论文部分内容阅读
互联网高速发展,网络病毒也随之壮大。瑞星公司通过对2011年1月至5月期间新增感染型病毒记录的病毒样本的感染行为分析,发现病毒正在变得既简单又全能。病毒的编译方式正在从传统的全部直接由低级汇编语言撰写逐渐转变为兼并使用低级和高级语言混合撰写的方式。
新病毒结构简单功能多元
瑞星对2011年1月至5月期间新增感染型病毒记录的病毒样本的感染行为分析情况来看,病毒的编译方式正在从传统的全部直接由低级汇编语言撰写逐渐转变为兼并使用低级和高级语言混合撰写的方式,病毒已经开始采用使用少量的汇编编写的引导部分去加载由高级语言的主体功能部分这种混合方式。
通过对嵌入C语言程序的Kuku家族和加载动态链接库的Loader家族分析来看,这种新型的感染型病毒在结构和分工上较传统的单一语言编写的感染型病毒显得更为明朗和清晰。
由高级语言编写的主体部分可以更加容易地添加实现更多的功能,简化后的汇编部分的功能则更为单一,但随着编写难度上大幅度降低,促成了更多新型功能更强的病毒诞生。预计用高级语言编写病毒会在未来形成主流,数目上可能会成为仅次于木马的第二大恶意软件,在功能上未来可能会揉合更多后门和木马功能的特征,如下载运行、广告程序、盗取隐私、远程控制等。可以说,感染型病毒正向着结构简单但功能多元化的方向发展。
高级语言编写病毒开始流行
感染型病毒由于其自身的特性,需要附加到其他宿主程序上进行运行,并且为了躲避杀毒软件的查杀,通常感染型病毒都会将自身分割、变形或加密后,再将自身的一部分或者全部附加到宿主程序上。
这种特殊的要求使得传统的病毒来使用汇编作为最为适合的编写语言,但是由于汇编语言在编写上十分抽象且易于出错,所以制作隐蔽性好且功能丰富的感染型病毒难度过高,并且制作周期十分漫长。而且往往这种精雕细琢的病毒出现后,虽然有着变形引擎的保护,但如果特征上存在着一些共性,就很容易被杀毒软件公司添加了杀毒方法后杀绝。
而另一方面,病毒一旦写好,再做大幅度的修改来躲避查杀的成本又过大。所以在于杀毒厂商抗衡的过程中,这种病毒的制作者发现了这个问题,逐渐的引进了高级语言来协助快速地开发感染型病毒。目前最早发现使用高级语言编写的感染型病毒之一是Kuku,它使用了内嵌C++语言编写病毒主体,外层使用了汇编编写一个PE加载器来自己加载内嵌的病毒体。
潜在威胁无所不在
通常提到感染型病毒,用户可能更关心它的传播途径是什么、传播速度有多快等,但感染型病毒的目的不仅仅是为了传播自身到更广的范围,同时也有出于达到某种目的来编写的。从病毒的发展史来看,从最初的为了炫耀程序员的能力,到达某种政治目标,到最近出现的攻击伊朗核电站的国家病毒。病毒一直都是为了实现某种目的,而感染型病毒借助着自身的传染特性,可以将带有特定功能的病毒渗透到系统的各个角落,并等待时机到来后发起行动。
感染型病毒可能包含有后门功能,如目前还活动的Virut变种病毒,含有一个小型的后门客户端,用于获取用户操作系统信息、系统运行情况以及下载运行指定应用程序等功能。
在感染了此种病毒用户的机器上,病毒的操纵者可以远程连接到用户电脑,首先获取用户电脑的配置信息,再根据配置情况指定一个网络路径,要求客户机去自动下载某个攻击程序后运行攻击某些重要目标主机,同时病毒的操纵者还可以监视着客户机运行情况,在适当的情况下,再将下载的程序删除掉摸清痕迹,让侦查人员无从下手。
除此之外virut病毒在设计的过程中就考虑到了不同操作系统的兼容问题,它同时包含两套功能等价代码,分别用于win98系列的系统和winnt内核系列的系统,这一设计让病毒的适用范围更加广阔,无论新老电脑都会受到影响。
木马与病毒趋于合二为一
木马和病毒经常被混淆,传统意义上木马和病毒的区分主要在于他们的特征,木马善于潜伏并完成某种预先设定的功能,而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看,感染型病毒逐渐采纳了木马程序的编写手段和功能,而木马程序的传播途径上又存在着与感染型病毒趋近的趋势,它们之间的距离正在逐步缩小。
恶意程序都是出于某种特殊目的而产生的,病毒的制作者也会考虑到各种不同恶意程序的优处和不足,并使之相互弥补和融合。但总体上,不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。
新病毒结构简单功能多元
瑞星对2011年1月至5月期间新增感染型病毒记录的病毒样本的感染行为分析情况来看,病毒的编译方式正在从传统的全部直接由低级汇编语言撰写逐渐转变为兼并使用低级和高级语言混合撰写的方式,病毒已经开始采用使用少量的汇编编写的引导部分去加载由高级语言的主体功能部分这种混合方式。
通过对嵌入C语言程序的Kuku家族和加载动态链接库的Loader家族分析来看,这种新型的感染型病毒在结构和分工上较传统的单一语言编写的感染型病毒显得更为明朗和清晰。
由高级语言编写的主体部分可以更加容易地添加实现更多的功能,简化后的汇编部分的功能则更为单一,但随着编写难度上大幅度降低,促成了更多新型功能更强的病毒诞生。预计用高级语言编写病毒会在未来形成主流,数目上可能会成为仅次于木马的第二大恶意软件,在功能上未来可能会揉合更多后门和木马功能的特征,如下载运行、广告程序、盗取隐私、远程控制等。可以说,感染型病毒正向着结构简单但功能多元化的方向发展。
高级语言编写病毒开始流行
感染型病毒由于其自身的特性,需要附加到其他宿主程序上进行运行,并且为了躲避杀毒软件的查杀,通常感染型病毒都会将自身分割、变形或加密后,再将自身的一部分或者全部附加到宿主程序上。
这种特殊的要求使得传统的病毒来使用汇编作为最为适合的编写语言,但是由于汇编语言在编写上十分抽象且易于出错,所以制作隐蔽性好且功能丰富的感染型病毒难度过高,并且制作周期十分漫长。而且往往这种精雕细琢的病毒出现后,虽然有着变形引擎的保护,但如果特征上存在着一些共性,就很容易被杀毒软件公司添加了杀毒方法后杀绝。
而另一方面,病毒一旦写好,再做大幅度的修改来躲避查杀的成本又过大。所以在于杀毒厂商抗衡的过程中,这种病毒的制作者发现了这个问题,逐渐的引进了高级语言来协助快速地开发感染型病毒。目前最早发现使用高级语言编写的感染型病毒之一是Kuku,它使用了内嵌C++语言编写病毒主体,外层使用了汇编编写一个PE加载器来自己加载内嵌的病毒体。
潜在威胁无所不在
通常提到感染型病毒,用户可能更关心它的传播途径是什么、传播速度有多快等,但感染型病毒的目的不仅仅是为了传播自身到更广的范围,同时也有出于达到某种目的来编写的。从病毒的发展史来看,从最初的为了炫耀程序员的能力,到达某种政治目标,到最近出现的攻击伊朗核电站的国家病毒。病毒一直都是为了实现某种目的,而感染型病毒借助着自身的传染特性,可以将带有特定功能的病毒渗透到系统的各个角落,并等待时机到来后发起行动。
感染型病毒可能包含有后门功能,如目前还活动的Virut变种病毒,含有一个小型的后门客户端,用于获取用户操作系统信息、系统运行情况以及下载运行指定应用程序等功能。
在感染了此种病毒用户的机器上,病毒的操纵者可以远程连接到用户电脑,首先获取用户电脑的配置信息,再根据配置情况指定一个网络路径,要求客户机去自动下载某个攻击程序后运行攻击某些重要目标主机,同时病毒的操纵者还可以监视着客户机运行情况,在适当的情况下,再将下载的程序删除掉摸清痕迹,让侦查人员无从下手。
除此之外virut病毒在设计的过程中就考虑到了不同操作系统的兼容问题,它同时包含两套功能等价代码,分别用于win98系列的系统和winnt内核系列的系统,这一设计让病毒的适用范围更加广阔,无论新老电脑都会受到影响。
木马与病毒趋于合二为一
木马和病毒经常被混淆,传统意义上木马和病毒的区分主要在于他们的特征,木马善于潜伏并完成某种预先设定的功能,而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看,感染型病毒逐渐采纳了木马程序的编写手段和功能,而木马程序的传播途径上又存在着与感染型病毒趋近的趋势,它们之间的距离正在逐步缩小。
恶意程序都是出于某种特殊目的而产生的,病毒的制作者也会考虑到各种不同恶意程序的优处和不足,并使之相互弥补和融合。但总体上,不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。