第9章其他惡意代碼CONTENTS目錄流氓軟件01WebPage中的惡意代碼02僵尸網絡03行業PPT模板/hangye/定義：流氓軟件是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含中國法律法規規定的計算機病毒。流氓軟件定義及特征特征：1.采用多種社會和技術手段，強行或者秘密安裝，并抵制卸載；2.強行修改用戶軟件設置，如瀏覽器的主頁，軟件自動啟動選項，安全選項；3.強行彈出廣告，或者其他干擾用戶、占用系統資源行為；4.有侵害用戶信息和財產安全的潛在因素或者隱患；5.與電腦病毒聯合侵入用戶電腦；6.停用殺毒軟件或其他電腦管理程序來做進一步的破壞；7.未經用戶許可，利用用戶疏忽或者利用用戶缺乏相關知識，秘密收集用戶個人信息、秘密和隱私；8.惡意篡改注冊表信息；9.威脅恐嚇或誤導用戶安裝其他的產品。流氓軟件的分類1.廣告軟件（Adware）危害：此類軟件往往會強制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統資源，使其運行變慢等。2.間諜軟件（Spyware）危害：用戶的隱私數據和重要信息會被“后門程序”捕獲，并被發送給黑客、商業公司等。這些“后門程序”甚至能使用戶的電腦被遠程操縱，組成龐大的“僵尸網絡”，這是網絡安全的重要隱患之一。3.瀏覽器劫持危害：用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持后，用戶只要上網就會被強行引導到其指定的網站，嚴重影響正常上網瀏覽。4.行為記錄軟件（TrackWare）危害：危及用戶隱私，可能被黑客利用來進行網絡詐騙。5.惡意共享軟件（maliciousshareware）危害：使用“試用陷阱”強迫用戶進行注冊，否則可能會丟失個人資料等數據。軟件集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。腳本病毒的基本類型1．基于JavaScript的惡意腳本使用JavaScript語言編寫的惡意代碼主要運行在IE瀏覽器環境中，可以對瀏覽器的設置進行修改，主要破壞是對注冊表的修改，危害不是很大。2．基于VBScript的惡意腳本使用VBScript語言的惡意代碼可以在瀏覽器中運行。這種惡意代碼在Office，主要是瀏覽器、Outlook中運行，可以執行的操作非常多，甚至可以修改硬盤上的文件、刪除文件和執行程序等，危害非常大。3．基于PHP的惡意腳本基于PHP的惡意腳本是新的惡意代碼類型，感染PHP腳本文件，主要對服務器造成影響，對個人計算機影響不大。4

.

Shell惡意腳本編寫Shell惡意腳本是一種制造Linux惡意代碼的簡單方法。Web惡意代碼的工作機制在網頁中用腳本實現的惡意代碼。由于因特網用戶經常使用瀏覽器瀏覽網頁，因此給這種惡意代碼的發作造成了便利環境。“萬花谷”就是其中一種惡意腳本代碼，它是利用JavaScript技術進行破壞的一個惡意網址。感染了該惡意代碼后的特征如下：（1）不能正常使用Windows的DOS功能程序。（2）不能正常退出Windows。（3）“開始”菜單上的“關閉”“運行”等欄目被屏蔽，禁止重新以DOS方式啟動，關閉DOS命令和Regedit命令等。（4）將IE瀏覽器的首頁和收藏夾中都加入了含有該有害網頁代碼的網絡地址(www.on888.xxx.X)。（5）在IE的收藏夾中自動加上“萬花谷”的快捷方式，網絡地址是http://96。與普通惡意腳本有所不同的是：用“查看源文件”方法來查看感染“萬花谷”的網頁代碼時，只能看到一大段雜亂字符。原因是為了具有隱蔽性，該惡意代碼采用了JavaScript的escape()函數進行了字符處理，把某些符號、漢字等變成亂碼以達到迷惑人的目的。防范腳本病毒的措施（1）養成良好的上網習慣，不瀏覽不熟悉的網站，尤其是一些個人主頁和色情網站，從根本上減少被病毒侵害的機會。（2）選擇安裝適合自身情況的主流廠商的殺毒軟件，或安裝個人防火墻，在上網前打開“實時監控功能”，尤其要打開“網頁監控”和“注冊表監控”兩項功能。（3）將正常的注冊表進行備份，或者下載注冊表修復程序，一旦出現異常情況，馬上進行相應的修復。（4）如果發現不良網站，立刻向有關部門報告，同時將該網站添加到黑名單中。（5）提高IE的安全級別。將IE的安全級別設置為“高”。（6）最好安裝專業的殺毒軟件對計算機進行全面監控.用戶在安裝了反病毒軟件之后，應該經常進行升級,將一些主要監控經常打開。僵尸網絡的概念及特點僵尸網絡（Botnet）是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。僵尸網絡的特點（1）分布性。僵尸網絡是一個具有一定分布性的、邏輯的網絡，它不具有物理拓撲結構。隨著Bot程序的不斷傳播而不斷有新的僵尸計算機添加到這個網絡中來。（2）惡意傳播。僵尸網絡是采用了一定的惡意傳播手段形成的，如主動漏洞攻擊、惡意郵件等各種傳播手段，都可以用來進行Bot程序的傳播。（3）一對多控制。Botnet的最主要的特點就是可以一對多地進行控制，傳達命令并執行相同的惡意行為，如DDoS攻擊等。這種一對多的控制關系使得攻擊者能夠以低廉的代價高效地控制大量的資源為其服務，這也是Botnet攻擊受到黑客青睞的根本原因。僵尸網絡的分類按bot程序的種類分類Agobot/Phatbot/Forbot/XtremBot最著名的僵尸工具類SDBot/RBot/UrBot/SpyBot最活躍的Bot程序家族GT-Bots基于IRC的聊天工具類Bot客戶端按Botnet的控制方式分類IRCBotnet這類Botnet利用IRC協議進行控制和通信。目前絕大多數Botnet都屬于這一類別，例如Spybot、GTbot和SDbot等。AOLBotnet這類Botnet是依托AOL這種即時通信服務形成的網絡而建立的，被感染主機登錄到固定的服務器上接收控制命令。P2PBotnet這類Botnet中使用的Bot程序本身包含了P2P的客戶端，可以連入采用Gnutella技術的服務器，利用WASTE文件共享協議進行相互通信。由于這種協議分布式地進行連接，就使得每一個僵尸主機可以很方便地找到其他的僵尸主機并進行通信，這類的Botnet具有不存在單點失效但實現相對復雜的特點。僵尸網絡的工作過程（1）傳播階段在傳播階段，Botnet把Bot程序傳播到盡可能多的主機上去。Botnet需要的是具有一定規模的被控計算機，而這個規模是隨著Bot程序的擴散而形成的。在這個傳播過程中有如下幾種手段：①即時通信軟件。②郵件型惡意代碼。③主動攻擊漏洞。④惡意網站腳本。⑤特洛伊木馬。（2）加入階段在加入階段，每一臺被感染主機都會隨著隱藏在自身上的Bot程序的發作而加入到Botnet中去，加入的方式根據控制方式和通信協議的不同而有所不同。在基于IRC協議的Botnet中，感染Bot程序的主機會登錄到指定的服務器和頻道中去，在登錄成功后，在頻道中等待控制者發來的惡意指令。（3）控制階段在控制階段，攻擊者通過中心服務器發送預先定義好的控制指令，讓僵尸計算機執行惡意行為。典型的惡意行為是發起DDoS攻擊、竊取主機敏感信息、升級惡意程序等。僵尸網絡的危害DDOS攻擊使用Botnet發動DDOS攻擊是當前最主要的威脅之一。攻擊者可以向自己控制的所有僵尸計算機發送指令，讓它們在特定的時間同時開始連續訪問特定的網絡目標，從而達到DDOS的目的。發送垃圾郵件一些bots會設立sockv4、v5代理，這樣就可以利用Botnet發送大量的垃圾郵件，而且發送者可以很好地隱藏自身的IP信息。