計算機病毒解析與防范技術研究(四)

容易感染 - 脆弱 - 易受攻擊 - 也就是SIS模型。 網絡里面的個體主要包括兩類形態，其中之一為感染狀態（I），另一種則為易感狀態（S）。 如果病毒攻擊節點并對其感染，這些節點將變成受感染之后的節點。一旦這些節點恢復正常，有可能因此成為很容易受到感染的節點。這次由于這些節點在恢復之后可能已經被新病毒感染，因此病毒能夠在通信組里面不停長時間不停傳播。具體的傳播模型可見圖2.1。

圖2.1 SIS病毒傳播模型

SIS模型可用微分方程描述如下：

  （2.1）

其中的表示病毒的感染率，然后該增加表明易感者每單位時間轉換為感染者，代表病毒綜合治愈率，指的是單位時間里面對被感染者治愈的總數。N代表網絡里面所有的節點數量，則代表病剛剛傳播時主機被感染的數量。不過SIS模型并未將容易受到感染節點利用反病毒手段進行免疫的相關情況考慮在內。

2.3.2 SIR模型

SIR模型為簡稱，其全稱則為Susceptible-Infected-Removed模型。在網絡里面節點主要包括下面這些狀態：（1）易感狀態（S），處于該狀態的節點目前并沒有被病毒感染，當然后續有很大幾率被感染; （2）處于該狀態的節點（I）已經被病毒感染，而且其他節點也有被感染的幾率。（3）免疫狀態（R），這類節點對病毒具備一定的抵抗性，因此感染同種類型病毒的幾率基本不存在。事實上此類狀態下的主機基本上已擺脫病毒傳播途徑，因此在有的論文里面這種狀態也被叫做除去狀態。

圖2.2 SIR病毒傳播模型

該模型的狀態方程如下：

 （2.2）

這里為感染率，為病毒清除率，N為網絡中總的節點數。

SIS以及SIR模型的基礎都為生物模型。不過與生物病毒相比，計算機病毒都有自身的獨特性質，使用計算機病毒的模型存在許多不一致之處。 例如，SIS模型和SIR模型認為封閉組中人員的狀態轉換過程僅與常數相關，并未考慮外部因素對病毒傳播的影響，例如： 因此，除了這兩種生物模型之外，還提出了幾種改進的模型。

2.3.3SEIR模型

SEIR模型為簡稱，其全稱則為Susceptible-Exposed-Infected-Removed模型。這種模型對運作基礎為SIR模型，不過相對來說增加了全新的潛伏狀態，主要對擁有病毒代碼但是還沒有表現出病毒特性的個體進行描述。其他狀態基本上類似于SIR。病毒在傳播過程中感染會出現延遲，換句話說，當個體接收到病毒傳播的惡意代碼之后不會馬上被感染，此時病都會在主機里面進行潛伏，等待時機被徹底激活。這候的感染個體可能不會呈現出被感染跡象，在該模型看來，感染節點恢復之后可能具備免疫能力，當然也有一定幾率變成容易受到感染的節點。

圖2.3 SEIR病毒傳播模型

SEIR模型事實上屬于SIR以及SIS兩大模型的組合體，這種模型可以借助對結節感染殺滅病毒而得到一定的免疫力，同時還能夠通過結節對其他病毒進行再次感染，在此基礎上就會變成再次感染的節點。在下文中所有病毒都被視為一組。SIR模型相比，SEIR模型相比來說占據更大優勢，主要在于這種模型對病毒復制環節進行嚴密核查。 通過上面狀態進行轉換之后的SEIR模型具體如下：

（2.3）

2.4案例分析

2.4.1感染式蠕蟲

例如，刪除受感染的蠕蟲：

受感染的示例在主機末尾添加相應模塊對病毒代碼進行保存，同時對病毒代碼開啟的位置進行修改。

行為分析：

本地行為：對本地執行文件進行感染，并非系統里面受到感染之后的文件

需要注意的是，％System32％屬于一種可變的路徑，病毒主要借助系統查詢對System文件夾的具體位置進行確認。就Windows 2000 / NT而言，該系統里面對應的安裝路徑默認位置為C：\ Winnt \ System32。 windows95 / 98 / me中的默認安裝路徑是C：\ Windows \ System。 win 7中的默認安裝路徑是C：\ Windows \ System32。

％Temp％= C：\ Documents and Settings \ AAAAA \ Local Settings \ Temp代表目前用戶TEMP對應的緩存變量

％Windir％\ WINDODWS運行目錄

％DriveLetter％\ logical drive root directory

％ProgramFiles％\ system程序默認安裝目錄

％HomeDrive％= C：\目前系統操作對應的分區

％Documents and Settings％\ current user documentation根目錄

清算計劃：

在最后一行（.ani）對應的偏移量0x04h里面，將主機最初進入點EntryOfPoint進行刪除

將文件里面最后內容（.ani）進行刪除

將文件里面最后內容節表（.ani）進行刪除

針對SizeOfImage進行修復

校正部分的數量=原始部分的數量-1

2.4.2勒索病毒

2018年8月，全世界不少區域都遭受到GlobeImposter勒索軟件的大范圍攻擊，攻擊的過程中主要對象為遠程桌面服務器。 在打破邊防后進行定性分析后，黑客工具被用來滲透內部網絡。密碼工具相對管理員密碼進行檢索，以篩選出質量較高的服務器，通過手動的模式對勒索軟件進行開啟，其中機密性文件全部加密。病毒在感染過程中相關功能除了加密文件對應的擴展名RESERVE，還包括經過加密之后的Windows文件。

因為勒索軟件帶來的損害，用戶可以通過離線方式對感染之后的服務器進行隔離，并尋求專業的技術支持，以執行協議和樣本分析。如果服務器沒有受到感染，一定要對防火墻3389進行徹底關閉，這樣才可以得到特定的IP地址。 同時，打開Windows防火墻并嘗試關閉未使用的高風險端口（例如3389,445,139和135）。 每個服務器終端都不使用弱密碼來防止勒索軟件病毒感染，從而導致更大的損失。

研究人員發現了一種新的Ransomware Dharma變體，它將擴展名.id-id.email.cmb添加到加密文件中。攻擊者首先借助3389端口利用遠程協議潛入至計算機內部，然后通過強制性手段獲取登錄密碼，得到操作權限之后攻擊者將在電腦上裝配勒索軟件，隨后對計算機展開加密處理，并嘗試加密網絡。

與原始勒索軟件相比，此變體在加密文件過程中將會增添擴展名—.id-id.email.cmb。對文件加密的時候，將在感染之后的計算機里面設置不一樣的備注：

首先為用戶登錄之后系統自動運作的Info.hta文件; 其次為計算機桌面上安裝的FILES ENCRYPTED.txt文件。其中的贖金票據主要說明了付款相關事項，在此基礎上該變體對映射的以及未映射的驅動器以及網絡共享展開加密處理，用戶將失去計算機訪問權限。而且在用戶登錄系統的時候該變體將創建自動啟動程序，加密者有權限對用戶在桌面創設的新文件進行加密，當前針對這類變體還不存在徹底的解決對策。

針對勒索病毒帶來的損害，用戶可以在計算機上面及時安裝殺毒軟件，定期對病毒庫進行更新。然后對計算機里面的關鍵數據進行備份，切記隨意將陌生的電郵以及附件打開，避免受到勒索軟件的感染計算機造成巨大損害。

3 計算機病毒防范技術