防护宝典:各种病毒分析及攻击防御手册(2) 感染途径:此类病毒本身依靠用户执行而进行被动运行,常见感染途径为:盗板光盘、软盘、安全性不佳的共享网络; 病毒自查:此类病毒大多通过的是进驻内存后篇历目录树的方式,搜索每个目录下的可执行文件进行感染,因此对内存占用得比较厉害——如果突然在某个时间后发现自己的机器内存占用很高,可能就是感染了此类病毒。 病毒查杀:这类病毒由于编写难度较大,因此升级(病毒也玩升级?对,例如CIH是在1.4版本后才完善的)速度相对较慢,但由于开机后进驻的程序可能已经被病毒感染,因此杀毒条件是各种病毒中最为严格的,且这2种方式比较干净彻底的方法也适用用后面介绍的各种病毒: 1.软盘(光盘)启机使用杀毒软(光)盘进行杀毒;在进行这一步的时候,必须要保证软盘或光盘的病毒库内已经有杀除该病毒的特征码。 2.将硬盘拆下,作为其他机器的从盘;从其他机器的主盘启动进行杀毒(该机需打开病毒即时监控,以防止来自从盘的可执行文件中的病毒进驻到内存中); 以常见的国产几种杀毒软件为例,在购买的正式版本中,除了供安装使用的光盘外,一般还包含几张软盘(一张引导盘,一张杀毒程序盘,一张病毒库盘)。在对待上面提到的这类病毒时,最好的做法就是用引导盘启动计算机,然后根据提示将杀毒程序盘和病毒盘依次插入,进行病毒查杀。注意2点:1.目前比较新版本的杀毒程序盘都能完善地支持ntfs分区的读写,如果您是在几年以前购买的杀毒盘,可以根据厂家的服务方式进行升级;2.由于采用软盘杀毒的时候,使用的是软盘上的病毒库,为了能正确地查杀病毒,请定期升级软盘的病毒库,否则真到用的时候就哭也哭不出来了。 杀毒遗留:由于这类病毒是寄生到其他程序内部,即使非常优秀的杀毒软件,能做到的也只是把该染毒程序内的病毒某关键执行部分删除,使得染毒程序在运行时病毒无法运行。因此并不是严格意义上的完全清除——病毒程序的某部分依然残留在程序内部,俗称“病毒僵尸”。 在杀除这类病毒的时候,最主要的是分析捕捉特征代码,因为抓特征码的过程中不仅要准确地破坏病毒的执行部分,而且不可以触动正常的程序代码。否则会常常出现杀毒之后该程序无法使用的情形——那还叫什么杀毒?还不如直接删除文件比较好嘛!在查杀这类病毒上,根据天缘的使用经验,Norton和国内的金山毒霸做的比较好一些。(此评价只根据我个人使用经验如实说出,不带任何广告性质,请各位选择杀毒产品的时候不要以我的介绍为依据,本人不承担任何责任,下同。) 病毒防范:安装包含即时监控的杀毒软件并启机执行,每天升级病毒库获取最新病毒特征代码;尽量不使用来源不可靠的软盘和光盘,使用前先扫描;关于网络防毒部分后面一并介绍。 2.后台运行进行恶意控制和破坏的病毒 病毒描述:帐号被偷,密码被盗,机器被人远程控制着放歌/开关机/屏幕倒转过来,硬盘不住地转动将关键资料向外发出,就是这类病毒的杰作了。这类病毒和上一类病毒最本质的区别是——这类病毒本身是独立的程序,而不是寄生于另一个程序中。这类病毒的编写主要在于对操作系统本身接口的熟悉,网络传输的熟悉,以及对隐蔽性的要求,此类病毒的编写可使用多种语言,对病毒写作者本身的实力也是一种考验。这个病毒中,最出名的莫过于BO了,可以说,它指引了这种病毒在windows平台的发展理念。这类病毒就是统称的“木马”病毒,通过系统漏洞/用户操作疏忽进入系统并驻留,通过改写启动设置来达到每次启机运行或关联到某程序的目的。在windows系统中,表现为修改注册表启动项、关联EXPlorer、关联notepad等方式。 病毒浅析: 此类病毒编写者的功力就有高有低了。高手所编写的远程控制系统可以和最优秀的远程管理工具相媲美,例如开山鼻主BO,国产的冰河,著名的黄金木马sub7都属于这一类,这类程序分为2个部分,控制端和被控制端;而在Unix类平台下的木马经常是一个简单外部命令的重新实现——例如将原本的ls命令替换掉,用自己写的一个程序代替,在执行正常文件列表的同时隐含执行特殊命令,这类木马的编写水平也相当高,但在windows下极少出现类似程序替代的木马,这类病毒的联系一般是单向进行的;还有一类木马就是网络盗窃性质的,以im软件,网络游戏盗号居多,近来发展为对金融业有所染指,这类一般就是通过程序监视当前窗口,并获得当前窗口特定控件的值(用户名/密码框里的值),然后通过email,远程登陆web数据库等方式把获得的密码发出去,这类程序具有一定编程基础的各位朋友都能做到;第4类是惟恐天下不乱的纯捣乱程序,原理跟上一种类似,不过是朝文本框写信息,例如著名的QQ尾巴病毒,这类病毒由于病毒作者将源代码放出,改写起来相当容易,智商85以上的人士都能胜任的。这类木马病毒中的杰出代表为BO、冰河、Sub 7等。
