恶意代码分析

1. 恶意代码分析
   1. 恶意程序概述
      1. 什么是恶意程序？
      2. 恶意程序分类
      3. 恶意程序特征
      4. 病毒起源与出现
         1. 病毒萌芽滋生阶段：1986~1989 年
         2. 病毒综合发展阶段：1989~1992 年
         3. 病毒成熟发展阶段：1992 年~1995 年
      5. 恶意程序发展趋势
   2. 计算机病毒
      1. 什么是计算机病毒？
      2. 计算机病毒原理图
      3. 计算机病毒危害
      4. 防范计算机病毒
   3. 蠕虫
      1. 什么是蠕虫？
      2. 蠕虫之熊猫烧香
      3. 蠕虫之超级病毒（Stuxnet）
      4. 蠕虫工作原理
      5. 防范蠕虫措施
   4. 流氓软件
      1. 什么是流氓软件？
      2. 常见软件流氓行为
      3. 防范流氓软件使用反流氓软件工具
   5. 特洛伊木马程序
      1. 什么是特洛伊木马程序？
      2. 木马程序结构与攻击流程
      3. 木马程序举例
         1. 网银刺客
         2. 浮云病毒
      4. 支付大盗
      5. 木马类型
      6. 木马危害
      7. 防范木马程序
   6. 网页木马
      1. 什么是网页木马？
      2. 412 挂马风暴
      3. 网页木马原理
      4. 防范网页木马
   7. 僵尸网络
      1. 什么是僵尸网络？
      2. 僵尸网络的危害
      3. 僵尸网络发起攻击常见有：
      4. 僵尸网络工作原理
      5. 防范僵尸网络
   8. 后门
      1. 什么是后门？
      2. 常见的后门工具
      3. 恶意软件 Wineggdroup shell 功能
      4. 恶意隐遁工具 rootkit
         1. 什么是恶意隐遁工具 rootkit？
         2. Rootkit 危害
         3. Rootkit 功能部件
      5. 后门防范措施
   9. 网络钓鱼
      1. 什么是网络钓鱼？
      2. 网络钓鱼常用的行骗手段
      3. 网络钓鱼传播途径
      4. 防范网络钓鱼
   10. 安卓恶意程序
       1. 什么是安卓恶意程序？
       2. 影响较大的安卓恶意程序举例
          1. Android.Spy.377.origin
          2. 手机挖矿木马 CoinKrypt
          3. WireX 的僵尸网络 DDOS 攻击：
          4. MilkDoor
       3. 安卓恶意程序传播途径
       4. 安卓恶意程序类型
       5. 知名各类安卓应用程序
       6. 防范安卓恶意软件的具体措施

恶意程序概述

什么是恶意程序？

• 运行在目标计算机上，使系统按照攻击者意愿而执行的一组指令。--- Malware：Fighting Malicious Code
• 恶意程序是在未授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。---维基百科

恶意程序分类

• 后门程序
• 僵尸网络
• 网络钓鱼
• 恶意脚本
• 勒索软件

恶意程序特征

• 强制安装
• 难以卸载
• 浏览器劫持：擅自修改用户浏览器设置，迫使用户访问特定网站或导致用户无法正常上网
• 广告弹出
• 恶意搜集用户信息
• 恶意卸载：擅自或误导、皮片用户卸载其他软件
• 恶意捆绑：在软件中捆绑已被认定的恶意软件
• 其它侵犯用户知情权、选择权的恶意行为

病毒起源与出现

• 1983 年，福莱特·科恩博士从理论上对计算机病毒做了系统研究，同年 11 月研制出第一个计算机病毒

病毒萌芽滋生阶段：1986~1989 年

特点：

• 攻击目标比较单一
• 传染目标后的特征比较明显
• 病毒程序不具有自我保护措施，容易被分析和解剖，容易编制相应的消毒软件

病毒综合发展阶段：1989~1992 年

特点：

• 攻击目标趋于混合型
• 采取更为隐蔽的方法驻留内存和传染目标
• 病毒传染目标后没有明显特征
• 病毒采取组我保护措施
• 出现许多传染性更隐蔽，破坏性更大病毒

病毒成熟发展阶段：1992 年~1995 年

特点：

• 出现具有多态性或“自我变形”能力的病毒
• 出现病毒生成器 MtE

• 1995 年之后，各种恶意程序利用互联网作为其主要传播途径，传播速度快、隐蔽性强、破坏性大
• 1999-2004 年，蠕虫肆虐时期
• 2005-至今 ，木马开始流行并逐渐成为主流
• 2011 年-至今，出现大量基于移动互联网平台恶意代码
• 恶意程序逐渐注重经济利益和特殊应用。朝产业化方向发展

1986-1998 年，先后出现以下耳熟能详的病毒：

• 巴基斯坦病毒
• 大麻
• IBM 圣诞树
• 黑色星期五
• “莫里斯”蠕虫
• “米开朗琪罗”病毒
• 黑暗复仇者
• 宏病毒
• 破坏计算机硬件的 CIH 病毒

1999-2004 年蠕虫肆虐，闻名全球的有：

• 美丽莎病毒
• 红色代码病毒
• 2003 蠕虫王病毒
• 网络天空
• 高波
• 爱情后门
• 震荡波
• SCO 炸弹
• 冲击波
• 恶鹰
• 小邮差
• 求职信
• 大无极

2005 年起，木马开始流行：

• 盗取网络游戏的用户信息的外挂陷阱
• 窃取 U 盘里所有资料的资料闪盘窃密者
• 我的照片：窃取网络游戏网络银行的账号和密码
• 证券大盗：盗取证券交易系统的交易账户和密码。

2011 年涌现出为数众多的安卓恶意程序，从 2012 年出现井喷现象

恶意程序发展趋势

• 网路化发展、专业化发展、简单化发展
• 多样化发展、自动化发展、犯罪化发展

随着计算机系统广泛应用、智能手机的普及使用，恶意软件已经直接威胁到人们日常工作与生活，需要提高安全防范意识，以免不必要的损失！

计算机病毒

什么是计算机病毒？

《中华人民共和国计算机信息系统安全保护条例》将病毒定义为：

编辑或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序。

举例

• 女鬼病毒
  

伪装成益智小游戏。运行时会在屏幕上显现一个晃来晃去的女鬼，并发出恐怖的声音。

• CIH 病毒

计算机病毒原理图

计算机病毒危害

• 蓄意破坏：实现病毒制作者意图
• 偶然性破坏：病毒自身错误或与兼容性问题影响系统运行
• 附带性破坏：抢占系统资源，影响计算机性能
• 造成心理的以及社会的危害：导致声誉降低和商业风险，以及对病毒不恰当的处理而造成的破坏

防范计算机病毒

• 安装知名的杀毒软件，经常杀毒
• 不上不良网站
• 打开 U 盘时候要先杀毒
• 不要轻易下载小网站的软件
• 不要随便打开来路不明的电子邮件与附件程序

蠕虫

什么是蠕虫？

蠕虫是利用复制的方式将自身从一台计算机传播到另一台计算机的恶意代码。--- 维基百科

蠕虫之熊猫烧香

熊猫烧香

大规爆发年限：2006 年

• 能够终止反病毒软件和防火墙软件进程
• 删除扩展名为 gho 的文件，使用户无法使用 ghost 软件恢复操作系统
• 感染系统的*.exe、.com、.pif、.src、.html、*.asp 文件，导致用户无法打开这些文件
• 让 IE 自动连接到指定网址中下载病毒。
• 通过 U 盘和移动硬盘进行传播，并且修改注册表启动项，将被感染的文件图标变成“熊猫烧香”图案
• 通过共享文件夹、系统弱口令等多种方式进行传播
• 损失估计：上亿美元

蠕虫之超级病毒（Stuxnet）

蠕虫之超级病毒（Stuxnet）

• 爆发年限：2010 年
• 让人们深切体会到：恶意程序关乎国家安全
• 第一款以功业基础设施为攻击对象的网络蠕虫，利用西门子公司供职系统存在的漏洞，感染数据采集与监控系统，并向可编程逻辑控制器写入代码，以达到破坏目的
• 该病毒主要通过 U 盘和局域网进行传播，曾造成伊朗核电站推迟发电。2010-09-25，进入中国

蠕虫工作原理

通过网络，利用目标主机系统、应用程序漏洞或计算机用户的操作失误实现传播。

防范蠕虫措施

• 选购合适的杀毒软件，及时升级病毒库
• 及时更新系统
• 提高防毒意识，不轻易点击或浏览陌生网站
• 不要随意查看陌生邮件，尤其带有附件的邮件

流氓软件

什么是流氓软件？

未明确提示或未经许可，在用户计算机或其他终端上强行安装并运行，侵犯用户合法权益 的恶意软件。

常见软件流氓行为

• 强制安装
• 恶意安装
• 难以卸载
• 广告弹出
• 恶意卸载
• 恶意捆绑
• 浏览器劫持
• 恶意收集用户信息

观察浏览器、播放器、能自启动软件可知软件流氓普遍存在。

防范流氓软件使用反流氓软件工具

• 恶意软件清理助手
• 瑞星上网安全助手
• 金山毒霸系统清理专家
• 奇虎 360 安全卫士
• 完美卸载
• 超级兔子网络卫士

特洛伊木马程序

什么是特洛伊木马程序？

通过特定的程序来访问与控制另一台计算机的恶意远程控制程序。

木马程序结构与攻击流程

木马程序攻击流程：

• 利用绑定程序的工具将木马服务器程序绑定到合法软件上，诱使用户运行合法的软件以完成其安装过程。
• 木马客户端程序利用信息反馈或 IP 扫描，获知网络中了木马的主机，建立木马通道。
• 利用客户端程序向服务器程序发送命令，达到操作用户计算机的目的

木马程序举例

网银刺客

发现日期：2012 年
利用某截图软件，以正当合法软件作为自身保护伞，避开杀毒软件监控，运行后会暗中劫持网银支付资金，影响十余家网上银行。

浮云病毒

发现日期：2012 年
诱骗网民支付一笔小额假订单，在后台执行另外一个高额订单，用户确认后，高额转账资金就会进入攻击者账户。该木马可以对 20 多家网上银行的网上交易系统实施盗窃。

支付大盗

发现日期：2016 年 12 月
利用百度排名机制，伪装成“阿里旺旺官网”，诱骗网友下载运行木马，再暗中劫持受害者网上支付资金，把付款对象改为攻击者账户。

木马类型

• 网游 木马：记录用户键盘输入、用户的密码和账号
• 网银 木马：盗取用户的卡号、密码，安全证书
• 下载类木马：从网络上下载其它恶意侧后工序
• 代理类木马：开启 HTTP、SOCKS 等代理服务功能，把受感染计算机作为跳板，以被感染身份用户的身份进行活动
• FTP 木马：让被控制计算机称为 FTP 服务器
• 网页点击类：模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量

木马危害

窃取信息、远程监控、具体包含 4 个方面：

• 盗取网游账号，威胁虚拟财产安全
• 盗取网银信息，威胁真实财产安全
• 利用即时 = 通讯软件盗取身份，传播木马等不良程序
• 给电脑打开后门，使电脑被黑客控制

防范木马程序

• 选购合适杀毒软件、经常升级病毒库
• 不要轻易点击或浏览陌生网站
• 不随意查看陌生邮件，以及带有附件的邮件
• 不使用来历不明的软件

网页木马

什么是网页木马？

伪装成普通网页文件或是将恶意代码插入到正常网页文件中，当被访问时，网页木马利用系统或浏览器的漏洞，自动将配置好的木马服务端程序下载到访问者的系统并自动执行。

412 挂马风暴

2018 年 4 月 12 日，腾讯御见威胁情报中心监测发现。

该网页木马主要有四种恶行：

• 推装软件：电脑会出现一些未曾安装的软件
• 植入挖矿软件：用户网络带宽会被严重占用，被利用来收集门罗币牟利，出现运行卡慢现象
• 截取在线平台交易：当前用户使用购物网站等软件进行交易时，木马会劫持交易，将用户资金转入特定账户
• 运控木马：；利用用户电脑下载其他远程控制木马，实现对电脑长期控制

网页木马原理

网页木马

实质：一个包含木马种植器的 HTML 网页。

该网页包含：攻击者精心制作的脚本。

用户一旦访问了该网页，网页中的脚本会利用浏览器或浏览器外挂程序的漏洞，在后台自动下载攻击者预先放置在网络上的木马程序并安装运行该木马，或下载病毒、密码盗取等恶意程序，整个过程都在后台运行，无需用户操作。

防范网页木马

• 及时安装浏览器补丁、及时升级浏览器
• 安装安全软件，拦截挂马攻击
• 不访问不熟悉的网站，警惕点击诱人的广告
• 利用 virusTotal 在线查杀引擎查杀可疑网址

僵尸网络

什么是僵尸网络？

僵尸网络采用一种或多种传播手段，使大量主机感染僵尸程序，在控制者和被感染者主机之间形成一对多控制的网络称为僵尸网络。

被感染主机中僵尸程序通过控制信道接收与执行攻击者的指令。

僵尸网络的危害

• 攻击者可以利用僵尸网络发起各种攻击，导致整个基础信息网络或者重要应用系统瘫痪。
• 能窃取大量机密或个人隐私，或从事网络欺诈

僵尸网络发起攻击常见有：

• 拒绝服务攻击
• 发送垃圾邮件
• 窃取秘密
• 滥用资源
• 僵尸网络挖矿

僵尸网络工作原理

• 传播：
  通过攻击系统漏洞、发送带毒邮件、利用即时通信软件、恶意网站脚本、特洛伊木马等传播僵尸程序。
• 加入：

僵尸程序使感染主机加入到僵尸网络，登录到指定的服务器，并在给定信道中等待控制者指令

• 控制：

攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为。

防范僵尸网络

• 采用 Web 过滤服务
• 禁用脚本
• 及时升级浏览器
• 部署防御系统
• 使用应急补救工具

后门

什么是后门？

绕过系统安全机制而获取系统访问权的恶意程序。即后门允许攻击者绕过系统常规安全控制机制，按照攻击者意愿访问系统的通道。

常见的后门工具

• IRC 后门，具有恶意代码的功能
• Netcat，瑞士军刀
• VNC，具有远程控制功能
• Login 后门
• Telnetd 后门
• TCP Shell 后门
• ICMP Shell 后门
• UDP Shell 后门
• Rootkit 后门

恶意软件 Wineggdroup shell 功能

• 进程管理，可查看，杀进程
• 注册表管理（查看，删除，增加等功能）
• 服务管理（停止，启动，枚举，配置，删除服务等功能）
• 端口到程序关联功能
• 系统重启，关电源，注销等功能
• 嗅探密码功能
• 安装终端，修改终端端口功能；端口重定向功能
• HTTP 服务功能
• Sock5 代理功能；HTTP 代理功能
• 克隆账号，检测克隆账户功能
• 可以得到所有登录用户
• 其他：http 下载，删除日志，恢复常用关联，枚举系统账号等

恶意隐遁工具 rootkit

什么是恶意隐遁工具 rootkit？

在目标计算机上隐藏自身、指定的文件、进程和网络链接等信息的一种恶意软件。

Rootkit 能持久并不被察觉地驻留在目标计算机中，通过隐秘渠道收集数据或操纵系统

Rootkit 危害

• Rootkit 和恶意程序结合使用
• 帮助恶意程序隐身，逃避安全软件查杀，危害大

Rootkit 功能部件

• 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。
• 特洛伊木马程序，为攻击者提供后门与通信
• 隐藏攻击者的目录和进程的程序
• 日志清理工具，隐藏自己行踪

后门防范措施

• 不要再网络上使用明文传输口令
• 使用完整性检测工具及时发现攻击者的入侵
• 使用病毒扫描程序
• 定期更新软件
• 在主机和网络上安装防火墙
• 采用强密码策略

网络钓鱼

什么是网络钓鱼？

• 利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动
• 诈骗者将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌单位，骗取用户私人信息，致使受骗者泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。

下图是网络钓鱼的短信

网络钓鱼常用的行骗手段

• 群发短信“善意”提醒，诱使网民上网操作
• 境外注册域名，逃避网络监管
• 仿真网站制作，欺骗王敏透露账号密码
• 连贯转账操作，迅速转移网银款项

网络钓鱼传播途径

• 通过 QQ、微信等客户端聊天工具发送传播钓鱼网站链接
• 在搜索引擎、中小网站投放广告，吸引用户点击钓鱼网站链接
• 通过 Email、论坛、博客、SNS 网站批量发布钓鱼网站链接
• 通过微博的短链接散布钓鱼网站链接
• 通过仿冒邮件，欺骗用户进入钓鱼网站
• 感染病毒后弹出模仿 QQ 等聊天工具窗口，用户点击后进去钓鱼网站
• 恶意导航网站、恶意下载网站弹出仿真悬浮窗口，点击后进入钓鱼网站
• 伪装成用户输入网址时易出错的网址，一旦用户写错，就误入钓鱼网站。

防范网络钓鱼

• 安装杀毒软件并及时升级病毒库和操作系统补丁。
• 将敏感信息输入隐私保护，打开个人防火墙
• 不登录不熟悉网站，细心校对键入网站地址，以防止输入错误而误入钓鱼网站
• 不要点击不明电子邮件中的任何链接
• 登录银行网站钱，要特别留意浏览器地址栏，如果发现网页地址不能修改，最小化浏览器窗口后仍可看到浮在桌面上的网页地址等现象，请立即关闭窗口，以免账号密码被盗。

安卓恶意程序

什么是安卓恶意程序？

以安卓智能手机作为攻击目标的恶意程序。

影响较大的安卓恶意程序举例

Android.Spy.377.origin

手机挖矿木马 CoinKrypt

WireX 的僵尸网络 DDOS 攻击：

MilkDoor

• 木马传播量已达到 3 万，分布世界 160 多个国家
• 能入侵企业内网，窃取企业数据资产

安卓恶意程序传播途径

• 重打包：攻击者选择流行的应用进行反编译 植入恶意程序，再次进行构建打包 发布到第三方应用市场
• 更新包：手机上已有程序在运行时动态获取或下载恶意程序
• 偷渡式下载：引诱用户访问恶意网站，在未经用户允许的情况下下载安装伪装的恶意软件。

安卓恶意程序类型

恶意功能有：

• 特权提升
• 远程控制
• 话费吸收
• 隐私窃取

分类：

• 木马软件
• 蠕虫软件
• 后门软件
• 僵尸软件
• 网络钓鱼
• 间谍软件
• 恐吓软件
• 勒索软件
• 广告软件
• 跟踪软件

知名各类安卓应用程序

木马软件

• Zsone
• Spitmo
• Zitmo
  后门软件：
• Obad
• Basebridge
• Kmin

僵尸网络：

• Geinimi
• NotCompatible

间谍软件：

• GPSSpy
• Nickyspy
  恐吓软件：
• Koler
  勒索软件：
• Fakedefender.B

广告软件：

• Uapush.APP

防范安卓恶意软件的具体措施

• 及时更新手机推送的系统更新，尤其是涉及安全补丁内容
• 及时更新手机软件
• 通过可信渠道安装安全软件/杀毒软件
• 加强自身的防范意识
• 不要使用公用充电桩
• 不要访问不当的网站
• 不要随意接入陌生 WIFI