水溶性咪唑啉厂家
免费服务热线

Free service

hotline

010-00000000
水溶性咪唑啉厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

瑞星报告称感染型病毒变得简单而又全能

发布时间:2020-02-11 06:52:56 阅读: 来源:水溶性咪唑啉厂家

5月31日消息瑞星今日发布了2011年1月至5月新增感染型病毒记录的病毒样本的感染行为分析报告,显示病毒的编译方式正在从传统的全部直接由低级汇编语言撰写逐渐转变为兼并使用低级和高级语言混合撰写的方式,病毒已经开始采用使用少量的汇编编写的引导部分去加载由高级语言的主体功能部分混合方式。

瑞星通过对嵌入C语言程序的Kuku家族和加载动态链接库的Loader家族分析来看,该感染型病毒在结构和分工上较传统的单一语言编写的感染型病毒显得更为明朗和清晰。由高级语言编写的主体部分可以更加容易地添加实现更多的功能,简化后的汇编部分的功能则更为单一,但随着编写难度上大幅度降低,促成了更多新型功能更强的病毒诞生。预计用高级语言编写病毒会在未来形成主流,数目上可能会成为仅次于木马的第二大恶意软件,在功能上未来可能会揉合更多后门和木马功能的特征,如下载运行、广告程序、盗取隐私、远程控制等。可以说,感染型病毒正向着结构简单但功能多元化的方向发展。

据了解,传统意义上的感染型病毒,通常的目标是可执行性文件(在Windows平台下,只有后缀为.exe的文件,用户双击后才可以运行),但就目前截获到的感染型病毒记录来看,出现了一批后缀为.dll的感染型病毒样本。这种后缀为.dll的文件是Windows下的动态库文件,通常情况下,此种文件是不能直接运行,而是需要通过应用程序的主执行文件动态加载使用的。此种后缀为.dll文件的宿主文件多为Windows操作系统的系统动态库。

这种感染型病毒最大特点是结构极其简单,并不是使用传统意义上通过用户点击感染的可执行程序获得执行的,而是骗取操作系统或者应用程序的信任。当被感染的机器上运行了某些正常程序需要加载系统的动态链接库来使用某种API函数的过程中,不幸将感染后的系统动态库加载,在这加载过程中,感染病毒的样本就会获得执行机会,并得以传播。由于此种病毒需要依靠其他可执行程序的运行来被动加载,所以一般此种病毒一般会存在于当前应用程序的所在目录或者直接存在于系统目录。

感染型病毒由于其自身的特性,需要附加到其他宿主程序上进行运行,并且为了躲避杀毒软件的查杀,通常感染型病毒都会将自身分割、变形或加密后,再将自身的一部分或者全部附加到宿主程序上。这种特殊的要求使得传统的病毒来使用汇编作为最为适合的编写语言,但是由于汇编语言在编写上十分抽象且易于出错,所以制作隐蔽性好且功能丰富的感染型病毒难度过高,并且制作周期十分漫长。而且往往这种精雕细琢的病毒出现后,虽然有着变形引擎的保护,但如果特征上存在着一些共性,就很容易被杀毒软件公司添加了杀毒方法后杀绝。而另一方面,病毒一旦写好,再做大幅度的修改来躲避查杀的成本又过大。所以在于杀毒厂商抗衡的过程中,这种病毒的制作者发现了这个问题,逐渐的引进了高级语言来协助快速地开发感染型病毒。目前最早发现使用高级语言编写的感染型病毒之一是Kuku,它使用了内嵌C++语言编写病毒主体,外层使用了汇编编写一个PE加载器来自己加载内嵌的病毒体。

目前,病毒正逐渐向着简单化的形式发展,这种趋势不仅在木马程序上有所体现,在感染型病毒的制作上也同样如此。新生的感染型病毒在逐渐缩小使用传统病毒制作语言进行编写的部分,逐步更加青睐于使用高级语言进行撰写主体的功能部分。最近的感染型样本中的gogo.a(下文简称为Logogo病毒)家族的感染型病毒,更是将高级语言Dephi引入到了病毒的制作之中。

高级语言编写的感染型病毒的出现,对于病毒制作者意味着可以快速、容易地开发出新的变体,或者用已有的病毒模块方便地相互组合。预计未来可能会出现比较通用的用于高级语言编写病毒的模块,如释放器和加载器等。高级语言出现的同时也会给病毒带来更加强大的功能,比如可以重用现有的后门程序的代码,还可以更容易地编写出更富有变化性的变形引擎,用于感染型病毒入口点的汇编代码的混合,给病毒的查杀带来更多难度。

除此之外,对于病毒分析人员来说,分析格式未公开的高级编译器编译出的代码要比用较低级编译语言的难度大得多。对于目前Microsoft公司的VisualBasic编译器编译出的PCode代码和吴涛公司的易语言编译器编译出的易语言二进制文件的分析都是难点。按照目前的感染型病毒发展趋势来看,使用更高级且格式未公开的编译语言制作感染型病毒的可能性都很高。从这个角度来说,高级语言感染型病毒的出现对病毒分析人员的能力提出了更高的要求。

感染型病毒可能包含有后门功能,如目前还活动的Virut变种病毒,含有一个小型的后门客户端,用于获取用户操作系统信息、系统运行情况以及下载运行指定应用程序等功能。在感染了此种病毒用户的机器上,病毒的操纵者可以远程连接到用户电脑,首先获取用户电脑的配置信息,再根据配置情况指定一个网络路径,要求客户机去自动下载某个攻击程序后运行攻击某些重要目标主机,同时病毒的操纵者还可以监视着客户机运行情况,在适当的情况下,再将下载的程序删除掉摸清痕迹,让侦查人员无从下手。除此之外virut病毒在设计的过程中就考虑到了不同操作系统的兼容问题,它同时包含两套功能等价代码,分别用于win98系列的系统和winnt内核系列的系统,这一设计让病毒的适用范围更加广阔,无论新老电脑都会受到影响。

据悉恶意程序都是出于某种特殊目的而产生的,病毒的制作者也会考虑到各种不同恶意程序的优处和不足,并使之相互弥补和融合。但总体上,不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的,功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。

注册公司要多少钱

注册公司工商

注册公司代办