为您找到与震网病毒分析相关的共200个结果:
欢迎大家来到读文网,本文教你Linux六大误区,欢迎大家阅读。
原理:利用md5值的不同进行文件的对比。
操作背景:
XP安装光盘;
病毒样本;
U盘;
Ubuntu 7.10 LiveCD
所需的几个对比md5和转化二进制文件格式的程序
操作过程:
1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)
2. 在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg
3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式
4. 挂载C盘:
mkdir /mnt/hdd1 (生产系统C盘挂载点)
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)
5. 挂载U盘:
mkdir /mnt/usb (生成U盘挂载点)
mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)
6. 将导出的注册表信息放入U盘:
假设U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序
cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)
cd /mnt/usb/test (进入U盘test 目录)
./parseWinReg 1.reg origreg (将导出注册表进行格式转换,生成origreg)
7. 计算C盘所有文件md5值:
rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)
/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)
8. 重新进入Windows,同时,激发病毒文件
注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!
9. 重复3,4,5,6,7步骤
mkdir /mnt/hdd1
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1
mkdir /mnt/usb
mount -t vfat /dev/sda1 /mnt/usb
cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)
cd /mnt/usb/test
./parseWinReg 2.reg newreg
rm /mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile
10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile
11. 比较文件不同之处:diff -Nur origfile newfile > filediff
12. 比较注册表不同之处:diff -Nur origreg newreg > regdiff
13. 分析filediff 和 regdiff,得到结论
分析小技巧:
一般情况下前面出现+的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个+和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。咱们把没用的删除,只留下有单个+或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。
浏览量:2
下载量:0
时间:
一、木马简介
网购木马“瘦男孩”(Lanker-Boy)通过篡改支付订单数据,以达到劫持受害网友交易资金的目的。该木马家族最早出现在2014年9月,360QVM组追踪分析Lanker-Boy传播路径估算,国内已有约百万台电脑受到该木马家族的威胁,一些游戏外挂网站和兼职刷单聊天群是Lanker-Boy木马传播的主要阵地。
网购木马最早在2010年前后出现,与早期的网购木马相比,Lanker-Boy具有更高明的免杀手段,其解密运行恶意代码的机制使传统特征码杀毒引擎不能很好应对,而且该木马作者以Lanker-Boy的账号在各大杀毒软件论坛“主动反馈误报”,通过社工欺骗手段蒙混过关,木马也因此具有更强的传播力和更多的存活空间。
图:“Lanker-Boy”的运作机制
二、“Lanker-Boy”名称由来
1.为了防止木马重复感染,木马作者在样本中编写了互斥标记,名为“Lanker”。
2.木马加密的DLL文件名为Lanker.dll。
3.从2014年11月至2015年1月,木马作者使用lanker-boy.com域名传播木马。
4.从2015年1月至2015年3月,木马作者使用http://43.252.231.52/lanker.txt云控木马支付账户配置。
5.从2015年1月至今,木马作者使用Lanker-boy账号在多家国内杀软论坛反馈“误报”,并成功骗取一些杀毒厂商信任,使其去除了原本可以查杀的病毒特征。
三、木马特点
1)主动上报
传统情况下,木马作者会躲避和杀毒软件的接触,从而避免木马被查杀。而“Lanker-Boy”的木马作者在编写完木马后,第一时间将木马上传给杀毒厂商,伪装“游戏大厅”的程序被误报,要求杀毒厂商删除病毒特征。而国内某些厂商收到木马后,不但没能及时发现,反而去除了原本可以查杀的特征。
根据VirusTotal扫描显示,截止2015年4月7日,全球安全厂商中仅有360可以查杀“Lanker-Boy”的重要组件Lanker.dll。
2)隐蔽性强
一旦木马作者成功骗过杀毒软件,使其删除特征,后面的恶意行为操作就无法被查杀。
打开木马压缩包可看到3个文件:
设置显示隐藏文件与后缀名后:
木马主程序为“123 .exe”,其图标类似普通记事本图标,目的是诱导用户点击。点击后会加载同目录下的非PE文件,并解密执行。由于主程序并不涵盖实际恶意代码,其它文件又为无实际意义的非PE文件,致使传统的特征引擎并不能很好得查杀。
3)传播性强
由于有了前两个前提条件,再加上普通用户又很容易被其图标所迷惑,该木马就可以在短时间内大量的传播,据360QVM组统计,国内目前已有约百万用户受到该木马的威胁。
木马详细分析
加载过程:
判断文件名是否包含空格,如不包含则执行正常程序,包含则执行恶意代码。目的是躲过一些杀毒厂商不严格的审核机制。
文件名中不包含空格时:运行该病毒时,会弹出一个伪装成游戏大厅自动更新的程序。
文件名中包含空格时:申请内存,读入非PE文件update.dll。
解密update.dll:
解密前后对比:
解密后的update.dll通过Loadlibiary方式加载:
创建互斥体“Lanker”:
打开正常的文本文件,诱导用户:
拷贝自身到系统中:
设置开机自启:
同样的方法,申请内存,读入lanker.dll:
解密lanker.dll:
解密前后对比:
解密完成后,木马挂起创建自身进程,注入代码到自己的新进程空间中执行:
从内存中提取该文件可以看到一个易语言程序,该程序实现了劫持支付的功能,当用户处于支付宝交易环境时,木马通过云控配置信息如http://43.252.231.52/6.txt获取收款账号:
成功获取到收款账号后,正常下单后会出现假的提示,其实是在读取支付参数,准备劫持:
支付被劫持前可以看到收款人信息以及表单内容一切正常:
支付被劫持后,在浏览器调试状态下可以发现,提交的收款人数据参数已经变了,收款人被替换成“qiaojueyanyfw@163.com”或“zxzxcc369@163.com”:
由于木马都是后台操作,在用户看来,网上银行一切正常:
传统的支付劫持有2个特点:
A)更改订单金额,伪装特价商品骗取用户
B)更改收款人,支付金额直接打到木马作者手中
而“Lanker-Boy”木马通过后台Post提交参数的方式,用户从浏览器中完全无法看出任何异常,只有在支付之后的交易记录中,才能发现收款人已被替换。而这个时候为时已晚。
木马骗取杀毒厂商信任,使其删除特征:
主动向百度杀毒要求解除“误报”,骗取信任:
主动向腾讯电脑管家要求解除“误报”,骗取信任:
主动向金山毒霸要求解除“误报”,骗取信任:
在2015年1月20日、2月3日、2月9日和2月23日,金山连续4次删除特征,为“Lanker-Boy”木马解除“误报”:
四、总结
“Lanker-Boy”木马的出现,打破了以往木马通过免杀等方式躲避杀毒软件的常规方法,反其道而行之,采取主动上报、欺骗杀毒厂商删除“误报”特征的方法,从而使得一些杀毒厂商降低了警惕,给木马作者肆意传播木马提供了机会,造成用户重大损失。在木马技术上,劫持支付过程也更加隐蔽,受感染电脑的用户会在毫无察觉的情况下,将全部交易金额转入木马作者手中。
针对Lanker-Boy的传播方式,360QVM引擎团队提醒各安全厂商注意保持高度警惕,对待误报反馈要严格审查并完整分析文件行为,以免被木马蒙混过关。
浏览量:2
下载量:0
时间:
现在的计算病毒种类繁多,很多病毒可能隐藏在进程里面,那么你知道系统进程分析病毒的知识吗?下面是读文网小编整理的一些关于系统进程分析病毒的知识的相关资料,供你参考。
svchost.exe
我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall) 服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exei、explorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1. 病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为 “C:Windowssystem32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时 spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
这里对进程的一些常见的病毒喜欢的也就介绍就到这里,我们平时在检查进程的时候如果发现有可疑,就要做出相应的判断:首先要仔细检查进程的文件名;然后再检查它的路径。通过这两点,一般的病毒进程肯定会露出马脚。
看过文章“系统进程分析病毒的知识"
浏览量:2
下载量:0
时间:
爱虫的种类繁多,数不胜数,下面读文网小编就带大家前去发掘爱虫病毒的种类及总分析!希望能够帮助到你!谢谢!
VBS/LoveLetter.A 蠕虫的检测与清除
北京冠群金辰公司的KILL11.16版本已经可以检测 VBS/LoveLetter.A 蠕虫的所有组成部分。要清除被感染的系统,必须删除所有发现的带毒文件,而且必须删除以上提及的所有注册表中的键值。
VBS/LoveLetter.A 蠕虫家族
自从VBS/LoveLetter.A 蠕虫出现后,已经有几个变种出现,下面是所有已知变种的特征描述。KILL11.20版本已经包括了所有变种的检测代码,并加上LoveLetter 蠕虫家族的检测代码,以便可能检测未来出现的变种。
VBS/LoveLetter.A 蠕虫
邮件主题:ILOVEYOU
邮件附件名: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的 文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
VBS/LoveLetter.B (又名 VeryFunny) 蠕虫
邮件主题:Very Funny.vbs
邮件附件:Joke
HTML 文件: Very Funny.HTM
驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
无
VBS/LoveLetter.C 蠕虫
邮件主题:Susitikim shi vakara kavos puodukui...
邮件附件:LOVE-LETTER-FOR-YOU.TXT.vbs
HTML文件: LOVE-LETTER-FOR-YOU.HTM
驻留文件: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件: WIN-BUGSFIX.exe
覆盖的文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
kindly check the attached LOVELETTER coming from me.(意为:请查收我用附件给您发送的情书)
VBS/LoveLetter.D 蠕虫
邮件主题:Mothers Day Order Confirmation
邮件附件: mothersday.vbs
HTML 文件: mothersday.HTM
驻留文件:MSKernel32.vbs Win32DLL.vbs
下载文件:无
覆盖文件扩展名:vbs vbe js jse css wsh sct hta ini bat mp3 mp2
邮件主体内容:
We have proceeded to charge your credit
card for the amount of $326.92 for the
mothers day diamond special.
We have attached a detailed invoice to
this email. Please print out the attachment
and keep it in a safe place.Thanks Again and
Have a Happy Mothers Day!
(意为:我们从您的信用卡中收取了$326.92,用于支付母亲节的特别钻石。详细发票请见邮件附件,请将其打印出来,并保管在安全的地方。再次表示感谢,母亲节快乐!)
VBS/LoveLetter.E 蠕虫
邮件主题: Important ! Read carefully !!
邮件附件:IMPORTANT.TXT.vbs
HTML 文件: LOVE-LETTER-FOR-YOU.HTM
系统驻留文件: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖 文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Check the attached IMPORTANT coming from me !(意为:请查收我在附件中给您发送的重要信息。)
VBS/LoveLetter.F 蠕虫
邮件主题:Dangerous Virus Warning
邮件附件:virus_warning.jpg.vbs
HTML 文件:Urgent_virus_warning.htm
系统驻留文件:MSKernel32.vbs Win32DLL.vbs
下载文件:setup24.exe
覆盖 文件扩展名:js jse css wsh sct hta wav txt gif doc htm html xls jpg
jpeg mp3 mp2
邮件主体内容:
There is a dangerous virus
circulating. Please click attached picture to view it and learn to avoid it.(意为:危险病毒正在大肆传播。请点击查看附件中的图画,以避免感染。)
VBS/LoveLetter.G 蠕虫
邮件主题:Virus ALERT!!!
邮件附件:protect.vbs
HTML文件: protect.HTM
系统驻留文件: MSKernel32.vbs Win32DLL.vbs
下载文件:无
覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat
邮件主体内容:
Dear Symantec customer,
Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT.This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected.
The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment.
The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2.
Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread.
Symantec Corp. today announced availability of the virus definition to detect, repair and protect usersagainst the VBS.LoveLetter.A virus.
This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites:
"Also as a quick solution Symantec Corp. Offers Visual Basic Script to protect your PC against
this worm. (See attached.)
Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus.
Symantec Corporation - a world leader in internet security technology.
邮件内容意为:
亲爱的 赛门铁克用户:
格林威治时间2000年5月4日早晨, 赛门铁克的反病毒研究中心(AntiVirus Research Center)收到许多关于VBS.LoveLetter.A病毒的报告。这一病毒来自 亚太地区,它正广泛传播,已有数十万台计算报告感染该病毒。
VBS.LoveLetter.A是一种Internet病毒,它把自己作为Microsoft Outlook 电子邮件的附件进行传播。
邮件主题为“ILOVEYOU”,附件为LOVE-LETTER-FOR-YOU.TXT.VBS。附件一旦打开,该病毒即复制自身,通过 电子邮件发送给地址薄中的所有人。该病毒还可通过Internet聊天传播,并感染本地/远程驱动器上扩展名为vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2的文件。
用户在打开这一主题的电子邮件时务必提高警惕,即便这封电子邮件来自他们所认识的人,这正是这一病毒得以大肆传播的原因。
赛门铁克公司日前发布 病毒特征库,以检测、修复、防护VBS.LoveLetter.A病毒。
用户可通过 赛门铁克的LiveUpdate获得最新病毒特征库,也可从网站下载。
赛门铁克公司还提供了快捷的解决方案,请见附件的Visual Basic Script。
注:当执行时,该程序将保护您的机器免遭VBS.LoveLetter.A virus感染。
VBS/LoveLetter.H 蠕虫
邮件主题:Bewerbung Kreolina
邮件附件:BEWERBUNG.TXT.vbs
HTML 文件:BEWERBUNG.HTM
系统驻留文件:MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Sehr geehrte Damen und Herren!
Note: German, pretending to be a resume.(意为:注:德文,冒充简历)
VBS/LoveLetter.I 蠕虫
邮件主题:Important ! Read carefully !!
附件: IMPORTANT.TXT.vbs
HTML文件:LOVE-LETTER-FOR-YOU.HTM
系统驻留文件:ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
下载文件:WIN-BUGSFIX.exe
覆盖文件扩展名:vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
邮件主体内容:
Check the attached IMPORTANT coming from me !
Note: Internal differences to the E variant in the code.
(意为:请查收我在附件中给您发送的重要信息。
注:在代码上与E变种的内部有所不同。)
4细节分析编辑
VBS/LoveLetter.A 蠕虫
VBS/LoveLetter.A 蠕虫的特征(见图)
VBS/LoveLetter.A 是一个基于 e-mail 的VBS(Visual Basic Script) 蠕虫,它以一个电子邮件的附件到达您的邮箱(见图),邮件的主题是 ILOVEYOU(全大写,无空格)。
e-mail 的正文:
请尽快查收来自我的邮件附件的LOVELETTER。
e-mail 带有名为 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS扩展名是否显示,依赖于系统的设置。
如果您收到了一封与以上所述相符的e-mail,您不要打开邮件的附件,并立即删除e-mail。
LoveLetter 蠕虫通过产生如上所述的e-mail 传播,蠕虫自身作为邮件的附件,且发送给在Outlook 通讯簿中的所有收件人。在大的机构中,产生的大量e-mail 可能会使 电子邮件服务器超载,处于瘫痪状态。
LoveLetter 蠕虫传播的目标是Windows 98, 缺省安装的Windows 2000 和 Windows NT 4.0以及安装了Windows Scripting Host(WSH)引擎的Windows 95系统。 蠕虫使用不同的名字将自身复制到多重子目录中:
在Windows目录中的文件名是Win32DLL.vbs,在Windowssystem目录中的文件名为MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。
LoveLetter 蠕虫修改注册表信息,以便它在下次启动时能运行:
HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs
C:WINDOWSSYSTEMMSKernel32.vbs
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin
32DLL=C:WINDOWSWin32DLL.vbs
蠕虫还设置缺省的IE(Internet Explorer)主页,下载WIN_BUGFIX.exe 文件的一个副本,该文件看起来是一个“后门服务器”(backdoor server)。该文件在Web上真实的位置目前是关闭的。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunWinFAT32=C:WINDOWSSYSTEMWinFAT32
LoveLetter 蠕虫搜索所有的子目录,并用自身的副本覆盖(overwrite)扩展名为JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件,给无VBS(non-VBS)后缀的文件名添加VBS扩展名。如:一个名为的文件将变为。下一次染毒文件被点击或被激活, 蠕虫将开始传播。
如果IRC(在线聊天系统)客户在系统中出现,LoveLetter 蠕虫将产生一个 HTML文件,将自身发送到IRC通道中。
看了此文电脑病毒爱虫种类及总分析
浏览量:2
下载量:0
时间:
震网病毒(Stuxnet病毒),是一个席卷全球工业界的病毒,该病毒与2010年6月首次被检测出来,也是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒。下面由读文网小编给你做出详细的震网病毒介绍!希望对你有帮助!
震网(Stuxnet),指一种蠕虫病毒。它的复杂程度远超一般电脑黑客的能力。这种震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。
“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。通常意义上的犯罪性黑客会利用这些漏洞盗取银行和信用卡信息来获取非法收入。而“震网”病毒不像一些恶意软件那样可以赚钱,它需要花钱研制。这是专家们相信“震网”病毒出自情报部门的一个原因。
据全球最大网络保安公司赛门铁克(Symantec)和微软(Microsoft)公司的研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。
由于“震网”感染的重灾区集中在伊朗境内。美国和以色列因此被怀疑是“震网”的发明人。
这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
震网病毒,瑞星公司监测到一个席卷全球工业界的病毒已经入侵中国,这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。瑞星反病毒专家警告说,我们许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。
2010年6月,白俄罗斯一家安全公司首先发现Stuxnet,其后许多计算机专家加入追踪,他们认为,这种蠕虫可能自去年就开始传播。据全球最大网络保安公司Symantec初步研究,近60%的感染发生在伊朗,其次为印尼(约20%)和印度(约10%), 阿塞拜疆、美国与巴基斯坦等地亦有小量个案。这种新病毒采取了多种先进技术,因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
浏览量:2
下载量:0
时间:
008年,“震网”病毒攻击就开始奏效,伊朗核计划被显著拖延,它有什么特点和传播途径呢!下面由读文网小编给你做出详细的震网病毒的特点和传播途径介绍!希望对你有帮助!
计算机安全专家在对“震网”的病毒进行了深入分析后发现,这可能是全球第一种投入实战的“网络武器”。新病毒采取了多种先进技术,具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在不需要任何操作的情况下,取得工业用电脑系统控制权。”
专家说,该病毒可以通过移动存储介质和局域网进行传播,并且利用西门子公司控制系统(SIMATICWinCC/Step7)存在的漏洞感染数据采集与监视控制系统(简称SCADA)。其中SCADA系统广泛用于能源、交通、水利等系统,一旦遭受病毒侵害,会严重影响正常的生产和生活。
自动化软件被誉为自动化系统的“灵魂”,目前“震网”(Stuxnet)病毒对伊朗核电站自动化系统的破坏,其切入口就是系统的监控和数据采集系统,俗称上位监控软件。伊朗布舍尔核电站的上位监控软件由西门子公司提供,是西门子的重要品牌SIMATIC WINCC。
该病毒可通过U盘传播,自动识别攻击对象,具有极强的隐身和破坏能力,可以自动取得自动化系统的控制权限,从而窃取保密信息、破坏系统运行,甚至控制系统的运行等。“震网”(Stuxnet)病毒的出现和传播,威胁的不仅仅是自动化系统的安全,而且使自动化系统的安全性上升到国家安全的高度。目前我国的大型项目和工程,水利、核电、交通、石化、钢铁等,绝大部分采用国外品牌的自动化软件,其中包括西门子的SIMATIC WINCC。业内人士担忧,一旦“震网”(Stuxnet)病毒流入黑市传播,后果将不堪设想。
看过“震网病毒的特点和传播途径 ”人还看了:
浏览量:5
下载量:0
时间:
曾经席卷世界的震网病毒,它到底有什么样的发展历程呢!下面由读文网小编给你做出详细的震网病毒发展历程介绍!希望对你有帮助!
2006至2010年,著名的震网病毒曾经入侵伊朗核工厂长达五年之久,严重破坏了伊朗核计划。那次入侵的战场只在网络之间,武器也只是软件程序,但它却完全符合最严格的战争定义:它发生于国家之间,它针对军事设施和人员,它企图达到某种政治目。因此,震网病毒被认为是人类第一场网络战争,我们早在2006年就已进入网络战争的时代。
这场战争发端于2006年。这一年,伊朗违背先前签订的协议,重启核计划,在纳坦兹核工厂安装大批离心机,进行浓缩铀的生产,为进一步制造核武器准备原料。
应该说,伊朗人选择的时机很不错。国际社会想要迫使一个国家放弃核计划,无非两种方法:经济制裁,或军事打击。制裁对于伊朗这种孤立国家而言,产生的边界效应非常有限,伊朗人早已习惯了制裁。军事打击则几乎不可能,当时美国深陷阿富汗和伊拉克两大泥潭,无力再发动第三场战争。
形势发展果然不出伊朗所料,美国发出了战争威胁,联合国也通过了决议,加强经济制裁。但都是雷声大,雨点小,最终仗也没打起来,制裁措施也没什么大不了,伊朗完全应付得了。最终,伊朗没付出多大代价,就成功重启了核计划。
但大大出乎伊朗意料的是,核工厂的运行极不稳定,离心机的故障率居高不下,核武器所急需的浓缩铀迟迟生产不出来。技术人员反复检查,却找不出任何故障原因。离心机出厂时明明是质量合格,一旦投入运行,却马上就会磨损破坏。
伊朗的核技术是从巴基斯坦买来的,而巴基斯坦的核技术是从法国偷来的,但不管是法国还是巴基斯坦,都没发生过那么高的离心机故障率。伊朗人实在弄不清出了什么问题。
伊朗总统网站发布的图片右图为伊朗总统网站(www.president.ir)所发布的图片,2008年4月8日,内贾德总统视察纳坦兹核工厂。这张图不经意地泄露了核工厂的问题,左下方的屏幕所显示的那群绿点,每一个点都代表一台离心机,绿色代表运行正常,绿色丛中的两个灰色小点,则说明有两台离心机出了故障。
当伊朗核工厂在跌跌撞撞中挣扎的同时,信息安全界发现了另一件看似不相关的事件。2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet)”,并加入到公共病毒库,公布给业界人士研究。
2010年9月,瑞星公司监测到这个席卷全球工业界的病毒已经入侵中国。瑞星反病毒专家警告说,我国许多大型重要企业在安全制度上存在缺失,可能促进Stuxnet病毒在企业中的大规模传播。
2010年12月15日,一位德国计算机高级顾问表示,“震网”计算机病毒令德黑兰的核计划拖后了两年。这个恶意软件2010年一再以伊朗核设施为目标,通过渗透进“视窗”(Windows)操作系统,并对其进行重新编程而造成破坏。
2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。
2012年6月1日的美国《纽约时报》报道,揭露“震网”病毒起源于2006年前后由美国前总统小布什启动的“奥运会计划”。2008年,奥巴马上任后下令加速该计划。
2013年3月,中国解放军报报道,美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,目前国内已有近500万网民、及多个行业的领军企业遭此病毒攻击。 这种病毒可能是新时期电子战争中的一种武器。震网病毒,截止2011年,感染了全球超过45000个网络,60%的个人电脑感染了这种病毒。
看过“ 震网病毒发展历程”人还看了:
浏览量:2
下载量:0
时间:
伊朗到底是什么时候才发现中毒的,外界不得而知。震网病毒到底有什么影响呢!下面由读文网小编给你做出详细的震网病毒事假介绍!希望对你有帮助!
2010年,震网病毒公布后,引起了信息安全界的轰动,经过许多专家的深入研究,它针对纳坦兹核工厂的攻击意图已经被揭露成了司马昭之心。但即便如此,伊朗仍然矢口否认核工厂遭到了攻击。当然,伊朗到底是真的认为自己的工厂固若汤金,还是出于某种宣传策略而拒不承认,外界同样也不得而知了。
受害一方不肯承认,作案一方同样也没人出来领功。开发像震网这样一款高度复杂的病毒,对资金、人才、情报、组织等各方面都有极高的要求,再加上其独特的攻击目标设定,世界上有这种能力和动机的,只有美国或以色列政府。但美国和以色列并不承认自己与此有关,从病毒代码中也找不出什么证据能牵涉到美以两国,外界也只能停留在猜测而已。震网病毒如同一件孤独的凶器,不知道谁制造了它,也不知道它杀害过谁,外界只能从那锋利的刀刃推测它可怕的战斗力。
直到2012年,伊朗核问题波澜已定,一些美国退休官员才向《纽约时报》透露,针对伊朗核工厂的攻击,是由布什总统发起的、经过奥巴马总统大力推动的、一场精心策划的网络战争。
2006年伊朗重启核计划时,形势正如伊朗所料,美国的选择并不多。美军已经占领了伊拉克,却迟迟找不到传说中的大规模杀伤性武器,布什总统在国内国际政治上都处于被动局面,没有足够的政治能量再次以消灭核武器之名发动一场伊朗战争。但如果不解决伊朗核问题,又无法对以色列交待,因为伊朗一旦拥有核武器,首当其冲的使用目标必定是以色列,以色列感受到极大的威胁。以色列一再表态,要像1981年空袭伊拉克核反应堆一样,也对纳坦兹核工厂来一场外科手术式的打击,将伊朗核计划消灭在萌芽状态。如果任由以色列空袭伊朗,这无疑又将搅乱中东局势,使地区纷争进一步升级,当地的反美情绪也会更加狂热化。因此,当时的美国夹在以色列和伊朗之间左右为难。
万般无奈之下,布什总统接受了中央情报局的一个建议,向纳坦兹核工厂传播一点病毒。其初始目的,不过是给伊朗人制造一点麻烦,迟滞其核武器的制造进程,争取多一点时间,等到形势变得有利时再着手解决伊朗核问题。
为了安抚以色列,中央情报局拉上以色列情报部门一块儿干,以期把他们的注意力从空袭转向病毒。没想到,以色列态度很积极,还通过自己的间谍组织献上一份厚礼:他们偷到了纳坦兹核工厂的图纸!美国人喜出望外,立即决定升级原计划,搞一场大的。
病毒的目标从搞点小破坏,升级为感染全部设备,控制整个工厂。为了确保计划万无一失,美国人还按照图纸,造了一座模拟的核工厂。美国和以色列招募了一批顶级的黑客和核工程专家,在这片模拟战场上对症下药,针对其薄弱环节设计病毒,并且在实际运行中反复测试,反复改进。
布什总统任期快要结束的时候,病毒武器开发完成,测试结果非常成功。美国政府和中央情报局的首脑一起开会,讨论将其部署到实战中去。那场会开得并不轻松,与会者明白,病毒攻击势在必行,但同时他们也明白,这即将开启一个网络战争的时代。从前的病毒,其破坏不过是窃取一点数据,或者让电脑死机,总之都是电脑中来,电脑中去,限制在互联网中。这个病毒将第一次闯出潘多拉魔盒,杀进我们的现实世界,控制和破坏传统的机器设备。
这种攻击方式一旦传播开来,各国必将争相效仿,一场网络攻击的军备竞赛即将拉开帷幕。
震网病毒版本当时的中央情报局局长迈克尔·海登形容会议气氛说:“我们是在跨越卢比孔河。”
关于震网病毒是怎样传播进纳坦兹核工厂的,广为流传的一个说法是,美国情报部门调查了核工厂工程师的背景,发现其中一个工程师特别喜欢钓鱼。于是他们派出一个特工,伪装成钓鱼爱好者,跟那位工程师交上了朋友。两人熟悉以后,特工给工程师发送一份邮件,邮件的内容是一张被震网病毒感染的钓鱼图片,工程师一打开图片,他的私人电脑就被感染了,并且随后感染到他的U盘。后来的某一天,那个工程师在工厂内使用了一次被感染的U盘,病毒就此传进了核工厂内,一步步地感染到所有设备,并且控制了离心机的运行。
这种说法未经证实,其中有一些显然是附会上去的。例如钓鱼,其实“钓鱼”在信息安全界是一个专有名词,是指架设一个假的银行或社交媒体的网站,引诱用户输入其信用卡或个人账户的帐号和密码,从而窃取个人信息。在这个故事里,“钓鱼”从喻体转回本体,变成了一种真实的活动,显然是以讹传讹了。
但有一点是研究者所公认的:病毒必定是通过U盘传进工厂的。核工厂跟大部分工程设施一样,内部的控制网络跟外部互联网是完全隔离的,彻底断绝从互联网上发动的攻击。病毒根本无法从网络连接传进去,唯一可能的途径就是内部设备上的USB接口。这一结论,从震网病毒特意加强的USB传播能力也能得到证实。病毒开发者拥有一座模拟工厂,在实际测试中,他们必定也早已发现,USB口才是唯一的突破口。
至于具体的传播者,美国人自然不肯透露。但据研究者推测,不大可能是无意中掉入圈套的工程师,倒更有可能是被收买的内部人员。因为病毒版本更新比较频繁,而U盘的使用是偶尔的、不定期的,靠无意中的USB感染,不能保证新的病毒版本及时传入工厂。
病毒的频繁更新非常重要,它使得每隔一段时期,故障的发作形式就会变化。在美国的模拟工厂中,病毒开发者一直试验着各种破坏方式。相应地,在伊朗的真实工厂,离心机也不停变换着报废原因,时而是转子磨损,时而是压力阀损坏,繁复多变,不一而足。伊朗人只能看到故障频发,却因为故障类型变化无常,始终无法积累足够的经验,搞不清到底是出了什么毛病。核工厂频频停工检修,生产计划被彻底打乱了。
一种新型的战争方式诞生了
看过“震网病毒的事件介绍”人还看了:
浏览量:2
下载量:0
时间:
世界上每天都有新病毒产生,大部分都是青少年的恶作剧,少部分则是犯罪分子用来盗取个人信息的工具,震网病毒也许只是其中之一,它的背景是什么样的呢!下面由读文网小编给你做出详细的震网病毒背景介绍!希望对你有帮助!
2.1 运行环境
Stuxnet蠕虫在以下操作系统中可以激活运行:
Windows 2000、Windows Server 2000
Windows XP、Windows Server 2003
Windows Vista
Windows 7、Windows Server 2008
当它发现自己运行在非Windows NT系列操作系统中,即刻退出。
被攻击的软件系统包括:
SIMATIC WinCC 7.0
SIMATIC WinCC 6.2
但不排除其他版本存在这一问题的可能。
2.2 本地行为
样本被激活后,典型的运行流程如图1 所示。
样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。
接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。
具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数:
ZwMapViewOfSection
ZwCreateSection
ZwOpenFile
ZwClose
ZwQueryAttributesFile
ZwQuerySection
为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。
进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。
此后,样本跳转到被加载的DLL中执行,衍生下列文件:
%System32%driversmrxcls.sys %System32%driversmrxnet.sys%Windir%infoem7A.PNF%Windir%infmdmeric3.PNF %Windir%infmdmcpq3.PNF%Windir%infoem6C.PNF 其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。
mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%infoem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。
mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件。
看过“震网病毒的背景 ”人还看了:
浏览量:2
下载量:0
时间:
那么震网病毒的传播方式是什么呢!通过什么途径传播呢!下面由读文网小编给你做出详细的震网病毒的传播方式和途径介绍!希望对你有帮助!
这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。
Stuxnet蠕虫搜索计算机中的可移动存储设备。一旦发现,就将快捷方式文件和DLL文件拷贝到其中。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。
拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。
浏览量:2
下载量:0
时间:
面对如此强大的病毒,我们广大用户者,该怎么做呢!下面由读文网小编给你做出详细的震网病毒解决方案介绍!希望对你有帮助!
加强对可移动存储设备的安全管理,关闭计算机的自动播放功能,使用可移动设备前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。
看过“ 震网病毒的解决方式”人还看了:
浏览量:3
下载量:0
时间:
相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。下面由读文网小编给你做出详细的震网病毒攻击事件介绍!希望对你有帮助!
根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。
WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于2013年8月开始正式运行。因此,此次攻击具有明确的地域性和目的性。
看过“震网电脑病毒攻击事件 ”人还看了:
浏览量:2
下载量:0
时间:
脚本病毒原理分析编辑,你了解吗!下面由读文网小编给你做出详细的脚本病毒原理编辑分析介绍!希望对你有帮助!欢迎回访读文网网站,谢谢!
VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点:
1.编写简单,一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2.破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃,网络发生严重阻塞。
3.感染力强。由于脚本是直接解释执行,并且它不需要像PE病毒那样,需要做复杂的PE文件格式处理,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
4.传播范围大。这类病毒通过htm文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
5.病毒源码容易被获取,变种多。由于VBS病毒解释执行,其源代码可读性非常强,即使病毒源码经过加密处理后,其源代码的获取还是比较简单。因此,这类病毒变种比较多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。
6.欺骗性强。脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
7.使得病毒生产机实现起来非常容易。所谓病毒生产机,就是可以按照用户的意愿,生产病毒的机器(当然,这里指的是程序),目前的病毒生产机,之所以大多数都为脚本病毒生产机,其中最重要的一点还是因为脚本是解释执行的,实现起来非常容易,具体将在我们后面谈及。
正因为以上几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
看过“脚本病毒原理编辑分析 ”人还看了:
浏览量:2
下载量:0
时间:
电脑病毒宏病毒具有一些共性什么共性呢!下面由读文网小编给你做出详细的宏病毒共性及分析介绍!希望对你有帮助!欢迎回访读文网网站,谢谢!
台湾一号病毒会在每月的13日影响您正常使用Word文档和编辑器。它包含以下病毒宏:AutoCloseAutoNewAutoOpen这些宏是可被编辑宏。在病毒宏中含有如下的语句:IfDay(Now())=13Then...这条语句与13日有关。台湾一号病毒造成的危害是:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发。激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一个心算题,如做错,它将会无限制地打开文件,直至Word内存不够,Word出错为止;如心算题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。
看过“ 宏病毒共性及分析介绍:”人还看了:
浏览量:3
下载量:0
时间:
计算机病毒对抗是信息战的一种重要形式,它是指设法把计算机病毒注入到敌方计算机系统中,下面由读文网小编给你做出详细的电脑病毒对抗技术分析介绍!希望对你有帮助!欢迎回访读文网网站,谢谢!
靠计算机病毒自身繁殖来感染整个系统及相连接的系统,然后在适当时机用一定方式激活病毒,从而达到控制、破坏敌方计算机系统,取得信息战胜利的目的。计算机病毒对抗技术包括两大部分:病毒攻击技术和病毒防御技术。病毒攻击的目的是利用病毒来干扰和摧毁敌方的信息系统,病毒防御的目的是保护自己的信息资源,抵御敌方病毒的侵入和干扰。在计算机病毒对抗中要作到攻防兼备,同时攻击又是最好的防御。计算机病毒对抗的特点与信息战中传统的电子对抗相比,计算机病毒对抗有自己的特点,它主要表现在以下几个方面:
(1)隐蔽性计算机病毒对抗与传统电子对抗表现形式不同,计算机病毒的寄生、传染、触发都在后台完成,一般系统在受到破坏后才被发现。不使用专门工具很难查出病毒,况且杀病毒软件常对新出现的病毒无能为力。
(2)扩散性计算机病毒繁殖能力强、传播速度快,计算机系统本身的弱点及计算机的网络化使计算机病毒广泛传播。一旦病毒发作,就会席卷整个网络甚至信息战的指挥控制系统。
(3)潜伏性电子对抗一般采用射频信号形式,一旦停止干扰信号发射,干扰就停止。而计算机病毒一旦侵入,便能长期潜伏。(4)多能性计算机病毒具有各种类型,可以针对和攻击各种操作系统及各个应用领域,甚至无需任何预先信息。(5)破坏性计算机病毒能使信息战中敌方指挥控制系统和武器系统失灵或误报信息,从而取得信息战的胜利。病毒攻击技术病毒攻击技术是计算机病毒对抗技术的一个重点,也是信息战的研究热点。病毒攻击技术主要包括:病毒研制、病毒注入、病毒传播、病毒触发、病毒干扰、计算机侦察等技术。病毒研制病毒研制是进行病毒攻击的准备。针对不同类型的目标机、不同的攻击目的,研究不同的病毒体和病毒载体。根据不同的病毒类型、机理和病毒宿主,建立相应的数学模型,规划病毒存储方式和传播途径。病毒注入病毒注入是病毒攻击的第一步,是个高难度的技术问题。病毒注入技术研究的是注入机理和注入方式。病毒注入方式有两种:①无线注入方式:利用战时无线通信系统,远距离地将计算机病毒发送并进入敌方接收系统,继而进入中央指挥系统或其它子系统,完成潜伏或直接作用。
②有线注入方式:主要是经网络的病毒注入。由于网络的广域连接性,具有特殊才智与韧劲的计算机“黑客”总会找到你与网络连接的入口。病毒武器芯片与固化病毒是另一类病毒注入攻击手段。所谓病毒武器芯片是利用硬件的方式,将预先定制的含有某种特殊代码和程序的特殊芯片装入各种电子和信息设备中,在需要时引发病毒。我国的某些军用和关系国计民生行业的系统和设备,尤其是计算机设备外购较多,对我方的芯片注入和芯片病毒隐藏潜伏的可能性是存在的,除非使用百分之百的国产设备(包括芯片)。使用可能潜伏病毒设备的关键是如何采用有效的方式检测出芯片中“可能的”特殊代码,这种检测分析的难度是很大的,对微代码型的芯片检测要比对固化程序型的病毒芯片的检测更难。病毒传播病毒传播技术主要研究传播机理及耦合方式。目前已知的耦合机制有如下四种:前门耦合 采用系统本身正常传播媒体,如收发设备、天线、通信线等,直接将病毒注入目标系统,并使之传播到与感染系统相连的所有其他系统。后门耦合 采用与系统不同的媒体进入并干扰系统,如通过电源系统、温控系统、推进系统以及稳定系统等进行干扰。直接耦合 利用正常通信手段,直接将病毒注入目标系统。敌方接收系统工作期间,以其对应的接收频率发送含有病毒的数据。此外,合法程序的恶意使用也是直接引入病毒的方式。间接耦合 利用病毒的传染性将病毒注入从目标系统安全防御最薄弱环节开始,病毒通过传播后达到并干扰目标系统。以上各种耦合方式的采用将发挥传统电子对抗所不能起到的作用,在信息战中充分体现计算机病毒对抗技术的作用。病毒潜伏病毒潜伏技术主要研究潜伏机理和方式,宿主机的体系结构和存储模型,病毒体的伪装、反跟踪、欺骗技术,解决病毒体驻留、寻址、索引指向等问题。病毒触发主要研究激励机制和触发条件问题,针对宿主机程序调用、运行、装载、中断以及系统输入输出方式和机制,确定病毒的引发逻辑条件、时间条件、中断条件和综合条件。最关键的是能否装载病毒程序并使它运行,这是在病毒注入问题解决后,另一个重要的高难度问题。病毒干扰病毒干扰是最终目的,干扰方式有多种,破坏机制与功能也不同。常见的干扰方式有以下几种:
①特洛依木马:指包含了逻辑炸弹、时间炸弹等一类潜伏型、条件触发型的恶意程序。条件和方式均可预制,等病毒现象表现出来,已为时过晚。
②强迫检疫:这是一种欺骗手段,病毒进入目标系统后即表现自己,公开宣告病毒存在。这样,使整个系统和网络成为一种不可信系统,从而达到极大的心理干扰作用。
③超载:这种干扰主要是降低系统性能,使系统不能以正常速度运行。这将会减慢系统的实时响应、延迟军用控制系统的动作,影响战地信息处理速度与响应。④探针:这是一种有着特殊任务的程序,负责寻找和搜寻某些
专门数据,并将它们自己或找到的数据存放或传送到一个专门的地点。
⑤ 刺客:这是病毒直接攻击的一种方式。注入的病毒摧毁和破坏某个专门文件、数据和存储结构。它可通过网络在任何地点查找,直到找到目标。这种病毒在传播过程中消除自己,完成任务后自毁,不留下任何痕迹。它包含了诸如数据欺骗、超级冲杀、陷阱、核心大战等技术方式。⑥计算机侦察:这是研究如何进行目标搜索、识别、分析和确认的技术,从众多的信息中去粗取精、去伪存真,为病毒攻击做准备。病毒防御技术病毒防御技术包括主动与被动的防御,信息战中只攻不防的军事系统是不完整的,也是脆弱的。病毒的交叉、变形、融合和多态性,使病毒的检测、消除和系统恢复变得十分困难。病毒防御技术主要有:病毒研究,病毒检测、病毒消除、病毒免疫、系统恢复、病毒预防、反病毒产品研制等。
病毒研究信息战防御病毒的研究不同于研究攻击性病毒,它主要研究已经出现的计算机病毒,进行病毒标本采集,分析病毒体及其机理,制定对策;对病毒标本进行标准化,建立病毒标本库;根据对新病毒标本的分析,研究清除病毒的方法,确定预防相同类型、相同机理病毒的方法,更新病毒检测工具和软件,建立一套系统、智能的更新标本库,实现防杀病毒软件的智能升级。病毒检测病毒检测的目的是发现、确认和报告是否有病毒,为病毒的消除提供依据。检测技术非常灵活,包括静态检测、动态检测及综合判断,也牵涉到宿主机的系统体系结构、数据结构和存储模式。在具体的技术实现中必须考虑误报、错报、漏报和预报等难题。误报是将正常操作认为是病毒操作,或者误认为正常的系统和文件中含有病毒。检测路径不正确、特征码选择判别错、改动信息判别错、位置判别错等都可能产生误报。
错报是将某一种类的病毒错报成另一种或者多种病毒。病毒名称的多名性、相同的特征码、欺骗性特征码会引起错报。漏报是系统存在病毒但不能够报出,或者病毒产生变种、变异不能报出。特征码被改动或变异病毒、病毒反跟踪、多行性和隐行病毒都可能产生漏报。预报是一种超前主动性防御,能够警告性地报出可能的或者可疑的病毒及病毒现象,但不一定报出病毒名称,同时采取一定的处理措施。病毒消除病毒被确认后就必须进行病毒体清除,对早期病毒(或称为第一、二代病毒)是可能完全清除的;而对现代病毒,包括变异病毒(或称为第三、四代病毒)有可能无法完全清除,如果强制清除,则可能损坏文件或影响到系统的正常恢复,甚至造成死机、系统崩溃、数据丢失和系统的不可恢复。如果再加上病毒的重复感染和交叉感染,病毒的连续清除、层层脱壳都会使清除工作难度加大。病毒消除产生的副作用是很大的,轻者仅使该程序或者软件不能使用,重者造成死机、系统崩溃、数据丢失和系统的不可恢复,从而影响反病毒技术和杀病毒软件的自身的可信性。病毒免疫病毒免疫是指系统曾感染过病毒,已经被清除,如果再有同类病毒攻击,将不再受感染。
这对某些早期病毒是有效的,免疫法多基于感染标志判定,或者采用以毒攻毒的方法,但非所有病毒都可以免疫。目前有的病毒采用强制感染,对系统和软件进行重复感染。免疫也是一种反攻击的手段,具有免疫性的系统是一类可信系统,但研究和建立通用的免疫机制是很困难的。系统恢复消除病毒后系统不一定能够恢复到以前的正常运行环境。
例如,病毒改变了系统配置参数、运行指针、表格变量、中断矢量、存储地址、数据结构等,有的甚至是破坏性改动(如删除、覆盖等),这样就不可能恢复到原运行状态。目前常见的系统恢复方法分为完整恢复(完全恢复到感染前的环境),部分恢复(只恢复关键参数,但不影响系统执行),系统重启(放弃目前环境,重新启动和运行),系统替换(重装系统,或者使用备用系统或备份软件)。此外,系统恢复中的一个大问题是环境兼容性,主要指在反病毒软、硬件研究中,对该技术的适用范围、程度、效果所依赖的硬件(机型等)和软件(系统等)环境的考虑。该问题涉及到系统的版本、配置等,使系统恢复变得更为复杂。如果系统不能正常恢复,也会影响反病毒技术的可信性。
病毒预防病毒预防主要研究如何对未知和未来病毒进行防御。理论上不能预知未来病毒的机理。没有哪种防病毒软、硬件可以防止未来的病毒,反病毒技术的被动性和技术制约也往往落后于病毒技术。因此,只能立足于系统自身的安全性和系统自保护,以及软件的自保护。研制具有自保护措施的软件是可行的,提高软件本身的可信性是病毒预防的基础。反病毒产品研制病毒对抗技术的应用研究是反病毒系统、硬件与软件产品,包括系统安全卡、防病毒卡、反病毒软件、病毒检测清除软件、病毒过滤器等,以及对这些产品效能的评价。
结束语信息对抗是信息战的特征,计算机病毒对抗技术是信息战技术的一个重要领域。成功地掌握和运用计算机病毒对抗技术将在未来的信息战中出奇制胜。
看过“电脑病毒对抗技术分析 ”人还看了:
浏览量:2
下载量:0
时间:
对于电脑,往往是电脑出现故障,都是电脑病毒,电脑故障有多种。下面由读文网小编给你做出详细的电脑病毒故障介绍!希望对你有帮助!
病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
浏览量:2
下载量:0
时间:
有时候会出现这样的现象,病毒软件报告杀掉了某某病毒,可是重新启动后该病毒仍旧存在,无法杀死。下面由读文网小编给你做出详细的电脑病毒杀不死原因分析介绍!希望对你有帮助!
方式1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000,可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程,而对于Windows98/Me,则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个,该过程俗称“杀进程”。
不要怕出错,因为不会对电脑造成任何损坏,最多就是死机。注意,杀进程的操作有时得进行两次才成功。有的病毒有两个进程,互相保护,杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉,然后用突然断电的方式重启电脑,再杀毒。
方式2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
方式3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑,在dos下删除_RESTORE文件夹。
方式4.在Dos下杀毒不存在杀不掉的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘),用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。瑞星的软盘版需要用鼠标确定杀毒的驱动器,而金山毒霸的软盘版则默认全机查杀。
实际上用金山毒霸在DOS下杀毒还可以更简单,用普通软盘启动盘或U盘启动盘启动电脑后,先换到C盘,然后进入金山毒霸的目录(命令:cd kav或cd kav5,与版本有关),然后输入KAVDX,回车就开始杀毒了。
方式5.补充操作。病毒杀掉后还应该修复注册表,只有将注册表修复以后,才算是彻底删除了病毒。
看了“电脑病毒杀不死原因分析介绍:”文章的还看了:
浏览量:2
下载量:0
时间:
如果我们计算机中了病毒,那么我们要怎么样去分析呢?下面由读文网小编给你做出详细的计算机病毒分析方法介绍!希望对你有帮助!
1.更新系统补丁,避免病毒通过系统漏洞感染计算机;
2.设置强壮管理员登录密码(8位以上),且定期更换密码;
3.及时更新杀毒软件,并定期的进行全盘杀毒;
4.不要随意打开陌生的电子邮件和好友发来的陌生链接;
5.不要随意下载功能插件;
6.尽量到正规门户网站下载软件程序;
7.不要随意下载“破解版”、“汉化版”程序;
8.某些正常软件安装程序中可能也会捆绑恶意程序,安装时须谨慎;
9.接入移动存储设备时,不要双击打开,选择鼠标右键的打开方式。
看了“ 计算机病毒如何分析”文章的还看了:
浏览量:2
下载量:0
时间: