資訊安全 - 病毒篇

1. 資訊安全-病毒篇

2. 大綱 • 電腦病毒簡介與預防 • 惡意程式實作

3. 電腦病毒的定義 •早期定義： 程式有自我複製、感染、破壞等。 •後期定義： 未經使用者同意或造成不便的惡意程式。

4. 電腦病毒的動機 •表現自我能力 •惡作劇 •破壞資料、系統 •偷窺、控制電腦 •資料竊取、利益行為

5. 電腦病毒的生命週期 • •創造期 • -依駭客能力及動機原因，撰寫病毒。 • •孕育期 • -病毒檔案透過網路FTP、論壇、隨身裝置等， • •潛伏期 • -病毒不斷繁殖傳染，長期的潛伏感染範圍大。 • •發病期 • -遭到病毒感染的主機數目達到高峰，災情慘重。 • •衰退期 • -防毒廠商定義病毒特徵碼，系統商推出安全性修補後，病毒逐漸退出網路。

6. 電腦病毒的種類(開機型病毒) •寄生在MBR(主啟動磁區)，電腦開機時，在 作業系統還沒載入前就被載入記憶體中，容 易造成系統無法開啟，刪除硬碟本身資料。 例米開朗基羅，會摧毀硬碟資料。

7. 電腦病毒的種類(檔案型病毒) •病毒本體依附在執行檔(EXE、COM..等)上， 該執行檔被執行後即進行感染作業。例黑色 星期五，每逢13日星期五發作時執行的程式 會遭刪除。

8. 電腦病毒的種類(混合型病毒) •具有開機型及檔案型病毒的特性，不僅感 染執行檔，也會感染啟動磁區MBR。例 NATAS病毒，感染EXE及COM檔與C槽的 PATITION，系統啟動時有1/512機會要格式 化硬碟。

9. 電腦病毒的種類(巨集病毒) •具有寫巨集能力的軟體都有巨集病毒存在的 可能，如Word、Excel都相繼傳出災情。例 Taiwan No.1於每月13日開啟感染文件時， 會跟您玩心算遊戲，若答錯會連續開啟許多 文件，並繼續出下一題心算，循環下去。

10. 電腦病毒的種類(巨集病毒)

11. 網路蠕蟲 •自我複製能力，主動搜尋目標並自動攻擊的 系統漏洞攻擊碼，具有驚人的工作效率。例 疾風(Blaster)迫使電腦主機每隔幾分鐘重 新開機。

12. 電腦病毒與蠕蟲的影響 •消耗系統資源 -降低系統運作速度 -影響正常應用程式的運作 •破壞電腦檔案系統 -停止系統更新 -關閉防毒軟體或本機防火牆 -刪除檔案或系統 •消耗網路頻寬 •成為網路攻擊的跳板

13. 木馬/後門程式 •木馬：偽裝成一般程式以獲得使用者信任，而 後在受害者端電腦執行帳號密碼竊取、資料破 壞…等任務。 •後門：與外部攻擊者建立網路連線，接收傳 送命令，甚至可以讓入侵者直接操縱受害端 的資訊設備，例Botnet殭屍病毒。

14. 隨身碟病毒 •主要利用微軟作業系統人性化的善意，在 外部資料放入時如隨身碟，系統會自動執 行，有心人士將此情形寫成 Autorun.inf 檔，在檔案中寫入執行的病毒。 •磁碟區會有無法開啟現象，電腦運作速度 變慢

15. 隨身碟病毒-解毒方式 •執行kavo killer 5.4

16. 無法連上網頁 •無法上網卻可使用即時通及收發信件等行 為，主要中毒或在解毒過程中，winsock異 常原因。

17. 無法連上網頁-解決方式 •執行Winsockfix

18. 電腦病毒防範觀念 •安裝防毒軟體(不同時安裝二套以上)。 •安裝防火牆或啟動內建防火牆。 •關閉非必要之網路服務功能。 •電腦系統軟體不定期更新。

19. 電腦病毒防範觀念 •不開啟來路不明郵件內的網址及執行檔。 •不使用盜版軟體或來路不明的軟體。 •避免使用公共電腦用過的儲存媒體。 •瀏覽網頁時，不隨意同意加裝軟體。 •養成良好的備份習慣。

20. AV-Comparative所評鑑出來的歷年冠軍 • 2013 G DATA 2013 (原AntiViruskit-AVK) • 2012 BitDefender（比特梵德） • 2011 Kaspersky（卡巴斯基） • 2010 F-Secure（芬安全） • 2009 Symantec（賽門鐵克） • 2008 AVIRA（小紅傘）

21. 2013年AV-Comparative防毒軟體排行 • 第一名 G DATA 2013 第六名 Fortinet,Vipre • 第二名 AVIRA 第七名 AVG, Trend Micro • 第三名 F-Secure 第八名 Sophos, McAfee • 第四名 Bitdefender 第九名 Avast • 第五名 Kaspersky 第十名 ESET

22. IOS 與 Android

23. Iphone首隻警告性病毒 • 2009年由澳洲21歲的學生所撰寫，名為「艾克」，會將「越獄」的手機，螢幕背景換成1980年代英國流行歌手Rick Astleyd的照片。

24. Android 木馬病毒 • 2010年第一支手機木馬出現，趨勢科技發現這隻TROJ_DROIDSMS.A木馬會偽裝成WMP的Play圖示，並在背景偷偷傳送簡訊到指定號碼！

25. Android 最新最難搞的木馬 • 程式：Android.Obad.a • 感染方式：WIFI或藍芽，感染時木馬 • 程式會鎖定螢幕約10秒。 • 後果：竊取手機資訊，擁有設備管理員權限，遠端操控手機，具備「隱形功 能」防止被移除。 • 災情：2013-06-10 前只有0.15%比例感染。

26. 2013年AV TEST 行動裝置安全排名 • 第一名 Bitdefender: Mobile Security 1.2 • 第二名 Kaspersky: Mobile Security 10.4 • 第三名 Trend Micro: Mobile Security 3.0 • 第四名 Avast: Mobile Security 2.0 • 第五名 Kingsoft: Mobile Security 2.2 • 第六名 ESET: Mobile Security 1.1 • 第七名 Comodo: Mobile Security 2.0

27. 行動裝置防範觀念 • •盡量在play商店或App Store中安裝APP • •不下載盜版破解APP或來路不明的APP • •不越獄(JB)，不刷機(ROOT) • •安裝防毒軟體 • •不定期更新系統及軟體

28. 惡意程式實作流程 撰寫 合併偽裝 載入啟動

29. 惡意程式撰寫(1) •自動關機批次檔(shutdown-start.bat) start shutdown -s -t 1000 #s關機，t等待關機秒數 •自動關機解除批次檔(shutdown-stop.bat) start shutdown -a

30. 惡意程式撰寫(2) •自動關機及網頁多重開啟批次檔(start.bat) :A #標號 start shutdown -s –t 1000 #s關機，t等待關機秒數 start www.hust.edu.tw #網頁開啟 Goto A #執行標號迴圈

31. 合併偽裝工具

32. 惡意程式載入啟動中 •自動載入批次檔至啟動中 xcopy “來源檔案” ”開始程式集內啟動路徑” /Y (相同檔名直接覆蓋)

33. 系統啟動設定

34. 參考資料 •趨勢科技 •CTIMES科技新聞 •iThome科技新聞 •中山工商 •商智謀略 •F2KO軟體官網