恶意软件 用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。网络用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其它程序时,往往会连合恶意程序一并带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时,用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间,用户网上的所有敏感资料都有可能被盗走,比如银行帐户信息,信用卡密码等。
曾经有一款仿冒安全工具的恶意软件My Security Engine在通过网页浏览传播,这些挂有该恶意软件页面出现在与2010年南非世界杯相关的网页搜索结果的顶部。如图:
从逻辑上讲黑客们正在利用2010年南非世界杯这一全球性事件。最初几天,我们注意到,很多的恶意链接使用罗兰加罗斯网球决赛作为链接,并以‘纳达尔’或者‘NBA总决赛’作为诱饵。专家建议使用搜索引擎来搜索关于世界杯消息的用户,确认网站可靠性并小心点击链接提供的搜索引擎。这样的恶意行为在之后的的几天内增加。
这些攻击行为被称为Black Hat SEO(搜索引擎攻击),该技术几年前开始被黑客使用。从那时起,他们已经变得越来越老练,设法让流氓网站在搜索结果列表的顶部位置。这个方法非常简单:当用户利用搜索引擎搜索类似于这样大型赛事活动信息时,搜索结果返回排名最高的往往是带有恶意软件的流氓网页。例如:当用户点击链接,他们将被告知下载的一个文件,但是如果他们这样做了将会不经意地在他们的电脑上安装一个假冒的反病毒程序。
我们建议用户,当通过搜索引擎访问网页时,采取一些必要措施确保来源可靠并拒绝所有的非可信文件下载,否则用户会被恶意软件感染。技术总监Luis Corrons说,“最好的建议是用你的收藏夹中的站点来浏览网页。拒绝陌生人的任何请求并且不要打开任何陌生来源的文件。同样,迄今为止最明智的做法是确保您的电脑上有适当的杀毒软件保护。”
恶意软件的危害性
恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-based detection,也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
恶意软件8大特征
1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
恶意软件危害不浅,请广大网友谨慎小心,多多学习防御知识,以防造成不必要的损失。
【编辑推荐】
IE主页被UCUC篡改了怎么办?不用360
有两种方法:
第一种(修改注册表):打开屏幕左下角的开始,里面有个“运行”,打开之后在弹出的对话框里写“regedit”然后点确定,这时会打开注册表编辑器。打开HKEY_CURRENT_USER——Software——Microsoft——Internet Explorer之后点击Main,这时右边会出现很多项,找到名字叫Start Page的项:,然后右键——修改,在数值数据里写上预设主页的网址就行了(如果没有的话输入“about:blank”是空白页):
第二种(利用第三方软件:“金山急救箱”,下载网址:)(个人推荐,而且省时间):打开金山急救箱之后,点“立即扫描”(如果电脑有其他问题可以勾选“深度扫描:),扫描过后,会显示IE主页有异常,在下面选择好预设主页之后点“立即处理”就好了。
机器狗病毒特性是什么??
病毒名称:“AV终结者”病毒与熊猫烧香过于“张扬”的特点不同,“AV终结者”的攻击手段更为隐蔽,用户如果感染了该病毒,所有杀毒软件将被禁用;想用搜索引擎去查找一些解决办法,输入“杀毒”字样,浏览器窗口遂被关掉;安全模式也会遭破坏,甚至格式化系统盘重装后很容易被再次感染;更为严重的是,该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序,给用户的网络资产带来严峻威胁。 附“AV终结者”病毒八大病毒特征:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。 即使手动删除了病毒程序,下次启动这些软件时,还会报错。 3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件,通过自动播放功能进行传播。 这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。
什么是挂马网页
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里 网页挂马工作原理作为网页挂马的散布者,其目的是将木马下载到用户本地,并进一步执行,当木马获得执行之后,就意味着会有更多的木马被下载,进一步被执行,进入一个恶性的循环,从而使用户的电脑遭到攻击和控制。 为达到目的首先要将木马下载到本地。 面!再加代码使得木马在打开网页是运行! 网页挂马常见的方式1.将木马伪装为页面元素。 木马则会被浏览器自动下载到本地。 2.利用脚本运行的漏洞下载木马 3.利用脚本运行的漏洞释放隐含在网页脚本中的木马 4.将木马伪装为缺失的组件,或和缺失的组件捆绑在一起(例如:flash播放插件)。 这样既达到了下载的目的,下载的组件又会被浏览器自动执行。 5.通过脚本运行调用某些com组件,利用其漏洞下载木马。 6.在渲染页面内容的过程中利用格式溢出释放木马(例如:ani格式溢出漏洞) 7.在渲染页面内容的过程中利用格式溢出下载木马(例如:flash9.0.115的播放漏洞) 在完成下载之后,执行木马的方式1.利用页面元素渲染过程中的格式溢出执行shellcode进一步执行下载的木马 2.利用脚本运行的漏洞执行木马 3.伪装成缺失组件的安装包被浏览器自动执行 4.通过脚本调用com组件利用其漏洞执行木马。 5.利用页面元素渲染过程中的格式溢出直接执行木马。 6.利用com组件与外部其他程序通讯,通过其他程序启动木马(例如:realplayer10.5存在的播放列表溢出漏洞) 在与网马斗争的过程中,为了躲避杀毒软件的检测,一些网马还具有了以下行为: 1.修改系统时间,使杀毒软件失效 2.摘除杀毒软件的HOOK挂钩,使杀毒软件检测失效 3.修改杀毒软件病毒库,使之检测不到恶意代码。 4.通过溢出漏洞不直接执行恶意代码,而是执行一段调用脚本,以躲避杀毒软件对父进程的检测。 网页挂马的检测1.特征匹配。 将网页挂马的脚本按脚本病毒处理进行检测。 但是网页脚本变形方、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。 2.主动防御。 当浏览器要做出某些动作时,做出提示,例如:下载了某插件的安装包,会提示是否运行,比如浏览器创建一个暴风影音播放器时,提示是否允许运行。 在多数情况下用户都会点击是,网页木马会因此得到执行。 3.检查父进程是否为浏览器。 这种方法可以很容易的被躲过且会对很多插件造成误报。 如何防止网页被挂马(1):对网友开放上传附件功能的网站一定要进行身份认证,并只允许信任的人使用上传程序。 (2):保证你所使用的程序及时的更新。 (3):不要在前台网页上加注后台管理程序登陆页面的链接。 (4):要时常备份数据库等重要文件,但不要把备份数据库放在程序默认的备份目录下。 (5):管理员的用户名和密码要有一定复杂性,不能过于简单。 (6):IIS中禁止写入和目录禁止执行的功能,二项功能组合,可以有效的防止ASP木马。 (7):可以在服务器、虚拟主机控制面板,设置执行权限选项中,直接将有上传权限的目录,取消ASP的运行权限。 (8):创建一个上传到网站根目录。 Robots能够有效的防范利用搜索引擎窃取信息的骇客。 点此查看使用方法。 对于网页被挂马 可以找下专业安全人士 建议找(Sine安全)及时的处理会避免因为网页被挂马造成的危害。
发表评论