(2)利用混合传播模式。“混合病毒威胁”和“收敛威胁”已成为新的病毒术语,红色代码利用的就是IIS的漏洞,它们的特点都是利用软件漏洞,以病毒的模式从引导区方式发展为多种类病毒方式进行攻击。
(3)跨平台攻击。跨平台攻击已开始出现,有些恶意代码对所有的平台都能够起作用,例如,代码能兼容Windows、UNIX及Linux平台并进行攻击。
(4)使用销售技术。另外一个趋势是更多的恶意代码使用销售技术,其目的不仅在于利用受害者的邮箱实现最大数量的信息转发,而且要引起受害者的兴趣,让受害者进一步对恶意代码进行下载等操作,并且使用网络探测和电子邮件脚本嵌入等技术来达到目的。
(5)服务器和客户机同样受到攻击。对于现今的恶意代码,服务器和客户机的区别越来越模糊,客户计算机和服务器如果运行同样的应用程序,也将会受到恶意代码的攻击。
(6)Windows操作系统被攻击得最频繁。WindoWS操作系统更容易遭受恶意代码的攻击,它也是病毒攻击最集中的平台,病毒总是选择配置不好的网络共享和服务作为进入点。
(7)恶意代码类型变化。恶意代码利用MIME边界和UUEncode头的处理薄弱的缺陷,将恶意代码伪装成安全的数据类型,欺骗用户执行代码。
恶意代码攻击机制
恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为6个部分。
(1)侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子邮件;从光盘或U盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
(2)维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
(3)隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
(4)潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
(5)破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失,泄密,破坏系统完整性等。
(6)重复(1)至(5)对新的目标实施攻击过程。
恶意代码的命名规则
由于恶意代码的迅猛发展,使用统一的公用名称命名各种恶意代码,已经成为当前各个反病毒机构的迫切任务。目前,各个反病毒机构仍然试着通过尽量使用统一的公用名来减少混乱。在各个反病毒机构内部都有一个类似的命名机制,一般格式为:..
(1)病毒前缀
病毒前缀是指一个病毒的种类,它是用来区别病毒的种族分类的。不同种类的病毒,其前缀也是不同的。比如常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等。常见的病毒前缀有:
①系统病毒:系统病毒的前缀为Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows系统的.exe和.dll文件,并通过这些文件进行传播,如CIH病毒。
②蠕虫病毒:前缀为Worm,如冲击波Worm.Blaster。
③木马:前缀为Trojan,如Trojan.LMir.PSW.60。
④脚本病毒:前缀为Script,脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播脚本属于恶意代码吗,如红色代码Script.Redlof,或表示使用何种脚本编写的,如欢乐时光VBS.Happytime。
⑤宏病毒:宏病毒是一种特俗的脚本病毒,第一前缀为Macro,第二前缀为Word、Word97、Excel、Excel97等,代表能够感染的OFFICE版本,如著名的美丽莎Macro.Melissa。
⑥后门:后门病毒的前缀为Backdoor,该类病毒的公有特性是通过网络传播,给系统开后门,如IRC后门Backdoor.IRCBot。
