什么是恶意代码?
不必要代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
一、恶意代码的特征 恶意代码(Malicious code)或者叫恶意软件Malware(Malicious Software)具有如下共同特征: (1) 恶意的目的 (2) 本身是程序 (3) 通过执行发生作用 有些恶作剧程序或者游戏程序不能看作是恶意代码。
对滤过性病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
二、非滤过性病毒 非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件,远程特洛伊和谍件等等,组织内部或者外部的攻击者使用这些软件来获取口令、侦察网络通信、记录私人通信,暗地接收和传递远程主机的非授权命令,而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。
非滤过性病毒有增长的趋势,对它的防御不是一个简单的任务。
与非过滤性病毒病毒有关的概念包括: (1)谍件 谍件(Spyware)与商业产品软件有关,有些商业软件产品在安装到用户机器上的时候,未经用户授权就通过Internet连接,让用户方软件与开发商软件进行通信,这部分通信软件就叫做谍件。
用户只有安装了基于主机的防火墙,通过记录网络活动,才可能发现软件产品与其开发商在进行定期通讯。
谍件作为商用软件包的一部分,多数是无害的,其目的多在于扫描系统,取得用户的私有数据。
(2)远程访问特洛伊 远程访问特洛伊RAT 是安装在受害者机器上,实现非授权的网络访问的程序,比如NetBus 和SubSeven 可以伪装成其他程序,迷惑用户安装,比如伪装成可以执行的电子邮件,或者Web下载文件,或者游戏和贺卡等,也可以通过物理接近的方式直接安装。
(3)Zombies 恶意代码不都是从内部进行控制的,在分布式拒绝服务攻击中,Internet的不少 站点受到其他主机上 zombies程序的攻击。
zombies程序可以利用网络上计算机系统的安全漏洞将自动攻击脚本安装到多台主机上,这些主机成为受害者而听从攻击者指挥,在某个时刻,汇集到一起去再去攻击其他的受害者。
(4)破解和嗅探程序和网络漏洞扫描 口令破解、网络嗅探和网络漏洞扫描是公司内部人员侦察同事,取得非法的资源访问权限的主要手段,这些攻击工具不是自动执行, 而是被隐蔽地操纵。
(5)键盘记录程序 某些用户组织使用PC活动监视软件监视使用者的操作情况,通过键盘记录,防止雇员不适当的使用资源,或者收集罪犯的证据。
这种软件也可以被攻击者用来进行信息刺探和网络攻击。
(6)P2P 系统. 基于Internet的点到点 (peer-to-peer)的应用程序比如 Napster、Gotomypc、AIM 和 Groove,以及远程访问工具通道像Gotomypc,这些程序都可以通过HTTP或者其他公共端口穿透防火墙,从而让雇员建立起自己的***,这种方式对于组织或者公司有时候是十分危险的。
因为这些程序首先要从内部的PC 远程连接到外边的Gotomypc 主机,然后用户通过这个连接就可以访问办公室的PC。
这种连接如果被利用,就会给组织或者企业带来很大的危害。
(7)逻辑炸弹和时间炸弹 逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。
一般是由组织内部有不满情绪的雇员植入, 逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏,Omega 工程公司的一个前网络管理员Timothy Lloyd,1996年引发了一个埋藏在原雇主计算机系统中的软件逻辑炸弹,导致了1千万美元的损失,而他本人最近也被判处41个月的监禁。
三、恶意代码的传播手法 恶意代码编写者一般利用三类手段来传播恶意代码:软件漏洞、用户本身或者两者的混合。
有些恶意代码是自启动的蠕虫和嵌入脚本,本身就是软件,这类恶意代码对人的活动没有要求。
一些像特洛伊木马、电子邮件蠕虫等恶意代码,利用受害者的心理操纵他们执行不安全的代码;还有一些是哄骗用户关闭保护措施来安装恶意代码。
利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。
它们完全依赖商业软件产品的缺陷和弱点,比如溢出漏洞和可以在不适当的环境中执行任意代码。
像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。
利用Web 服务缺陷的攻击代码有Code Red、Nimda,Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。
恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件,恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户,这样做可以最大可能的吸引受害者的注意力。
一些恶意代码的作者还表现了高度的心理操纵能力,LoveLetter 就是一个突出的例子。
一般用户对来自陌生人的邮件附件越来越警惕,而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。
附件的使用正在和必将受到网关过滤程序的限制和阻断,恶意代码的编写者也会设法绕过网关过滤程序的检查。
使用的手法可能包括采用模糊的文件类型,将公共的执行文件类型压缩成zip文件等等。
对聊天室IRC(...
恶意软件是什么意思
"恶意软件"用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
那么,计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛伊木马有效,还是仅对病毒有效? 所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。
现有恶意代码的数目和种类繁多,因此很难为每个恶意代码类别提供一个准确的定义。
对于笼统的防病毒讨论,可使用以下简单的恶意软件类别定义: .特洛伊木马。
该程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。
特洛伊木马程序通常通过没有正确明此程序的用途和功能的电子邮件传递给用户。
它也称为特洛伊代码。
特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。
.蠕虫。
蠕虫使用自行传播的恶意代码,它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。
蠕虫会执行有害操作,例如,消耗网络或本地系统资源,这样可能会导致拒绝服务攻击。
某些蠕虫无须用户干预即可执行和传播,而其他蠕虫则需用户直接执行蠕虫代码才能传播。
除了复制,蠕虫也可能传递负载。
.病毒病毒代码的明确意图就是自行复制。
病毒尝试将其自身附加到宿主程序,以便在计算机之间进行传播。
它可能会损害硬件、软件或数据。
宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。
对于本指南的用途而言,负载是一个集合术语,表示恶意软件攻击在已感染计算机上执行的操作。
各种恶意软件类别的上述定义使得可以通过一个简单的流程图来明这些类别之间的不同之处。
下图明了可用来确定程序或脚本是否属于这些类别的元素: 图1 恶意代码决策树 通过此图,可以区分对于本指南用途而言的每种常见恶意代码类别。
但是,了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。
这些类型的攻击(称作混合威胁,包含使用多种攻击方法的多个恶意软件类型)会以极快的速度传播。
攻击方法是恶意软件可用于发起攻击的例程。
由于这些原因,混合威胁特别难以应对。
以下部分对每种恶意软件类别进行了更为详细的解释,以帮助明每种类别的一些主要元素。
特洛伊木马 特洛伊木马不被认为是计算机病毒或蠕虫,因为它不自行传播。
但是,病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上,此过程称为"发送"。
特洛伊木马的通常意图是中断用户的工作或系统的正常运行。
例如,特洛伊木马可能在系统中提供后门,使黑客可以窃取数据或更改配置设置。
在提及特洛伊木马或特洛伊类型活动时,还有两个经常使用的术语,其识别方法和解释如下: . 远程访问特洛伊。
某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统。
此类程序称为"远程访问特洛伊"(RAT) 或后门。
RAT 的纠??Back Orifice、Cafeene 和 SubSeven。
有关此类特洛伊木马的详细明,请参阅 Microsoft TechNet 网站上的文章"Danger:Remote Access Trojans",网址为 http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx(英文)。
. Rootkit。
Rootkit 是软件程序集,黑客可用来获取计算机的未经授权的远程访问权限,并发动其他攻击。
这些程序可能使用许多不同的技术,包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门,以及对网络上的其他计算机发起攻击。
Rootkit 通常被组织到一组工具中,这些工具被细化为专门针对特定的操作系统。
第一批 Rootkit 是在 20 世纪 90 年代被识别出来的,当时 Sun 和 Linux 操作系统是它们的主要攻击对象。
目前,Rootkit 可用于许多操作系统,其中包括 Microsoft Windows 平台。
注意:请注意,RAT 和某些包含 Rootkit 的工具具有合法的远程控制和监视使用。
但是,这些工具引入的安全性和保密性问题给使用它们的环境带来了整体风险。
蠕虫 如果恶意代码进行复制,则它不是特洛伊木马,因此为了更精确地定义恶意软件而要涉及到的下一个问题是:"代码是否可在没有携带者的情况下进行复制?"即,它是否可以在无须感染可执行文件的情况下进行复制?如果此问题的答案为"是",则此代码被认为是某种类型的蠕虫。
大多数蠕虫试图将其自身复制到宿主计算机上,然后使用此计算机的通信通道来进行复制。
例如,Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统,然后使用已感染系统的网络连接来试图进行复制。
如果已安装最新的安全更新(来停止感染),或已在环境中启用防火墙来阻止蠕虫所用的网络端口(来停止复制),则攻击将会失败。
病毒 如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制,则认为它是病毒。
此副本可以是原始病毒的直接副本,也可以是原始病毒的修改版本。
有关详细信息,请参阅本章后面的"防护机制"部分。
正如前面所提及的,病毒通常会将其包含的负载(例如,特洛伊木马)放置在一个本地计算机上,然后执行一个或多个恶意操作(例如,删除用户数据)。
但是,仅进行复制且不具有负载的病毒仍是恶意软件问题,...
病毒和恶意代码有什么区别?对计算机的危害怎样?
若需鉴定手机是否有病毒,建议您:1.部分手机支持智能管理器(内存管理器),可以通过其中的"设备安全"扫描设备,对设备内存进行检测,查找设备是否存在威胁或有恶意软件。
2.下载较安全的手机安防软件扫描手机尝试。
若手机检测有病毒,建议您:1.备份重要数据(联系人、照片、备忘录等)恢复出厂设置。
2.若以上操作无效,请您携带购机发票、包修卡和机器送到服务中心检查。
提示手机被恶意代码攻击是怎么回事?
1. 这个的话,要看你登录访问的是什么网页,一般是真的被恶意病毒攻击了;2. 但还有一部分是故意诱导你下载恶意软件的,建议最好不要访问浏览不正常的网址,手机要多进行安全检测,更新病毒库。
恶意代码攻击:1. 所谓恶意代码,是指网页中使用了利用WSH漏洞来修改系统的一段代码(但是由于它并不具备传染性和自我复制这两个病毒的基本特征,因此不能称作病毒)。
2. WSH是“Windows Scripting Host”的缩写,是微软提供的一种脚本解释机制,它使得脚本文件(扩展名为 .js、.vbs等)能够直接在Windows桌面或命令提示符下运行(您可以搜索一下您windows安装目录下的 *.js或者*.vbs文件,然后双击运行看看效果)。
3. 也就是说,我们可以从卸载WSH、阻止恶意代码运行、实时保护的任意一个方面入手,均可以达到保护windows 系统不被恶意代码篡改的目的。
如何禁止网页恶意代码的入侵求答案
网页恶意代码入侵如何禁止呢?首先我们要知道恶意代码的工作原理,我们知道网页上所看到的都是表像,其内在实质就是一行一行的代码,浏览器就是靠着看这些代码来为我们呈现绚烂多彩的网页的。
那么只要在这些正常的代码中间加入几段特意编的恶意代码,那么网页就成了具有破坏力的恶意网页了。
因此要避免网页恶意代码的攻击只要禁止这些恶意代码的运行就可以了。
打开IE浏览器,依次点击工具菜单下的Internet选项,选择安全标签,点击自定义级别按钮,在弹出的新对话框中把安全级别定义为高,ActiveX控件和插件中的第二项对标记为可安全执行脚本的ActiveX控件执行脚本和第三项对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本设置为禁用,这两项禁止之后,所有网页上的基于ActiveX的恶意代码都被禁止执行,遇到有恶意代码的网页也就不怕了。
这是一个很实用的方法吧,按照这个方法设置一下,你再看一些网页时,就不会有那些恶意软件一个个弹出来了,也就不用烦心了,只管保持好心情上网遨游。