一種蠕蟲(chóng)病毒的檢測(cè)和防御方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種蠕蟲(chóng)病毒的檢測(cè)和防御方法和系統(tǒng)��,屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】?����,F(xiàn)有蠕蟲(chóng)病毒的檢測(cè)手段存在誤報(bào)率局����,容易被免殺,不易控制等缺陷�。本發(fā)明所述的方法是在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑上設(shè)置主動(dòng)防御規(guī)則;利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為��;攔截蠕蟲(chóng)病毒的調(diào)用和修改行為����。采用本發(fā)明所述的方法和系統(tǒng)可以及時(shí)有效的控制蠕蟲(chóng)病毒特別是QQ群蠕蟲(chóng)病毒發(fā)作和蔓延����,有效保護(hù)QQ系列產(chǎn)品的使用安全���。
【專利說(shuō)明】一種蠕蟲(chóng)病毒的檢測(cè)和防御方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】����,具體涉及一種蠕蟲(chóng)病毒的檢測(cè)和防御方法和系 統(tǒng)���。
【背景技術(shù)】
[0002] 蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒���。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播,傳染途徑是 通過(guò)網(wǎng)絡(luò)和電子郵件����。最初的蠕蟲(chóng)病毒定義是因?yàn)樵贒OS環(huán)境下���,病毒發(fā)作時(shí)會(huì)在屏幕上 出現(xiàn)一條類似蟲(chóng)子的東西����,胡亂吞吃屏幕上的字母并將其改形��。蠕蟲(chóng)病毒是自包含的程序 (或是一套程序),它能傳播自身功能的拷貝或自身(蠕蟲(chóng)病毒)的某些部分到其他的計(jì)算 機(jī)系統(tǒng)中(通常是經(jīng)過(guò)網(wǎng)絡(luò)連接)�����。
[0003] QQ群蠕蟲(chóng)病毒����,是一種利用QQ群共享漏洞傳播流氓軟件和劫持IE主頁(yè)的惡意程 序,QQ群用戶一旦感染了該蠕蟲(chóng)病毒����,便會(huì)向其他QQ群內(nèi)上傳該病毒,以"一傳十���,十傳百" 的手法擴(kuò)散開(kāi)來(lái)���。"QQ群蠕蟲(chóng)病毒"第三代變種偽裝成"刷鉆軟件"大量傳播,每天中毒的電 腦達(dá)到2-3萬(wàn)臺(tái)���,通過(guò)各安全廠商的聯(lián)合打擊�����,第三代QQ群蠕蟲(chóng)基本已經(jīng)在網(wǎng)絡(luò)上銷(xiāo)聲匿 跡����。"QQ群蠕蟲(chóng)病毒"第四代多以"XX視頻助手.exe"或"XX視頻偷看神器.exe"為偽裝, 由于文件名極具誘惑性����,吸引了大量網(wǎng)民點(diǎn)擊。如果網(wǎng)民信以為真��,雙擊運(yùn)行���,蠕蟲(chóng)病毒就 會(huì)劫持網(wǎng)民的QQ�����,把推廣消息轉(zhuǎn)發(fā)到QQ群共享和空間說(shuō)說(shuō)���,甚至發(fā)送病毒郵件給好友。該 病毒的最終目的是在中毒電腦上安裝一大堆流氓軟件以牟取暴利���。
[0004] QQ群蠕蟲(chóng)病毒是主要通過(guò)QQ群、空間�����、說(shuō)說(shuō)、網(wǎng)盤(pán)等一系列產(chǎn)品傳播����。其主要最大 的特點(diǎn)是不需要獲取用戶"QQ密碼"就可以控制以上產(chǎn)品。蠕蟲(chóng)病毒傳播方式很迅速�,通常 會(huì)通過(guò)主動(dòng)、被動(dòng)的方式去傳播自身��。由于此類病毒比較特殊�,如果只是從特征提取方面來(lái) 對(duì)抗的話,病毒只需通過(guò)簡(jiǎn)單加密就可以繞過(guò)殺毒軟件�����。對(duì)付此類病毒�,必須要對(duì)其完整行 為都了解后,才能出一個(gè)針對(duì)性的方案�����。目前國(guó)內(nèi)的主流殺毒軟件并沒(méi)有對(duì)付此類病毒的 新技術(shù)����。
[0005] 目前主流的檢測(cè)蠕蟲(chóng)病毒的技術(shù)分為靜態(tài)檢測(cè)和行為檢測(cè)兩種:
[0006] 靜態(tài)檢測(cè)通過(guò)自動(dòng)或人工提取一些敏感字符串來(lái)達(dá)到檢測(cè)的目的,優(yōu)點(diǎn)是速度 快、誤報(bào)率低��。缺點(diǎn)是很考驗(yàn)自動(dòng)機(jī)或分析人員的功底�,提取的位置不好很容易被免殺。
[0007] 行為檢測(cè)通過(guò)自動(dòng)或人工提取此病毒的一系列API操作來(lái)達(dá)到檢測(cè)的目的����,優(yōu)點(diǎn) 是泛型較好,不容易被免殺����。缺點(diǎn)是誤報(bào)率比較高,不容易控制��。
【發(fā)明內(nèi)容】
[0008] 針對(duì)現(xiàn)有技術(shù)中存在的缺陷����,本發(fā)明的目的是提供一種蠕蟲(chóng)病毒的檢測(cè)和防御方 法和系統(tǒng)。該方法和系統(tǒng)對(duì)針對(duì)QQ系列產(chǎn)品的蠕蟲(chóng)病毒檢出率高����,對(duì)抗性強(qiáng)。
[0009] 為達(dá)到以上目的�����,本發(fā)明采用的技術(shù)方案是:一種蠕蟲(chóng)病毒的檢測(cè)和防御方法�,包 括以下步驟:
[0010] 在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑上設(shè)置主動(dòng)防御規(guī)則; toon] 利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為��;
[0012] 攔截蠕蟲(chóng)病毒的調(diào)用和修改行為��。
[0013] 進(jìn)一步�����,所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒通過(guò)URL來(lái)檢測(cè)QQ是否登錄���。
[0014] 進(jìn)一步�����,所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒調(diào)用InternetGetCookie獲取 Cookie��。
[0015] 進(jìn)一步���,所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒調(diào)用InternetSetCookie清空 qq. com 域名下的 Cookie。
[0016] 進(jìn)一步�����,所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒獲取QQ Cookie中的 tk校驗(yàn)碼。
[0017] 進(jìn)一步�����,所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒對(duì)QQ各接口的地址的調(diào)用�。
[0018] 進(jìn)一步,所要保護(hù)的軟件為QQ系列產(chǎn)品��,所要檢測(cè)并阻止的是QQ群蠕蟲(chóng)病毒��。
[0019] 一種蠕蟲(chóng)病毒的檢測(cè)和防御系統(tǒng)���,包括以下裝置:
[0020] 主動(dòng)防御規(guī)則設(shè)置模塊����,用于在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑 上設(shè)置主動(dòng)防御規(guī)則�;
[0021] 檢測(cè)模塊,用于利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為����;
[0022] 攔截模塊,用于攔截蠕蟲(chóng)病毒的調(diào)用和修改行為�。
[0023] 進(jìn)一步,所述的主動(dòng)防御規(guī)則設(shè)置模塊包括:
[0024] 用于設(shè)置檢測(cè)并阻止病毒通過(guò)URL來(lái)檢測(cè)QQ是否登錄的防御規(guī)則設(shè)置子模塊
[0025] 用于設(shè)置病毒調(diào)用InternetGetCookie函數(shù)獲取Cookie的防御規(guī)則設(shè)置子模塊 -* ?
[0026] 用于設(shè)置病毒調(diào)用InternetSetCookie函數(shù)清空qq. com域名下的Cookie的防御 規(guī)則設(shè)置子模塊三�����;
[0027] 用于設(shè)置病毒獲取QQ Cookie中的skey和g_tk校驗(yàn)碼的防御規(guī)則設(shè)置子模塊 四;
[0028] 用于設(shè)置病毒對(duì)QQ各接口的地址的調(diào)用的防御規(guī)則設(shè)置子模塊五�。
[0029] 進(jìn)一步�����,所要保護(hù)的軟件為QQ系列產(chǎn)品�����,所要檢測(cè)并阻止的是QQ群蠕蟲(chóng)病毒��。
[0030] 本發(fā)明的效果在于:采用本發(fā)明所述的方法和系統(tǒng)���,一是對(duì)蠕蟲(chóng)病毒特別是QQ群 蠕蟲(chóng)病毒的檢出率高�,此類病毒的主要特點(diǎn)就是控制QQ產(chǎn)品��,而控制方法可以被本發(fā)明所 述的方法完全攔截死���;二是對(duì)抗性強(qiáng):病毒作者毫無(wú)對(duì)抗資本�,因?yàn)樗肟刂芉Q���,只能通 過(guò)以上方法��。
【專利附圖】
【附圖說(shuō)明】
[0031] 圖1是本發(fā)明【具體實(shí)施方式】中所述方法的流程圖���;
[0032] 圖2是本發(fā)明【具體實(shí)施方式】中所述系統(tǒng)的結(jié)構(gòu)圖�。
【具體實(shí)施方式】
[0033] 下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作進(jìn)一步描述�。
[0034] 本實(shí)施例以QQ群蠕蟲(chóng)病毒為例,是對(duì)QQ群蠕蟲(chóng)病毒在控制QQ系列產(chǎn)品的過(guò)程中 所必須經(jīng)過(guò)的關(guān)鍵步驟����,以及必須調(diào)用和修改的某些特定內(nèi)容做針對(duì)性的主動(dòng)防御,而不 是通過(guò)對(duì)病毒的敏感字符串或者API操作的提取來(lái)識(shí)別�����,所以只要試圖對(duì)QQ系列產(chǎn)品進(jìn)行 控制的蠕蟲(chóng)病毒都會(huì)在這些路徑上被發(fā)現(xiàn)并攔截��。
[0035] 如圖1所示��,一種蠕蟲(chóng)病毒的檢測(cè)和防御方法���,包括以下步驟:
[0036] 步驟S1��,在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑上設(shè)置主動(dòng)防御規(guī) 則����;
[0037] 步驟S2,利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為;
[0038] 步驟S3,攔截蠕蟲(chóng)病毒的調(diào)用和修改行為�。
[0039] 本實(shí)施例中,針對(duì)QQ快速登錄URL設(shè)置防御規(guī)則�����,檢測(cè)并阻止病毒通過(guò)URL來(lái)檢 測(cè)QQ是否登錄��。
[0040] 病毒通過(guò)下列URL訪問(wèn)可以獲取到當(dāng)前是否有QQ在登錄����,實(shí)際運(yùn)行時(shí)����,病毒會(huì)把 此窗口隱藏掉,用戶是無(wú)法感知�。
[0041] http://badjs.qq.com/cgi-bin/js_report ? bid = 110&mid = 294082&msg =ref % E4 % B8 % BA % E7 % A9 % BA % 3Aqq. com % 3A % 7C_ % 7Chttp % 3A % 2F % 2Fxui. ptlogin2. qq. com % 2Fdiv % 2Fqlogin_div. html % 3Flang % 3D2052 % 26flag2% 3D3% 26ul % 3Dhttp % 253A % 252F % 252Fimgcache. qq. com% 252Fqzone % 252Fv5 % 252Floginsucc.html % 253Fpara % 253Dizone % 26appid % 3D15000101 % 7C_ % 7C % 7C_ % 7CMozilla % 2F4. 0 % 20 (compatible % 3B % 20MSIE % 206. 0 % 3B % 20ffindows % 20NT % 205. 1 % 3B % 20SV1 % 3B % 20. NET % 20CLR % 202. 0. 50727)&v = 0.9550685757484683
[0042] 設(shè)置防御規(guī)則,檢測(cè)并阻止病毒調(diào)用InternetGetCookie獲取Cookie����。
[0043] 設(shè)置防御規(guī)則,檢測(cè)并阻止病毒調(diào)用InternetSetCookie設(shè)置〃deleted ;expires = Fri, l-Jan-19991:1:1 GMT ;path = /;domain = qq.com"��,清空qq.com域名下的Cookie。
[0044] 設(shè)置防御規(guī)則�,檢測(cè)并阻止病毒獲取QQ Cookie中的skey和g_tk校驗(yàn)碼。
[0045] 設(shè)置防御規(guī)則���,檢測(cè)并阻止病毒對(duì)QQ各接口的地址的調(diào)用��,如果通過(guò)QQ各接口的 地址如:http://s. web2. qq. com/api/set_long_nick2,組合上邊的 skey 和 QQ 空間的 g_tk 就可以訪問(wèn)QQ的所有系列廣品拉��。
[0046] 如圖2所示��,一種蠕蟲(chóng)病毒的檢測(cè)和防御系統(tǒng)�,包括以下裝置:
[0047] 主動(dòng)防御規(guī)則設(shè)置模塊11���,用于在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路 徑上設(shè)置主動(dòng)防御規(guī)則����;
[0048] 檢測(cè)模塊12,用于利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行 為����;
[0049] 攔截模塊13,用于攔截蠕蟲(chóng)病毒的調(diào)用和修改行為。
[0050] 本實(shí)施例中���,所述的主動(dòng)防御規(guī)則設(shè)置模塊包括:
[0051] 用于設(shè)置檢測(cè)并阻止病毒通過(guò)URL來(lái)檢測(cè)QQ是否登錄的防御規(guī)則設(shè)置子模塊
[0052] 用于設(shè)置病毒調(diào)用InternetGetCookie函數(shù)獲取Cookie的防御規(guī)則設(shè)置子模塊 -* ?
[0053] 用于設(shè)置病毒調(diào)用InternetSetCookie函數(shù)清空qq. com域名下的Cookie的防御 規(guī)則設(shè)置子模塊三����;
[0054] 用于設(shè)置病毒獲取QQ Cookie中的skey和g_tk校驗(yàn)碼的防御規(guī)則設(shè)置子模塊 四;
[0055] 用于設(shè)置病毒對(duì)QQ各接口的地址的調(diào)用的防御規(guī)則設(shè)置子模塊五�����。
[0056] 本實(shí)施例中����,歸納并總結(jié)了 QQ群蠕蟲(chóng)病毒通過(guò)QQ快速登陸的方法,控制QQ系列 產(chǎn)品的過(guò)程�����,并在病毒運(yùn)行的必經(jīng)路徑上設(shè)置主動(dòng)防御的規(guī)則對(duì)其攔截�����,誤報(bào)率低��,針對(duì)性 強(qiáng)��,可以及時(shí)有效的控制病毒發(fā)作和蔓延��,有效保護(hù)QQ系列產(chǎn)品的使用安全�。
[0057] 本發(fā)明所述的方法和系統(tǒng)并不限于【具體實(shí)施方式】中所述的實(shí)施例,本領(lǐng)域技術(shù)人 員根據(jù)本發(fā)明的技術(shù)方案得出其他的實(shí)施方式�����,同樣屬于本發(fā)明的技術(shù)創(chuàng)新范圍�����。
【權(quán)利要求】
1. 一種蠕蟲(chóng)病毒的檢測(cè)和防御方法��,包括以下步驟: 在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑上設(shè)置主動(dòng)防御規(guī)則���; 利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為����; 攔截蠕蟲(chóng)病毒的調(diào)用和修改行為����。
2. 如權(quán)利要求1所述的方法,其特征是:所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒通 過(guò)URL來(lái)檢測(cè)QQ是否登錄��。
3. 如權(quán)利要求2所述的方法����,其特征是:所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒調(diào) 用 InternetGetCookie 函數(shù)獲取 Cookie����。
4. 如權(quán)利要求3所述的方法���,其特征是:所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻止病毒調(diào) 用 InternetSetCookie 函數(shù)清空 qq. com 域名下的 Cookie����。
5. 如權(quán)利要求1至4任一所述的方法�,其特征是:所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻 止病毒獲取QQ Cookie中的skey和g_tk校驗(yàn)碼。
6. 如權(quán)利要求1至4任一所述的方法��,其特征是:所述的主動(dòng)防御規(guī)則包括檢測(cè)并阻 止病毒對(duì)QQ各接口的地址的調(diào)用����。
7. 如權(quán)利要求1至4任一所述的方法�����,其特征是:所要保護(hù)的軟件為QQ系列產(chǎn)品�,所 要檢測(cè)并阻止的是QQ群蠕蟲(chóng)病毒。
8. -種蠕蟲(chóng)病毒的檢測(cè)和防御系統(tǒng)����,包括以下裝置: 主動(dòng)防御規(guī)則設(shè)置模塊����,用于在蠕蟲(chóng)病毒對(duì)目標(biāo)軟件進(jìn)行控制的必經(jīng)的關(guān)鍵路徑上設(shè) 置主動(dòng)防御規(guī)則�����; 檢測(cè)模塊��,用于利用主動(dòng)防御規(guī)則檢測(cè)蠕蟲(chóng)病毒在關(guān)鍵步驟的調(diào)用和修改行為����; 攔截模塊,用于攔截蠕蟲(chóng)病毒的調(diào)用和修改行為�。
9. 如權(quán)利要求8所述的系統(tǒng),其特征在于所述的主動(dòng)防御規(guī)則設(shè)置模塊包括: 用于設(shè)置檢測(cè)并阻止病毒通過(guò)URL來(lái)檢測(cè)QQ是否登錄的防御規(guī)則設(shè)置子模塊一����; 用于設(shè)置病毒調(diào)用InternetGetCookie函數(shù)獲取Cookie的防御規(guī)則設(shè)置子模塊二; 用于設(shè)置病毒調(diào)用InternetSetCookie函數(shù)清空qq. com域名下的Cookie的防御規(guī)則 設(shè)置子模塊三�; 用于設(shè)置病毒獲取QQ Cookie中的skey和g_tk校驗(yàn)碼的防御規(guī)則設(shè)置子模塊四; 用于設(shè)置病毒對(duì)QQ各接口的地址的調(diào)用的防御規(guī)則設(shè)置子模塊五��。
10. 如權(quán)利要求8或9所述的系統(tǒng)�����,其特征在于:所要保護(hù)的軟件為QQ系列產(chǎn)品,所要 檢測(cè)并阻止的是QQ群蠕蟲(chóng)病毒����。
【文檔編號(hào)】H04L29/06GK104219225SQ201410372955
【公開(kāi)日】2014年12月17日 申請(qǐng)日期:2014年7月31日 優(yōu)先權(quán)日:2014年7月31日
【發(fā)明者】陳根, 劉桂峰, 姚輝 申請(qǐng)人:珠海市君天電子科技有限公司