5 计算机恶意代码与防护
恶意代码（Malicious code）或者叫恶意软件 （ Malware ：Malicious Software）是一种程序，它通 过把代码在不被察觉的情况下镶嵌到另一段程序中， 从而达到运行具有入侵性或破坏性的程序、破坏被感 染电脑数据的安全性和完整性的目的。
亨达通信
恶意代码的发展史
亨达通信
预防该类病毒较为有效的系统设置措施：将资源管理设 置为：
（2）文件夹病毒 该病毒也是常见的U盘传播病毒，会在U盘中生成与文 件夹同名的可执行程序，同时将原文件夹设置为隐藏属性。
亨达通信
5.6 防病毒系统
（1）单击工作站（个人计算机） 安装杀毒软件等安全软件。 （2）服务器 安装相应版本的杀毒软件等安全软件。 （3）企业网络 一般不主张购置所谓“带病毒过滤功能”的防火墙网关产品 （因为该类产品会使防火墙性能大幅下降 、增加防火墙的安 全隐患），国际上通用的对网关防病毒的做法是将防火墙上 的数据引导到另外的专门进行病毒检测的服务器上进行，而 不是直接在防火墙上进行病毒检测。
“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\P olicies\System”中的一个键名叫“DisableRegistryTools”的十六进制的值由 1改为0，1为禁止，0为允许。
利用记事本等新建一个文件：
REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Curre ntVersion\Policies\system"DisableRegistryTools"=dword:00000000]
亨达通信
Blaster (2003年8月) ：“冲击波”这个利用微软RPC(远程 过程调用协议,对应于135、139、445等端口)漏洞进行传播的 蠕虫病毒至少攻击了全球80%的Windows用户，使他们的计算 机无法工作并反复重启，大量企业用户也未能幸免。该病毒还 引发了DOS攻击，使多个国家的互联网也受到相当影响。
亨达通信
5.1 计算机恶意代码的主要类型
按传播方式，恶意代码可以分成五类：病毒、木马、 蠕虫、间谍软件和移动代码。 (1)病毒 病毒一般都具有自我复制的功能，同时，它们还可以 把自己的副本分发到其他文件、程序或电脑中去。病毒一 般镶嵌在主机的程序中，当被感染文件执行操作的时候 （例如：打开一个文件，运行一个程序，点击邮件的附件 等），病毒就会自我繁殖。 由于设计者的目的不同，病毒也拥有不同的功能，一 些病毒只是用于恶作剧，而另一些则是以破坏为目的，还 有一些病毒表面上看是恶作剧病毒，但实际上隐含破坏功 能。
亨达通信
(5)移动代码
移动代码是能够从主机传输到客户端计算机上并执 行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马 的一部分被传送到客户计算机上的。另外，移动代码可 以利用系统的漏洞进行入侵，例如非法的数据访问和盗 取root帐号。
通常用于编写移动代码的工具包括Java applets、 ActiveX、JavaScript和VBScript。
亨达通信
(2)特洛伊木马 特洛伊木马从表面上看没有什么，但是实际上却隐 含着恶意意图。一类木马程序会通过覆盖系统中已经存 在的文件的方式存在于系统之中，同时它可以携带恶意 代码，还有一类木马会以一个软件的身份出现（例如： 一个可供下载的游戏），但它实际上是一个窃取密码的 工具。这种病毒通常不容易被发现，因为它一般是以一 个正常的应用的身份在系统中运行的。 特洛伊木马可以分为以下三个模式： ●通常潜伏在正常的程序应用中，附带执行独立的 恶意操作; ●通常潜伏在正常的程序应用中，但是会修改正常 的应用进行恶意操作; ●完全覆盖正常的程序应用，执行恶意操作 。
亨达通信
恶意代码的发展史
2004年到2006年，振荡波蠕虫、波特后门等恶意代码 利用电子邮件和系统漏洞对网络主机进行疯狂传播，给 国家和社会造成了巨大的经济损失。 目前，网络木马等恶意代码问题成为信息安全需要解 决的，迫在眉睫的、刻不容缓的安全问题。
亨达通信
本章主要内容
计算机恶意代码的主要类型 计算机恶意代码分析 常见恶意代码感染迹象与处理 计算机恶意代码防护 计算机恶意代码攻防应用实例 防病毒系统
亨达通信
（8） 硬盘读写时间明显增加(频繁读写硬盘) （9） 磁盘空间迅速减少 （10） 网络驱动器卷或共享目录无法调用。 （11） 基本内存发生变化。 （12） 陌生人发来的电子邮件 （13）自动链接到一些陌生的网站 （14）系统中出现一些异常的TCP、UDP端口连接，网 络流量异常。
亨达通信
5.3 常见恶意代码感染迹象与处理
保存为enable.reg后执行即可。
亨达通信
(4)IE浏览器被恶意修改 如修改默认主页、IE标题栏、IE右键、IE地址栏；或 是弹出广告对话框等，一般都可以通过修改注册表选项进 行恢复，具体见“IE浏览器被恶意修改及解决方案.doc”。 实际使用中多是通过超级兔子、Windows优化大师等 软件实现恢复。
(1)系统常见功能无法使用 如：无法进入桌面、IE浏览器无法正常使用、无法运行任 何可执行程序、驱动器被隐藏等。 “无法进入桌面”的解决：一般这种情况下系统“任务管 理器”的“运行” 功能还是可用的，可以从其他相同的操 作系统中拷贝explorer.exe(即资源管理器)到当前系统的系 统目录即可。 IE浏览器无法正常使用：常见原因是浏览器主文件 iexplore.exe文件被破坏，采用如上方法恢复即可，或是下 载傲游Maxthon 、搜狗sogou、firefox（火狐）、Opera等 浏览器暂时代用。
亨达通信
(4)间谍软件
“间谍软件”其实是一个灰色区域，所以并没有一 个明确的定义。然而，正如同名字所暗示的一样，它通 常被泛泛的定义为从计算机上搜集信息，并在未得到该 计算机用户许可（即用户不知情的情况下）时便将信息 传递到第三方的软件，包括监视击键，搜集机密信息 （密码、信用卡号、PIN码等），获取电子邮件地址，跟 踪浏览习惯等。间谍软件还有一个副产品，在其影响下 这些行为不可避免的影响网络性能，减慢系统速度，进 而影响整个商业进程。 通常这些信息会被传给广告商或其他相关人员。
亨达通信
5.4计算机恶意代码防护
近来新型恶意代码多是基于系统漏洞(包括浏览器漏洞)的， 因此主要结合系统安全加固、安全软件及其他安全技术进行 综合防护。 ①操作系统和应用程序要及时打补丁，更新为最新的版本。 ②正确使用防病毒软件，及时更新病毒库代码，同时配合木 马及病毒专杀工具。 ③使用防火墙及其他访问控制工具将恶意代码利用的服务和 端口进行封堵。 ④关闭恶意代码利用的客户端功能，如在IE浏览器中禁行未 标识安全或未签名的ActiveX插件执行脚本。 ⑤利用邮件病毒网关检测邮件恶意代码的传播。 ⑥通过部署入侵检测系统等实时监控网络内是否有恶意代码 攻击的异常现象。
亨达通信Biblioteka 亨达通信(2)被下载运行木马程序 ①浏览某些“被挂马”的网站时，会被IE下载木马程序并 自动运行。 预防方法：①安装最新系统补丁及最新版IE浏览器；②安 装防病毒程序等安全软件。 ②下载的各类软件中带木马。 预防方法：尽量到到正规大型网站下载，下载到本机后先 查杀病毒。
亨达通信
(3)注册表被锁定 解决办法：①下载超级兔子、Windows优化大师等软件进 行恢复；②注册表中：
亨达通信
(3)蠕虫 是一种可以自我复制的完全独立的程序，它可以通过信息 系统或计算机网络进行自身传播。蠕虫的自我复制不象其他的 病毒，它可以自动创建与它的功能完全相同的副本，并在没人 干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的 不安全性（例如：设置共享）来进行入侵的。它的自身特性可 以使它以及快的速度传输（在几秒中内从地球的一端传送到另 一端）。其中比较典型的有Blaster和SQL Slammer。 SQL Slammer (2003年1月) 该病毒利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞对其服务进行攻击，全球超 过50万台服务器被攻击。
移动代码另外两个比较常见的名称是“网页木马” 或“网页恶意代码”。
亨达通信
5.2 计算机恶意代码分析
如何发现系统中有恶意代码呢？虽然有许多反病毒工 具可以报警，但对于一些新出现的恶意代码，反病毒软件 也可能暂时无法识别，但我们可以通过一些事先的征兆加 以注意。 （1） 平时运行正常的计算机突然经常性无缘无故地死机 （2） 操作系统无法正常启动 （3） 运行速度明显变慢 （4） 正常运行的软件经常发生内存不足问题 （5） 无意中要求对U盘进行写操作 （6） 以往正常运行的应用程序经常发生死机或者非法错 误 （7） 系统文件的时间、日期、大小发生变化
2001 年，国信安办与公安部共同主办了我国首次计算 机病毒疫情网上调查工作。结果感染过计算机病毒的用 户高达63％，其中，感染三次以上的用户又占59％多， 网络安全存在大量隐患。 2001 年8月，“红色代码” Code Red蠕虫利用微软 Web 服务器IIS 4.0 或5.0 中Index服务的安全漏洞，攻破 目标机器，并通过自动扫描方式传播蠕虫，在互联网上 大规模泛滥。 2003 年1月，SQL SLammer 蠕虫导致互联网90％脆弱 主机受到感染。同年8月，“冲击波”Blaster蠕虫爆发， 8天内导致全球大量用户电脑受影响。
右键--编辑--开始菜单--启动项中的SOLA.VBS文档：
通过任务管理可以看到sleep.exe进程。
亨达通信
由该VBS文档可看出该病毒藏身于: C:\WINDOWS\Fonts\HIDESE~1\ 文件夹，从资源管理器进入Fonts文件夹，没有发现 HIDESE~1目录，因为该目录被设置为隐藏，从命令行进入 Fonts目录，运行dir /a后发现该文件夹。 使用cd 命令无法进入该文件夹，因为其使用了畸形文件夹名 称。 使用explorer hideself...\命令可查看该文件夹内容； 使用rmdir hideself...\ /s命令可删除该文件夹（也可通过工具 软件删除该畸形文件夹）。 手动清除该病毒的方法： ①清除msconfig中的启动项； ②删除开始菜单—启动中的启动项； ③删除C:\WINDOWS\Fonts\HIDESE~1目录。