一种蠕虫病毒的检测和防御方法和系统的制作方法

一种蠕虫病毒的检测和防御方法和系统的制作方法
【专利摘要】本发明涉及一种蠕虫病毒的检测和防御方法和系统，属于网络安全【技术领域】。现有蠕虫病毒的检测手段存在误报率局，容易被免杀，不易控制等缺陷。本发明所述的方法是在蠕虫病毒对目标软件进行控制的必经的关键路径上设置主动防御规则；利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为；拦截蠕虫病毒的调用和修改行为。采用本发明所述的方法和系统可以及时有效的控制蠕虫病毒特别是QQ群蠕虫病毒发作和蔓延，有效保护QQ系列产品的使用安全。
【专利说明】一种蠕虫病毒的检测和防御方法和系统

【技术领域】
[0001] 本发明属于网络安全【技术领域】，具体涉及一种蠕虫病毒的检测和防御方法和系 统。

【背景技术】
[0002] 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是 通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上 出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序 (或是一套程序），它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算 机系统中（通常是经过网络连接）。
[0003] QQ群蠕虫病毒，是一种利用QQ群共享漏洞传播流氓软件和劫持IE主页的恶意程 序，QQ群用户一旦感染了该蠕虫病毒，便会向其他QQ群内上传该病毒，以"一传十，十传百" 的手法扩散开来。"QQ群蠕虫病毒"第三代变种伪装成"刷钻软件"大量传播，每天中毒的电 脑达到2-3万台，通过各安全厂商的联合打击，第三代QQ群蠕虫基本已经在网络上销声匿 迹。"QQ群蠕虫病毒"第四代多以"XX视频助手.exe"或"XX视频偷看神器.exe"为伪装， 由于文件名极具诱惑性，吸引了大量网民点击。如果网民信以为真，双击运行，蠕虫病毒就 会劫持网民的QQ，把推广消息转发到QQ群共享和空间说说，甚至发送病毒邮件给好友。该 病毒的最终目的是在中毒电脑上安装一大堆流氓软件以牟取暴利。
[0004] QQ群蠕虫病毒是主要通过QQ群、空间、说说、网盘等一系列产品传播。其主要最大 的特点是不需要获取用户"QQ密码"就可以控制以上产品。蠕虫病毒传播方式很迅速，通常 会通过主动、被动的方式去传播自身。由于此类病毒比较特殊，如果只是从特征提取方面来 对抗的话，病毒只需通过简单加密就可以绕过杀毒软件。对付此类病毒，必须要对其完整行 为都了解后，才能出一个针对性的方案。目前国内的主流杀毒软件并没有对付此类病毒的 新技术。
[0005] 目前主流的检测蠕虫病毒的技术分为静态检测和行为检测两种：
[0006] 静态检测通过自动或人工提取一些敏感字符串来达到检测的目的，优点是速度 快、误报率低。缺点是很考验自动机或分析人员的功底，提取的位置不好很容易被免杀。
[0007] 行为检测通过自动或人工提取此病毒的一系列API操作来达到检测的目的，优点 是泛型较好，不容易被免杀。缺点是误报率比较高，不容易控制。


【发明内容】

[0008] 针对现有技术中存在的缺陷，本发明的目的是提供一种蠕虫病毒的检测和防御方 法和系统。该方法和系统对针对QQ系列产品的蠕虫病毒检出率高，对抗性强。
[0009] 为达到以上目的，本发明采用的技术方案是：一种蠕虫病毒的检测和防御方法，包 括以下步骤：
[0010] 在蠕虫病毒对目标软件进行控制的必经的关键路径上设置主动防御规则； toon] 利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为；
[0012] 拦截蠕虫病毒的调用和修改行为。
[0013] 进一步，所述的主动防御规则包括检测并阻止病毒通过URL来检测QQ是否登录。
[0014] 进一步，所述的主动防御规则包括检测并阻止病毒调用InternetGetCookie获取 Cookie。
[0015] 进一步，所述的主动防御规则包括检测并阻止病毒调用InternetSetCookie清空 qq. com 域名下的 Cookie。
[0016] 进一步，所述的主动防御规则包括检测并阻止病毒获取QQ Cookie中的 tk校验码。
[0017] 进一步，所述的主动防御规则包括检测并阻止病毒对QQ各接口的地址的调用。
[0018] 进一步，所要保护的软件为QQ系列产品，所要检测并阻止的是QQ群蠕虫病毒。
[0019] 一种蠕虫病毒的检测和防御系统，包括以下装置：
[0020] 主动防御规则设置模块，用于在蠕虫病毒对目标软件进行控制的必经的关键路径 上设置主动防御规则；
[0021] 检测模块，用于利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为；
[0022] 拦截模块，用于拦截蠕虫病毒的调用和修改行为。
[0023] 进一步，所述的主动防御规则设置模块包括：
[0024] 用于设置检测并阻止病毒通过URL来检测QQ是否登录的防御规则设置子模块
[0025] 用于设置病毒调用InternetGetCookie函数获取Cookie的防御规则设置子模块 -* ?
[0026] 用于设置病毒调用InternetSetCookie函数清空qq. com域名下的Cookie的防御 规则设置子模块三；
[0027] 用于设置病毒获取QQ Cookie中的skey和g_tk校验码的防御规则设置子模块 四；
[0028] 用于设置病毒对QQ各接口的地址的调用的防御规则设置子模块五。
[0029] 进一步，所要保护的软件为QQ系列产品，所要检测并阻止的是QQ群蠕虫病毒。
[0030] 本发明的效果在于：采用本发明所述的方法和系统，一是对蠕虫病毒特别是QQ群 蠕虫病毒的检出率高，此类病毒的主要特点就是控制QQ产品，而控制方法可以被本发明所 述的方法完全拦截死；二是对抗性强：病毒作者毫无对抗资本，因为它要想控制QQ，只能通 过以上方法。

【专利附图】

【附图说明】
[0031] 图1是本发明【具体实施方式】中所述方法的流程图；
[0032] 图2是本发明【具体实施方式】中所述系统的结构图。

【具体实施方式】
[0033] 下面结合附图和【具体实施方式】对本发明作进一步描述。
[0034] 本实施例以QQ群蠕虫病毒为例，是对QQ群蠕虫病毒在控制QQ系列产品的过程中 所必须经过的关键步骤，以及必须调用和修改的某些特定内容做针对性的主动防御，而不 是通过对病毒的敏感字符串或者API操作的提取来识别，所以只要试图对QQ系列产品进行 控制的蠕虫病毒都会在这些路径上被发现并拦截。
[0035] 如图1所示，一种蠕虫病毒的检测和防御方法，包括以下步骤：
[0036] 步骤S1，在蠕虫病毒对目标软件进行控制的必经的关键路径上设置主动防御规 则；
[0037] 步骤S2,利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为；
[0038] 步骤S3,拦截蠕虫病毒的调用和修改行为。
[0039] 本实施例中，针对QQ快速登录URL设置防御规则，检测并阻止病毒通过URL来检 测QQ是否登录。
[0040] 病毒通过下列URL访问可以获取到当前是否有QQ在登录，实际运行时，病毒会把 此窗口隐藏掉，用户是无法感知。
[0041] http://badjs.qq.com/cgi-bin/js_report ? bid = 110&mid = 294082&msg =ref % E4 % B8 % BA % E7 % A9 % BA % 3Aqq. com % 3A % 7C_ % 7Chttp % 3A % 2F % 2Fxui. ptlogin2. qq. com % 2Fdiv % 2Fqlogin_div. html % 3Flang % 3D2052 % 26flag2% 3D3% 26ul % 3Dhttp % 253A % 252F % 252Fimgcache. qq. com% 252Fqzone % 252Fv5 % 252Floginsucc.html % 253Fpara % 253Dizone % 26appid % 3D15000101 % 7C_ % 7C % 7C_ % 7CMozilla % 2F4. 0 % 20 (compatible % 3B % 20MSIE % 206. 0 % 3B % 20ffindows % 20NT % 205. 1 % 3B % 20SV1 % 3B % 20. NET % 20CLR % 202. 0. 50727)&v = 0.9550685757484683
[0042] 设置防御规则，检测并阻止病毒调用InternetGetCookie获取Cookie。
[0043] 设置防御规则，检测并阻止病毒调用InternetSetCookie设置〃deleted ;expires = Fri, l-Jan-19991:1:1 GMT ;path = /;domain = qq.com"，清空qq.com域名下的Cookie。
[0044] 设置防御规则，检测并阻止病毒获取QQ Cookie中的skey和g_tk校验码。
[0045] 设置防御规则，检测并阻止病毒对QQ各接口的地址的调用，如果通过QQ各接口的 地址如：http://s. web2. qq. com/api/set_long_nick2,组合上边的 skey 和 QQ 空间的 g_tk 就可以访问QQ的所有系列广品拉。
[0046] 如图2所示，一种蠕虫病毒的检测和防御系统，包括以下装置：
[0047] 主动防御规则设置模块11，用于在蠕虫病毒对目标软件进行控制的必经的关键路 径上设置主动防御规则；
[0048] 检测模块12,用于利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行 为；
[0049] 拦截模块13,用于拦截蠕虫病毒的调用和修改行为。
[0050] 本实施例中，所述的主动防御规则设置模块包括：
[0051] 用于设置检测并阻止病毒通过URL来检测QQ是否登录的防御规则设置子模块
[0052] 用于设置病毒调用InternetGetCookie函数获取Cookie的防御规则设置子模块 -* ?
[0053] 用于设置病毒调用InternetSetCookie函数清空qq. com域名下的Cookie的防御 规则设置子模块三；
[0054] 用于设置病毒获取QQ Cookie中的skey和g_tk校验码的防御规则设置子模块 四；
[0055] 用于设置病毒对QQ各接口的地址的调用的防御规则设置子模块五。
[0056] 本实施例中，归纳并总结了 QQ群蠕虫病毒通过QQ快速登陆的方法，控制QQ系列 产品的过程，并在病毒运行的必经路径上设置主动防御的规则对其拦截，误报率低，针对性 强，可以及时有效的控制病毒发作和蔓延，有效保护QQ系列产品的使用安全。
[0057] 本发明所述的方法和系统并不限于【具体实施方式】中所述的实施例，本领域技术人 员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。
【权利要求】
1. 一种蠕虫病毒的检测和防御方法，包括以下步骤： 在蠕虫病毒对目标软件进行控制的必经的关键路径上设置主动防御规则； 利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为； 拦截蠕虫病毒的调用和修改行为。
2. 如权利要求1所述的方法，其特征是：所述的主动防御规则包括检测并阻止病毒通 过URL来检测QQ是否登录。
3. 如权利要求2所述的方法，其特征是：所述的主动防御规则包括检测并阻止病毒调 用 InternetGetCookie 函数获取 Cookie。
4. 如权利要求3所述的方法，其特征是：所述的主动防御规则包括检测并阻止病毒调 用 InternetSetCookie 函数清空 qq. com 域名下的 Cookie。
5. 如权利要求1至4任一所述的方法，其特征是：所述的主动防御规则包括检测并阻 止病毒获取QQ Cookie中的skey和g_tk校验码。
6. 如权利要求1至4任一所述的方法，其特征是：所述的主动防御规则包括检测并阻 止病毒对QQ各接口的地址的调用。
7. 如权利要求1至4任一所述的方法，其特征是：所要保护的软件为QQ系列产品，所 要检测并阻止的是QQ群蠕虫病毒。
8. -种蠕虫病毒的检测和防御系统，包括以下装置： 主动防御规则设置模块，用于在蠕虫病毒对目标软件进行控制的必经的关键路径上设 置主动防御规则； 检测模块，用于利用主动防御规则检测蠕虫病毒在关键步骤的调用和修改行为； 拦截模块，用于拦截蠕虫病毒的调用和修改行为。
9. 如权利要求8所述的系统，其特征在于所述的主动防御规则设置模块包括： 用于设置检测并阻止病毒通过URL来检测QQ是否登录的防御规则设置子模块一； 用于设置病毒调用InternetGetCookie函数获取Cookie的防御规则设置子模块二； 用于设置病毒调用InternetSetCookie函数清空qq. com域名下的Cookie的防御规则 设置子模块三； 用于设置病毒获取QQ Cookie中的skey和g_tk校验码的防御规则设置子模块四； 用于设置病毒对QQ各接口的地址的调用的防御规则设置子模块五。
10. 如权利要求8或9所述的系统，其特征在于：所要保护的软件为QQ系列产品，所要 检测并阻止的是QQ群蠕虫病毒。
【文档编号】H04L29/06GK104219225SQ201410372955
【公开日】2014年12月17日 申请日期:2014年7月31日 优先权日:2014年7月31日
【发明者】陈根, 刘桂峰, 姚辉 申请人:珠海市君天电子科技有限公司