對計算機惡意軟件分析及防范技術(shù)研究

韓桂杰

（中國石油化工股份有限公司遼寧沈陽石油分公司，遼寧 沈陽 110031）

1 惡意軟件的類型及特點

惡意軟件是一種秘密植入用戶系統(tǒng)借以盜取用戶機密信息，破壞用戶軟件和操作系統(tǒng)或是造成其它危害的一種網(wǎng)絡(luò)程序。對于絕大多數(shù)系統(tǒng)來說，惡意軟件已經(jīng)成為了最大的外部威脅，給企業(yè)和個人都帶來了巨大的損失。僅以惡意軟件中的間諜軟件為例，間諜軟件侵犯了用戶的隱私，這已經(jīng)成為企業(yè)用戶關(guān)注的焦點。盡管間諜軟件的出現(xiàn)已有時日，但是近幾年使用間諜軟件侵入系統(tǒng)監(jiān)視用戶行為變得更加猖獗。主要的惡意軟件有：

1.1 瀏覽器劫持

瀏覽器劫持是一種惡意程序，通過瀏覽器插件、BHO（瀏覽器輔助對象）、Winsock LSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導(dǎo)到商業(yè)網(wǎng)站。用戶在瀏覽網(wǎng)站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持后，用戶只要上網(wǎng)就會被強行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。

1.2 間諜軟件(Spyware)

間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。用戶的隱私數(shù)據(jù)和重要信息會被“后門程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠程操縱，組成龐大的“僵尸網(wǎng)絡(luò)”，這是目前網(wǎng)絡(luò)安全的重要隱患之一。例如：某些軟件會獲取用戶的軟硬件配置，并發(fā)送出去用于商業(yè)目的。

1.3 廣告軟件（Adware）

廣告軟件是指未經(jīng)用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形式牟取商業(yè)利益的程序。此類軟件往往會強制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。例如：用戶安裝了某下載軟件后，會一直彈出帶有廣告內(nèi)容的窗口，干擾正常使用。還有一些軟件安裝后，會在IE瀏覽器的工具欄位置添加與其功能不相干的廣告圖標(biāo)，普通用戶很難清除。

1.4 惡意共享軟件(malicious shareware)

惡意共享軟件是指某些共享軟件為了獲取利益，采用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟件體內(nèi)捆綁各類惡意插件，未經(jīng)允許即將其安裝到用戶機器里。使用“試用陷阱”強迫用戶進行注冊，否則可能會丟失個人資料等數(shù)據(jù)。軟件集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。例如：用戶安裝某款媒體播放軟件后，會被強迫安裝與播放功能毫不相干的軟件（搜索插件、下載軟件）而不給出明確提示；并且用戶卸載播放器軟件時不會自動卸載這些附加安裝的軟件。

1.5 行為記錄軟件（Track Ware）

行為記錄軟件是指未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個人行為的軟件。危及用戶隱私，可能被黑客利用來進行網(wǎng)絡(luò)詐騙。例如：一些軟件會在后臺記錄用戶訪問過的網(wǎng)站并加以分析，有的甚至?xí)l(fā)送給專門的商業(yè)公司或機構(gòu)，此類機構(gòu)會據(jù)此窺測用戶的愛好，并進行相應(yīng)的廣告推廣或商業(yè)活動。

1.6 行為記錄軟件（track ware）

行為記錄軟件是指未經(jīng)用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)慣等個人行為的軟件。行為記錄軟件危及用戶隱私，可能被黑客利用來進行網(wǎng)絡(luò)詐騙。

1.7 惡作劇程序

惡作劇程序通常都是執(zhí)行程序，本身沒有過激危害，但影響正常工作的一類程序。惡作劇程序改變系統(tǒng)中部分文件的編碼格式，運行沒有任何提示，支持文件改名,支持文件合并器。惡作劇程序如果不是刻意散播，通常沒有自我散播能力。

惡意軟件有兩大特點：一是編寫病毒化。不少惡意軟件為了防止被殺毒軟件或惡意軟件卸載工具發(fā)現(xiàn)，采用了病毒常用的Rootkit技術(shù)進行自我保護。Rootkit可以對自身及指定的文件進行隱藏或鎖定，防止被發(fā)現(xiàn)和刪除。更有一些惡意軟件，采用“自殺式”技術(shù)攻擊殺毒軟件。一旦發(fā)現(xiàn)用戶安裝或運行殺毒軟件，便運行惡意代碼，直接造成計算機死機、藍屏，讓用戶誤以為是殺毒軟件存在問題。

二是傳播病毒化。為了達到更好的傳播效果，并減小成本，不少中小廠商直接使用病毒進行“惡意推廣”。用戶的計算機感染病毒后，病毒會自動在后臺運行，下載并安裝惡意軟件。同時，惡意軟件安裝后也會去從互聯(lián)網(wǎng)自動下載運行病毒。大量的惡意軟件開始使用電腦病毒來隱藏自身、進行快速傳播、并對抗用戶的清除等，這些行為嚴(yán)重危害到用戶的信息安全和利益。

2 惡意軟件威脅的防范

2.1 部署企業(yè)反惡意軟件解決方案

隨著惡意軟件逐漸成為安全機制的核心問題，企業(yè)都應(yīng)該部署自己的防惡意軟件解決方案，并且由于大多數(shù)惡意軟件都會直接影響用戶電腦，因此安全重點應(yīng)該是企業(yè)中每臺用戶計算機。

此外，由于遠程訪問技術(shù)無處不在，遠程用戶也應(yīng)該部署相同的安全措施，最好就是為遠程用戶部署完成的端點安全解決方案，包括修補程序和防火墻管理以及防惡意軟件程序。最后，可以考慮部署入侵防御系統(tǒng)(IPS)來攔截和預(yù)防某些由遠程用戶導(dǎo)致的攻擊。

2.2 及時修復(fù)

由于安全領(lǐng)域技術(shù)日益變化，企業(yè)應(yīng)該隨時保持企業(yè)系統(tǒng)的更新狀態(tài)，例如可以專門安排一名工作人員關(guān)注CERT警告和漏洞標(biāo)簽以獲取任何更新信息，保持企業(yè)系統(tǒng)的及時修復(fù)可以在很大程度上降低安全風(fēng)險。當(dāng)然有時供應(yīng)商的修復(fù)補丁可能會比較晚，但及時修復(fù)補丁絕對是最安全的做法。

2.3 部署強大的身份驗證機制

很多企業(yè)攻擊都是依靠單一驗證而發(fā)動攻擊的，傳統(tǒng)釣魚式攻擊、鍵盤記錄攻擊以及上述Twittr攻擊都屬于這種形式。這些攻擊主要在于竊取個人信息(用戶名和密碼)，這些信息將用于登陸用戶的帳戶。部署額外的身份驗證機制可以抵御這些攻擊，例如通過要求用戶使用自身的東西(安全設(shè)備)或者指紋等來驗證身份。部署多因素身份驗證系統(tǒng)通常能夠抵御上述所有攻擊形式。

因為這些攻擊可以獲取信息，例如用戶安全問題的答案，額外的基于信息的身份驗證并不能提供額外的保護，數(shù)字證書也是同樣的道理，因為這些信息都很容易復(fù)制或者竊取，并不能抵御這些攻擊。

目前選擇身份驗證解決方案的最佳做法是，選擇一個帶外雙因素系統(tǒng)，因為現(xiàn)在的惡意軟件已經(jīng)能夠攻擊傳統(tǒng)的帶內(nèi)雙因素系統(tǒng)。另外，考慮添加生物認證因素，混合聲音、指紋或者其他三因素驗證系統(tǒng)。通過使用單獨渠道(例如電話網(wǎng)絡(luò))進行第二層驗證，還可以幫助避開安裝在用戶設(shè)備上的惡意軟件。

2.4 建立安全的防護體系意識

防范惡意軟件的第一步，就是要有安全的多層意識，一是數(shù)據(jù)層；二是應(yīng)用程序?qū)?；三是主機層；四是內(nèi)部網(wǎng)絡(luò)層；五是外圍網(wǎng)絡(luò)層；六是物理安全層；七是策略、過程和意識層。將安全的多層意識作用在計算機網(wǎng)絡(luò)體系中，我們就可以逐層進行分析、進行有效的防范。

計算機網(wǎng)絡(luò)信息安全是一項復(fù)雜的系統(tǒng)工程，防御網(wǎng)絡(luò)入侵與攻擊只是保障網(wǎng)絡(luò)信息安全的一部分。

3 結(jié)束語

隨著計算機網(wǎng)絡(luò)的快速應(yīng)用和普及，網(wǎng)絡(luò)信息安全的不確定因素也越來越多，我們必須綜合考慮各種安全因素，認真分析各種可能的入侵和攻擊形式，采取有效的技術(shù)措施，制定合理的網(wǎng)絡(luò)安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。

[1]蔡志平.計算機病毒檢測技術(shù)研究與實現(xiàn)[D].國防科學(xué)技術(shù)大學(xué)，2001.

[2]陶書志.網(wǎng)絡(luò)環(huán)境下惡意軟件問題研究[J].情報探索，2008（5）.