关于网络病毒自动运行的讨论

柯林

很多病毒分析报告，经常会用一句话来忽悠，“病毒被下载到电脑，自动运行.....”听起来就像神仙一样，一进来就“满血复活”，有没有这么仙啊？

根据HIPS的常识，除了已经开机运行的程序，一个新程序要运行，是需要一个执行者的，这个执行者就叫父程序，或者说是父进程。

网络病毒，主要是两大类：一类是下载病毒，一类是传播病毒。下载病毒一般两类，一个是木马下载器下载来的病毒，一个是浏览器之类上网时下载的病毒。传播病毒，不管是蠕虫病毒，脚本病毒，还是当下时髦的勒索病毒，基本上是靠电子邮件或聊天工具，以附件的形式进行传播的，当然也包括办公人员头痛的宏病毒。

除了极少数内嵌在网页中的恶意代码直接利用系统漏洞或浏览器漏洞实施攻击外，大多数的病毒，与HIPS用家耳熟能详的方式一样，都是个文件（通常是可执行文件）。这个病毒文件下载到本地（一般是%Temp%或下载目录），是需要个父进程去启动它的。究竟由谁来启动它，这个要看情况。像exe这样的文件，一般是谁下载谁来启动它，所以很多网马其实是IE启动的（如果你用IE下载的话），因为浏览器（比如IE）下载完一个exe后，通常会弹出一个对话框，“保存，打开，浏览目录”，很多网马是利用IE漏洞，不弹出那个窗口让用户选择而是直接“打开”（执行）。所以禁止浏览器执行%Temp%与下载目录，很多网马也就变化石了，不存在什么自动运行的仙事。也有可能是由Explorer.exe执行的，因为IE、explorer与shell32.dll这些东西就是盘根错节勾连在一起的，所以禁止explorer.exe执行%Temp%也是必要的。
很多所谓自动运行病毒，是因为母体或者它运行起来后的自身在注册表里设置开机启动项，才变成的自动运行病毒，目的也就是躲避安防软件的检查与限制，抢先一步获得系统控制权。
执行病毒，或者说打开、运行病毒的，不只是浏览器，还包括很多系统程序，这个通常是和文件打开方式有关（个人见过系统直接调用svchost.exe来执行的，比如Adobe flashplayer插件；像msi文件当然是由msiexec.exe来执行）。比如病毒是个附件，在压缩包里，当你双击压缩包打开，直接双击里面的程序，病毒是被压缩软件解压到%Temp%里，由压缩软件来执行%Temp%里被解压出来的病毒，如果你做条规则，禁止压缩软件执行%Temp%\*，那你双击压缩包里面的东东进行查看，就是最安全的打开方式，凡是程序文件都无法被执行，脚本会报错，批处理会被系统调用记事本打开，但是，有一种情况可能例外，程序如果打包成自解压格式，设定的解压路径不在%Temp%里，而在其它地方，可能就漏了，双击又会中招。
各种文件格式，由不同的程序打开，这是windows系统设置或者说是注册表文件关联方式决定的。比如网马或邮件病毒是个网页文件（htm或html），系统就会调用IE打开它，里面指向的恶意链接就会转到挂马网页，下载木马病毒（通常是exe）到本地%Temp%里来执行；以此类推，如果是个js或vbs，系统就调用wscript.exe来执行，有代码的直接运行代码，需要联网下载病毒的去下载病毒；是个chm文件，就调用hh.EXE来打开；是个pdf文档，就调用系统里设定的pdf文件阅读器来打开，按照里面的恶意链接去下载病毒；是个xml文件，就调用IE来打开，按照恶意链接去下载病毒........总而言之，是有个执行者和帮凶的。对于HIPS玩家来说，禁止压缩软件、cmd.exe，wscript.exe之类执行?:\Users\*基本上就是秒杀，或者禁止cscript.exe, hh.exe, powershell.exe, powershell_ise.exe, wscript.exe之类联网也是很好的阻截措施。

所谓自动运行并没有那么神秘，无非是也就是一个病毒进入计算机，被执行者启动而运行起来罢了，离开执行者，它就是一个化石，而离开下载者，它连进入本机当化石的机会都没有。个人愚见，仅供参考，非专业论点，说得不对的地方还请海涵。楼下有兴趣的欢迎交流和补充、修订。

阿里小白帽

本人用白话文 翻译下楼主的意思  其实就是提醒小白 少乱双击未知应用

柯林

阿里小白帽 发表于 2016-3-31 10:24
本人用白话文 翻译下楼主的意思  其实就是提醒小白 少乱双击未知应用

你想多了，我说的是两件事：一，翻译一下“病毒下载到本机，自动运行”，把这句话由“
机器语言”翻译成白菜语言；二，如何通过相关措施防御网络病毒。

阿里小白帽

柯林 发表于 2016-3-31 10:43
你想多了，我说的是两件事：一，翻译一下“病毒下载到本机，自动运行”，把这句话由“
机器语言”翻译成 ...

亏神

柯林 发表于 2016-3-31 10:43
你想多了，我说的是两件事：一，翻译一下“病毒下载到本机，自动运行”，把这句话由“
机器语言”翻译成 ...

请问大神，病毒是否都是exe的可执行文件呢

柯林

亏神 发表于 2016-3-31 11:48
请问大神，病毒是否都是exe的可执行文件呢

据我所知，不是，贴中已说了，很多格式。能够运行和破坏的病毒体，主要是我们熟悉的可执行文件，包括常见格式com、exe、dll、sys、ocx、scr之类的PE文件，此外还有一些dos相关的pif、bat、cmd文件，以及脚本文件js、jse、vbe、vbs、wsh、wsf、ps1、psc1等。相关的，或者说是凡是能够执行的文件，都可以成为病毒相关的帮凶，例如htm、html、css、xml、pdf、chm等格式的文件，甚至txt文件（可以写入病毒代码传达给执行体）。

统计来看，常见的是四种：exe、scr、bat、vbs，其中以exe为主流，这是宿主或者说是执行体，而很多木马其实是dll文件，通过执行体exe注入到其它进程发挥“寄生、间谍”作用。

柯林

柯林 发表于 2016-3-31 12:23
据我所知，不是，贴中已说了，很多格式。能够运行和破坏的病毒体，主要是我们熟悉的可执行文件，包括常见 ...

补充一句：现在的加密勒索马，喜欢用js格式，因为这个相对冷僻，一般人不会防御它，当你点击js时，脚本解释执行器wscript.exe就会读取和执行js中的代码，到病毒服务器上下载加密马（exe或scr）来电脑里（具体位置可能由js代码指定，如无指定，默认就是%Temp%）执行，实现背后偷偷地加密。

BBCALL

自动运行也不怕
流行什么败了，其实更本没中标，玩毒请记得清沙盘。

柯林

BBCALL 发表于 2016-3-31 16:15
自动运行也不怕
流行什么败了，其实更本没中标，玩毒请记得清沙盘。

跟那个没有关系，这只是个常识讨论题，看下网络病毒的入侵过程以及可供选择的防御手段。
他们说的ring3的注入，具体原理是否利用了最新技术，是否在HIPS的监控之外，还是利用旧系统的漏洞，这个不清楚，按照常识，ring3要注入，只有安装钩子，安装钩子不可能不提示或拦截。ring3的东西一般是最没力量，尤其要跟ring0的东西对抗，可以说一点胜算都没有。具体怎么回事，需要反馈给官方研究下。

柯林

垃圾网站又抽风了，有什么不良信息，吃错药了：