常見的计算机病毒.docxVIP

【安全】常见病毒类型说明及行为分析? 0点? 1、目前杀毒厂商对恶意程序的分类 nbsp; 木马病毒： TROJ_XXXX.XX nbsp; 后门程序： BKDR_XXXX.XX nbsp; 蠕虫病毒： WORM_XXXX.XX nbsp; 间谍软件： TSPY_XXXX.XX nbsp; 广告软件： ADW_XXXX.XX nbsp; 文件型病毒： PE_XXXX.XX nbsp; 引导区病毒：目前世界上仅存的一种引导区病毒 POLYBOOT-B 2、病毒感染的一般方式 病毒感染系统时，感染的过程大致可以分为： 通过某种途径传播，进入目标系统 自我复制,并通过修改系统设置实现随系统自启动 激活病毒负载的预定功能如： 打开后门等待连接 发起DDOS攻击 进行键盘记录 发送带计算机使用记录电子邮件 2.1 常见病毒传播途径 除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。对于不同类型的病毒，它们传播、感染系统的方法也有所不同。 nbsp; 计算机病毒传播方式主要有： ü 电子邮件 ü 网络共享 ü P2P 共享 ü 系统漏洞 ü 浏览网页 ü 移动磁盘传播 ü 打开带毒影音文件 2.1.1电子邮件传播方式 nbsp; HTML正文可能被嵌入恶意脚本， nbsp; 邮件附件携带病毒压缩文件 nbsp; 利用社会工程学进行伪装，增大病毒传播机会 nbsp; 快捷传播特性 例：WORM_MYTOB，WORM_STRATION等病毒 2.1.2 网络共享传播方式 nbsp; 病毒会搜索本地网络中存在的共享，包括默认共享 如ADMIN$ ,IPC$,E$ ,D$,C$ nbsp; 通过空口令或弱口令猜测，获得完全访问权限 病毒自带口令猜测列表 nbsp; 将自身复制到网络共享文件夹中 通常以游戏,CDKEY等相关名字命名 例：WORM_SDBOT 等病毒 2.1.3 P2P共享软件传播方式 nbsp; 将自身复制到P2P共享文件夹 通常以游戏,CDKEY等相关名字命名 nbsp; 通过P2P软件共享给网络用户 nbsp; 利用社会工程学进行伪装，诱使用户下载 例：WORM_PEERCOPY.A，灰鸽子等病毒 2.1.4 系统漏洞传播方式 nbsp; 由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞. nbsp; 病毒往往利用系统漏洞进入系统, 达到传播的目的。 nbsp; 常被利用的漏洞 – RPC-DCOM 缓冲区溢出 (MS03-026) – Web DAV (MS03-007) – LSASS (MS04-011) – Internet Explorer 中的漏洞（MS08-078） – 服务器服务中允许远程执行代码的漏洞（MS08-067） (Local Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒 2.1.5 网页感染传播方式 主要是通过恶意脚本 网页感染传播方式是当前网络主要的传播方式，这种传播方式有以下几大优点： 1、 代码灵活多变 利用直接的JAVA恶意脚本。 利用iframe框架代码 利用转译后的base64、ESC、ASCII等方式的代码 2、 木马版本更新速度快 由于采用网页方式，木马控制者只需要更新后台的木马主程序版本，即可更新木马版本，造成反病毒软件无法察觉。 常见的有利用的漏洞包括：MS08-078、MS06-014、联众世界GLIEDown2.dllActive控件任意代码执行漏洞、超星阅览器Pdg2 ActiveX控件栈溢出漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞等漏洞的网页木马 2.1.6 其他常见病毒感染途径： ü 与影音文件捆绑 ü 与正常软件捆绑 ü 用户直接运行病毒程序 ü 由其他恶意程序释放 目前大多数的木马、间谍软件等病毒都是通过这几种方式进入系统。它们通常都不具备传播性。 2.1.7 广告软件/灰色软件 由于广告软件/灰色软件的定义，它们有时候是由用户主动安装，更多的是与其他正常软件进行绑定。 2.1 病毒自启动方式 一般来说，计算机病毒除引导区病毒外，绝大多数病毒感染系统后，都具有自启动特性。 病毒在系统中的行为是基于病毒在系统中运行的基础上的，这就决定了病毒必然要通过对系统的修改，实现开机后自动加载的功能。 计算机病毒对系统的修改方式有： q 修改注册表 q 将自