系統(tǒng)受到妥善的保護(hù)漏洞掃描對整個(gè)網(wǎng)絡(luò)環(huán)境實(shí)施漏洞掃描，查看網(wǎng)絡(luò)環(huán)境中可能存在的漏洞環(huán)節(jié)，以有效的阻斷病毒通過漏洞傳播的方式。3710.3.2收集可疑系統(tǒng)的常用方法趨勢科技提供了一個(gè)可以全面收集系統(tǒng)信息，以更快速的查找可疑的樣本工具：sic，該工具為一個(gè)命令行工具，以下以該工具為例進(jìn)行簡單的討論。該工具的全稱為SystemInformationCollectTool，使用方法相當(dāng)簡單，只要在命令行下輸入sic－a命令，就會(huì)生成一個(gè)名為siclog.txt的文件，該文件包含了系統(tǒng)中絕大多數(shù)系統(tǒng)中病毒可能利用的設(shè)定以便于診斷。程序執(zhí)行后顯示的界面如下頁圖10.4所示。

一般情況下，可以根據(jù)生成的日志siclog.tXt中的以下項(xiàng)目(見下頁圖10.5)，判定是否存在可疑文件。圖10.4系統(tǒng)信息收集工具執(zhí)行展示

圖10.5日志文件中的可疑項(xiàng)目從圖中顯示，該系統(tǒng)的注冊表自啟動(dòng)項(xiàng)目下存在相當(dāng)多的可疑項(xiàng)目，這些值都可以被判定為可疑文件。4010.4被感染系統(tǒng)的清理在確定了病毒文件名稱后，通?？梢允褂靡韵碌姆椒ㄟM(jìn)行感染系統(tǒng)的清理。終止惡意程序簡單地說，在這一步中，就是終止正在內(nèi)存中運(yùn)行的惡意程序進(jìn)程，具體操作步驟如下：(1)打開Windows任務(wù)管理器(