本帖最后由 hfut 于 2021-8-15 08:56 编辑
一、 流氓病毒界定流氓病毒是一种全新的病毒类型,病毒软件合法化、合法软件病毒化的恶果。 具有以下特征中的一种或多种: 1. 违背用户主观意愿的安装行为后台直接捆绑安装且无提示; 通过诱骗安装; 通过恫吓安装; 虽给出安装与否的选项,但选项在视觉上不明显,选项在语义不明确、存在诱导,选项不可选,或超时后自动安装; 通过第三方渠道强制推广安装,然后把责任推卸给第三方; 冒充其他软件或模块安装; 产品卸载后仍保留部分功能模块,继续驻留式安装; 卸载时以复杂选项、或视觉干扰、或语义诱导用户,保留安装或进一步安装其他产品或模块; 通过软文及其他洗脑式宣传手段诱骗用户安装; 通过主站与其他颁发站点分别发布版本号相同但功能不同的程序,操纵用户端行为并逃避追责; 逼迫用户安装特定的版本。 2. 产品卸载困难不在系统添加删除程序组件中提供卸载快捷方式; 不提供卸载程序和方法; 卸载时不完整卸载整个产品,保留服务等程序驻留; 卸载后预留下次安装的后门代码; 卸载时要求用户进行公式计算、图案识别等卸载无关行为以增加卸载难度; 卸载时设置复杂选项诱导用户以增加卸载难度; 卸载时将非卸载选项设置为醒目状态诱导用户进行非卸载操作; 卸载时故意大幅度延长时间,逼近用户丧失耐心后关闭卸载; 卸载时撒泼打滚要求用户不要卸载; 卸载时弹出诱导性网页以诱导用户再次点击下载; 替换或篡改系统文件,导致一旦卸载则系统即崩溃; 后台存在多个非必须的驻留进程并相互守护。 3. 篡改或锁定浏览器主页、自主弹出特定页面直接修改注册表以篡改浏览器原有主页; 篡改用户各种浏览器快捷方式的路径后缀以强制打开特定主页; 直接植入或替换用户浏览器的快捷方式以打开特定主页; 通过驻留的后台进程并按一定逻辑打开特定页面; 通过注入系统进程并按一定逻辑打开特定页面; 通过向系统添加计划任务来定时打开特定页面; 通过脚本执行打开特定页面; 弹出窗口关闭困难; 用户关闭弹窗时会打开其他页面。 4. 推广内容违反公序良俗内容低俗甚至涉及黄赌毒,或打黄赌毒擦边球; 内容信息违反科学常识; 内容存在价值观诱导; 弹窗干扰用户正常操作。 5. 恶意消耗用户资源利用驻留程序或代码做分布式计算(挖矿等); 利用程序自动访问网络特定目标,生成大量推广点击数或推广流量; 通过多种安装方式,向用户系统强制或诱骗方式植入多个程序,以获取装机量收益; 擅自植入驱动,擅自添加注册表自动启动项; 擅自篡改用户环境的文件关联,指向自己的产品; 打着“加速”的旗号,掩盖感染用户系统后导致系统速度下降的事实。
6. 侵犯用户隐私打着一些似乎“实用”功能的旗号驻留内存; 非法获取用户隐私信息; 借口安全扫描,窥探用户信息; 非法获取用户收藏夹、搜索关键字等信息; 非法获取用户词频信息用于大数据分析; 收集用户点击习惯、浏览习惯; 收集用户搜索关键字; 获取用户系统中软硬件信息; 有多媒体外设的系统中,擅自开启麦克风、摄像头记录用户信息; 打着修补安全漏洞名义,故意保留和开放某些漏洞,进而采取信息窃取行动。 二、 流氓病毒样本提取1. 搜索软件模拟普通非计算机专业人员的各种使用操作,使用各种搜索引擎,搜索一些通用的软件。 2. 下载软件使用常用的各种手段下载搜索到的软件。 3. 安装软件按照常规操作,安装各种下载到的软件。 4. 监测安装行为使用AdvancedRegistry Tracer,对安装前后的系统注册表生成全面的快照;安装运行结束后,比较这些快照,得到注册表篡改记录 安装前后分别生成系统文件列表,然后比较前后文件列表,得到文件植入和篡改记录。 5. 监测自启行为分析注册表自动加载相关键值; 观察自动启动目录; 分析常用文件关联的篡改情况; 分析系统计划任务列表。 6. 监测运行及联网行为对前述下载到的软件进行安装,监测安装过程中安装程序的网络访问行为,得到在线安装其他程序的上游地址; 运行安装后的软件,不干预状态下持续运行24小时,同时监听其联网行为,得到其联网行为的相关地址;
持续运行24小时后,比较前后的文件列表,以监测其自动植入其他程序和文件的行为。
通过上述方法,可捕获大量流氓病毒的上游地址。 这些地址包括下载地址、弹窗内容地址等。 可以采用以下格式,一条地址一行,把它解析到本地环路地址,保存到c:\windpws\system32\driveers\etx\hosts,从而让它找不到自己的老窝,不能下载、不能弹出有效内容,实现根治的效果。 HOSTS文件格式示例: ……………… 对于拥有自己的DNS设备的单位用户,可以把上述地址植入DNS设备,对这些地址做强制解析,可实现企业全网的有效防护。 本办法不需要借助杀软(国产杀软大多已经演化成彻头彻尾的病毒),不需要程序,对用户完全透明。 目前已经捕获地址1900条,使用到HOSTS后效果极佳,各种病毒下载器完全失效。 如果病毒改用IP地址,那么我们同样可监测并捕获它的地址,纳入防火墙屏蔽之。
已经捕获的地址不方便公开分享(你懂的),病毒软件合法化的当下,用户只能自求多福。 如果你也对病毒安全感兴趣,可以私信,在提供你捕获的地址的前提下,分享已经捕获的地址给你。白伸手的恕不回复。
|