《目前恶意软件技术综述2).docVIP

目前恶意软件技术综述 计算机科学与教育软件 网络工程092 尹韵 0923010028 摘要： 随着网络通讯技术的飞速发展,计算机已逐渐渗透到人们社会生活的各个领域,与此同时出现的问题是恶意软件的产生和迅速蔓延使计算机系统的安全受到极大的威胁。随着恶意软件采用的新技术不断出现,计算机的防护手段也不断更新和发展。从恶意软件的定义入手,综述恶意软件的特点及其防护措施。 关键词： 安全，恶意软件，攻击，防护。 正文： 恶意软件是一个综合的名词，用来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和木马。这些恶意软件通常来源于一些恶意网站，或者从不安全的站点下载游戏或其它程序时，往往会连合恶意程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时，用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间，用户网上的所有敏感资料都有可能被盗走，比如银行帐户信息，信用卡密码等等。 其中木马也叫特洛伊木马，它们看上去无害，却包含了破坏运行程序系统的隐藏代码。木马通过在其运行时传递恶意负载或任务达到目的。蠕虫则是使用自行传播的恶意代码，它通过消耗网络或者本地系统资源导致拒绝服务，除了复制，蠕虫也可能传递负载。病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。 通过Anubis观测到的样本的文件、注册表、网络行为以及僵尸网络特征，来提取不同来源的众多恶意程序的一般性行为。包括：安装windows驱动软件、安装windows服务、修改hosts文件、新建文件、删除文件、修改文件、安装ie bho、安装ie工具条、显示图形窗口、网络通讯、写入标准错误、写入标准输出、修改注册表值、新建注册表键、新建进程等等。 详细分析新建文件的时候，我们发现这些文件主要分为两种类型。一种是可执行文件，典型的原因是恶意程序需要复制或移动它的二进制文件到另一个位置（比如Windows系统文件夹），这个二进制文件常常是一个变异后的新文件。经统计，37.2%的的样本会创建至少一个可执行文件，然而有趣的是，样本中只有23.3%（创建可执行文件的样本的62%）选择Windows目录或其子目录作为目标文件夹。一个很大的比例——15.1%会在用户文件夹（Document and Settings目录下）创建可执行文件。这很有趣，并且我们可以推断，今后这种在普通用户权限下（不能修改系统文件夹）能够成功执行的恶意程序将日益增多。 ?? ? ?第二种类型的文件包括非可执行文件，样本中有63.8%创建了至少一个这种文件。这些文件有临时文件、必要的库文件（DLLs）和批处理脚本，它们中的多数在Windows文件夹（所有样本中的53%）或用户文件夹（可以在不同位置产生多个文件的样本中的61.3%）。值得注意的是，会有相当数量的临时Internet文件被IE生成（事实上，21.3%的样本的执行会产生至少一个这样的文件）。由于IE（更精确地说，ierturil.dll里的导出函数）在下载数据时会产生这些文件，而恶意程序这经常用IE下载额外组件。而大多数DLLs会被放入Windows系统文件夹。除了文件系统行为，还有注册表行为。最常见的就是关闭windows防火墙。网络行为就比较多了，包括：监听端口、TCP通讯、UDP通讯、DNS请求、ICMP通讯、HTTP通讯、IRC通讯、SMTP通讯、SSL、地址扫描、端口扫描。每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。 因为恶意软件由多种威胁组成，所以需要采取多处方法和技术来保卫系统。如采用防火墙来过滤潜在的破坏性代码，采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络，加强对破坏性代码的防御能力。 一般来说，可以采取如下措施。第一点，让用户正确使用电子邮件和Web。具体来说就是不知道邮件的来源和附件的属性，就不要打开邮件中的附件，不要下载和安装未授权的程序，提防用户点击受感染连接的伎俩，让用户了解新的攻击手段，坚决执行安全策略和建议。 确保所有系统和服务器上安装最新的浏览器、操作系统、应用程序补丁，并确保垃圾邮件和浏览器的安全设置达到适当水平。确保安装所有的安全软件，并及时更新并且使用最新的威胁数据库。恶意软件威胁经过几年的发展已经成为一种强大的势力，更确切地说它已经成为一种受经济利益驱使的商业活动；而反恶意软件厂商由于受到各种因素的制约，应对和反击措施相对被动。并且前者在暗处，后者在明处，形式对反恶意软件的