5.1.2 感染恶意代码的症状
在不同的平台上,如PC端或移动智能终端上,恶意代码的感染症状有很大的不同。即时是在同一平台上,不同类型的恶意代码感染症状也各不相同。以下列举了部分PC端和移动智能终端(智能手机)在感染恶意代码前后的一些症状。
1.恶意代码发作前的表现现象
对于PC端来说,自恶意代码感染计算机系统,潜伏在系统内开始,一直到激发条件满足,恶意代码发作之前的阶段被称为恶意代码发作前的表现现象。在恶意代码发作前的这个阶段,恶意代码主要进行的工作是潜伏在宿主机内确保自身不被发现。恶意代码会以各式各样的手法来隐藏自己,在不被发现的同时,进行自我复制,以各种手段进行传播。以下是一些计算机端恶意代码发作前常见的表现现象。
(1)收到奇怪的或陌生人发来的电子邮件。有些邮件内含附件,有可能携带通过电子邮件传播的蠕虫病毒。电子邮件是恶意代码传播的一种重要途径。
(2)可用的磁盘空间迅速减少或磁盘文件变多。系统的可用磁盘空间在用户没有主动安装新的软件的前提下下降得很快或者某些常见的文件夹下出现一些奇怪的文件。这可能是恶意代码感染造成的。当然这种现象并不仅仅是恶意代码所造成的,还有可能是用户在使用电脑软件的过程中的正常现象,例如,经常浏览网页,回收站中的文件过多,临时文件夹下的文件数量过多过大等情况下也可能会造成可用的磁盘空间迅速减少。部分应用在使用过程中根据业务需要,也会自动生成一些文件。
(3)硬件运行速度明显变慢。由于某些恶意代码会占用大量的系统资源,运行时占用大量的处理机事件,因此感染该类恶意代码的设备在运行同一个应用程序时,会发现速度明显变慢,而且重新启动计算机或者手机后依然很慢。
(4)计算机系统文件的属性发生变化。某些恶意代码在感染的过程中会改变计算机系统文件的属性,若是某些系统文件的执行、读写、时间、日期、大小等属性发生变化,则该设备很有可能感染了恶意代码。当宿主程序文件被恶意代码感染之后,恶意代码会将自身藏在该文件中,这也就会导致文件所需要的磁盘存储空间无缘无故变大,文件的访问、修改日期也可能会被改成感染时的时间。不过在用户正常使用过程中也会出现上述情况,例如,对系统进行升级、打补丁都会导致系统文件属性发生变化,这种情况不是恶意代码造成的。
(5)平时正常的计算机经常突然死机或者无法正常启动操作系统。恶意代码感染了计算机系统后,将自身驻留在系统内并修改了核心程序或数据,造成死机和无法启动系统的现象。
(6)部分软件经常出现内存不足的错误。由于恶意代码占用了系统中大量的内存空间,导致以前能够正常运行的程序在运行过程中显示系统内存不足。随着硬件技术的日益发展和恶意代码的进化,这类占用大量系统内存空间的恶意代码已经逐渐被淘汰。
(7)以前能正常运行的应用程序经常崩溃或出现错误。有些恶意代码本身年代比较久远或者因为本身存在着兼容性的问题导致在运行过程中会出现崩溃。还有一些恶意代码在感染应用程序之后,有可能会对该应用造成破坏,影响了该应用的正常功能。
(8)系统无故对磁盘进行写操作。操作系统在用户没有要求进行任何读、写磁盘的操作下提示正在读写磁盘。这类系统异常很有可能是恶意代码进行磁盘查找时引起的,除此之外,有些软件在使用过程中会自动进行保存操作,也会导致系统出现读写磁盘的提示。
(9)网络驱动器卷或共享目录无法调用。恶意代码在运行过程中的某些操作很有可能会对网络驱动器卷和共享目录的正常访问造成影响。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。
对于移动端,恶意代码的表现形式和计算机端恶意代码的表现形式有很大区别(这与移动智能终端的硬件及软件属性有关)。对于移动端,恶意代码发作前,大多数都会在安装时向用户申请敏感权限,如获取地理位置权限、联网权限。有部分性质更为严重的恶意代码在发挥其危害前会另外申请其他特殊权限,如以下几种权限。
(1)请求获取系统管理器权限。部分恶意代码为了达到使用户无法卸载该代码的目的,会弹窗请求获取系统管理器权限。
(2)请求root权限。获取root权限的恶意代码可以自行下载安装其他应用,修改或删除用户保存的其他正常应用的信息。
(3)请求修改默认短信应用,以便恶意代码能够删除短信。这个行为主要体现在Android 4.4版本系统及以后版本中,在Android 4.4版本前,恶意代码在获取短信相关权限后可直接对短信进行删除操作。
2.恶意代码发作时的表现现象
对于计算机端,满足恶意代码发作的条件,进入进行破坏活动的阶段表现出的某些现象被称为恶意代码发作时的表现现象。同一类恶意代码的发作时的表现现象大都各不相同,不同种类的恶意代码了更是如此。以下列举了一些恶意代码发作时常见的表现现象。
(1)硬盘灯持续闪烁。电脑硬盘灯持续闪烁意味着系统正在进行读写操作。因为有的恶意代码运行时会进行读写操作,如写入垃圾文件、格式化硬盘等,这些操作都会导致硬盘灯持续闪烁。恶意代码对硬盘的读写操作可能会导致硬盘上的重要数据损坏,因此这种恶意代码破坏性非常强。
(2)无故播放音乐。恶作剧式的恶意代码,最著名的是“扬基”(Yangkee)和“浏阳河”等恶意代码。“扬基”发作时利用计算机内置的扬声器演奏《扬基》音乐。“浏阳河”发作时,若系统时钟为9月9日则演奏《浏阳河》歌曲,若当系统时钟在12月26日则演奏《东方红》的旋律。这类恶意代码的破坏性较小,它们只是在发作时播放音乐并占有处理机资源。
(3)出现莫名其妙的提示。出现一些不相干的提示是宏病毒和DOS时期的病毒最常见的发作现象。如打开感染了宏病毒的Word文档,如果满足发作条件,系统就会弹出对话框显示“这个世界太黑暗了!”,并且要求用户输入“太正确了”后单击“确定”按钮。
(4)无故出现特定图像。小球病毒发作时会从屏幕上方不断掉落小球图像,这一类属于恶作剧式的恶意代码。单纯产生图像的恶意代码只是在发作时破坏用户的显示界面,干扰用户的正常工作,因此相对于破坏数据的恶意代码而言破坏性较小。
(5)改变应用图标。著名的熊猫烧香病毒就是把系统的默认图标修改为烧香的熊猫。修改应用图标这也是恶作剧式的恶意代码发作时的典型表现现象。把Windows默认的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows默认图标样式,起到迷惑用户的作用。
(6)计算机突然死机或重新启动。因为有些恶意代码在兼容性上存在问题,代码没有严格测试,在发作时会造成意想不到的情况,或者是恶意代码的恶意行为的一部分就是重启电脑。
(7)鼠标指针无故移动。没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上的鼠标指针自己在移动,好像应用程序自己在运行被遥控似的。有些特洛伊木马在远程控制时会产生这种现象。
(8)自动发送电子邮件。利用邮件引擎传播的蠕虫病毒为达到传播自身的目的,会自动发送电子邮件。而有的恶意代码为达到阻塞某邮件服务器正常功能的目的,会在某一特定时刻利用被感染的终端向同一邮件服务器发送大量无用的邮件。
出现一些不相干的提示、播放音乐或者显示特定的图像等是某些恶意代码发作时的明显现象。但出现上述的某些现象很难直接判断是恶意代码的存在。例如,在同时运行多个占用内存较大的应用程序,而计算机本身性能又相对较弱的情况下,启动和切换应用程序的时候也会使硬盘不停地工作,出现硬盘灯不断闪烁的现象。
对于移动智能终端,恶意代码发作时,可能会有以下几种现象。
(1)自动发送短信,该短信中可能包含诱骗下载恶意代码的网址等信息。
(2)自动拨打电话,某些恶意代码通过私自拨打电话达到消耗用户资费及干扰用户正常生活的目的。
(3)自动发送邮件,邮件中可能包含恶意代码相关的内容,诱骗其他用户感染。
(4)频繁连接网络,产生异常数据流量。该现象不易被发觉,往往在用户收到流量用尽短信或手机其他监控软件报警后才意识到可能存在异常消耗流量的情况发生。
(5)频繁弹出广告窗口,干扰用户正常工作。手机被锁定,并弹出窗口告知用户联系某个邮箱,在支付解锁费用后才能将手机解锁,以达到勒索用户的目的。
3.恶意代码发作后的表现现象
对于计算机系统来说,通常情况下,恶意代码发作会给计算机系统带来破坏性后果。大多数恶意代码都属于恶性的。恶性的恶意代码发作后往往会带来很大的损失,以下列举了一些恶性的恶意代码发作后所造成的结果。
(1)无法启动系统。有些恶意代码会修改硬盘的关键内容(如文件分配表、根目录区等),使得硬盘的数据被完全破坏,甚至会破坏硬盘的引导扇区,使得计算机系统无法启动。
(2)系统文件丢失或被破坏。有些恶意代码发作时会删除或者破坏那些只有在计算机系统升级时才会被修改或者删除的重要系统文件,使得计算机系统无法正常启动,或者在运行的过程中出现异常现象,如黑屏、蓝屏或死机。
(3)部分BIOS程序混乱。有一类恶意代码利用改写和破坏系统主板上的BIOS的方法来达到使系统主板无法正常工作,计算机系统的部分元件报废的目的。类似于CIH病毒发作后的现象。
(4)部分文档丢失或被破坏。类似于系统文件的丢失或被破坏,有些恶意代码在发作时会删除或破坏硬盘上的文档,造成数据丢失。
(5)部分文档自动加密。有些恶意代码利用加密算法,对被感染的文件进行加密,并将加密密钥保存在恶意代码程序体内或其他隐蔽的地方,如果内存中驻留了这种恶意代码,那么在系统访问被感染的文件时它自动将文件解密,使得用户察觉不到文件曾被加密过。一旦这种恶意代码被清除,那么被加密的文件就很难被恢复了。
(6)目录结构发生混乱。有些恶意代码会将真正的目录区转移到硬盘的其他扇区中,只要内存中存在该恶意代码,它就能够将正确的目录扇区读出,并且在用户使用过程中充当访问硬盘的媒介。一旦这种恶意代码被清除,那么硬盘的数据无法被用户正常地使用。还有甚者是将一些无意义的数据填充到目录扇区,从而破坏整个硬盘的数据。
(7)网络无法提供正常服务。有些恶意代码会利用网络协议的弱点进行破坏,使网络无法正常使用。这类恶意代码的典型代表是ARP型的恶意代码。ARP恶意代码会修改本地计算机的MAC-IP对照表,使得数据链路层的通信无法正常进行。
(8)浏览器自动访问非法网站。当用户的计算机被恶意代码破坏后,恶意代码往往会修改浏览器的配置。这类恶意代码的典型代表是“万花筒"病毒,该病毒会让用户自动链接某些色情网站。
(9)注册表锁定。一部分恶意应用通过锁定计算机注册表以达到干扰用户使用计算机的目的。
(10)浏览器主页被篡改。很多恶意代码将浏览器主页篡改为某个网页,诱导用户使用该网页的资源,从而获得更高的访问量或诱发更严重的恶意代码入侵事件。
(11)篡改默认搜索引擎。当某些恶意代码发作时,会篡改用户默认的搜索引擎,一般这种恶意代码的目的和篡改浏览器主页的恶意代码目的相似,都有诱导用户使用某些特定的产品,从而盈利的目的。
对于移动端来说,在恶意代码发作后,可能有以下一些表现。
(1)用户隐私信息,如用户手机号、地理位置被窃取。这种症状不易被用户发觉,一般通过动态抓取恶意代码的网络传输数据包以及静态对恶意代码的详细分析才能够确认恶意代码是否会窃取用户隐私信息。
(2)用户资费被恶意扣除。如在Android系统中,某些恶意应用被安装运行后,通过诱导欺骗用户点击等手段,在用户不知情的情况下自动订购增值服务业务,达到扣除用户电话费的目的。
(3)用户手机被远程控制。部分恶意代码能够接受远程控制指令并在移动端上进行相应操作,例如,一个名为Ginger Master的病毒,在感染用户手机后会获取root权限,并与远程服务器通信,在远程服务器的控制下会静默下载安装其他恶意代码。
(4)移动终端系统被破坏。如部分恶意代码通过锁定手机屏幕限制用户正常使用,并向用户进行钱财勒索。
(5)用户通信录、浏览器标签等个人数据被修改。
(6)系统中出现新的不是用户自主安装的应用。