chp6蠕虫病毒

1蠕虫病毒计算机病毒原理－第六章2012-2013-0126.1蠕虫的基本概念1988年美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络后来的红色代码，尼姆达病毒的疯狂造成几十亿美元的损失2003年1月26日，“2003蠕虫王”迅速传播并袭击了全球，致使互联网网路严重堵塞作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障造成的直接经济损失至少在12亿美元以上3Morris99行程序代码利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡42小时：6000台电脑（互联网的十分之一）瘫痪1500万美元的损失3年缓刑/1万罚金/400小时的社区义务劳动病毒的萌芽：没有企图用蠕虫去破坏数据或文件，但他企图让蠕虫广泛传播56.1蠕虫的基本概念蠕虫病毒造成的损失66.1蠕虫的基本概念1982年，Shock和Hupp根据《TheShockwaveRider》一书中的概念提出了一种“蠕虫Worm”程序的思想蠕虫病毒是一种常见的计算机病毒利用网络进行复制和传播传播通常不需要所谓的激活通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁•通过网络•电子邮件76.1蠕虫的基本概念蠕虫是一种通过网络传播的恶性病毒具有病毒的共性•传播性、隐蔽性和破坏性等自己特有的特性•不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等在破坏程度上高于普通病毒在短短数小时内蔓延至整个因特网，并造成网络瘫痪86.1蠕虫的基本概念根据攻击对象不同面向企业用户和局域网•利用系统漏洞，主动进行攻击，可以使整个因特网瘫痪•“红色代码”、“尼姆达”、“SQL蠕虫王”•具有很大的主动攻击性，爆发也具有一定的突然性•相对来说查杀较容易针对个人用户•通过网络（主要是电子邮件、恶意网页）迅速传播•“爱虫”、“求职信”•传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的利用社会工程学对用户进行欺骗和诱使•造成的损失非常大，同时很难根除96.2蠕虫和其他病毒的关系不采取利用PE格式插入文件的方法蠕虫复制自身并在因特网中进行传播普通病毒的传染主要针对计算机内的文件系统蠕虫传染目标是因特网内所有计算机•局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器蠕虫病毒和普通病毒的区别106.2蠕虫和其他病毒的关系蠕虫与木马共性•自我传播，不感染其他文件传播特性上有微小差别•木马需要用户上当受骗来进行传播•蠕虫包含自我复制程序，利用所在系统进行传播破坏目的不同•蠕虫的破坏目的是纯粹的破坏耗费网络资源、删除用户数据•木马的破坏目的是窃取用户的信息116.3蠕虫病毒的特性蠕虫病毒具有自我复制能力蠕虫病毒具有很强的传播性蠕虫病毒具有一定的潜伏性蠕虫病毒具有特定的触发性蠕虫病毒具有很大的破坏性126.3蠕虫病毒的特性蠕虫病毒的特点传染方式多•蠕虫入侵网络的主要途径是通过工作站传播到服务器硬盘中，再由服务器的共享目录传播到其他的工作站•但蠕虫病毒的传染方式比较复杂传播速度快•在单机上，病毒只能通过软盘从一台计算机传染到另一台计算机•在网络中则可以通过网络通信机制，借助高速电缆进行迅速扩散136.3蠕虫病毒的特性蠕虫病毒的特点清除难度大•单机病毒可通过删除带毒文件、低级格式化硬盘等措施清除•而网络中只要有一台工作站未能杀毒干净就可能使整个网络重新全部被病毒感染，甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染•仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题破坏性强•网络中蠕虫病毒将直接影响网络的工作状态•轻则降低速度，影响工作效率•重则造成网络系统的瘫痪，破坏服务器系统资源，使多年的工作毁于一旦146.4蠕虫病毒的机理从编程角度来看，蠕虫由两部分组成主程序•一旦在计算机中建立，就开始收集与当前计算机联网的其他计算机的信息•能通过读取公共配置文件并检测当前计算机的联网状态信息•尝试利用系统的缺陷在远程计算机上建立引导程序引导程序•负责把“蠕虫”病毒带到它所感染的每一台计算机中主程序中最重要的是传播模块实现了自动入侵的功能分为扫描、攻击和复制三个步骤156.4蠕虫病毒的机理扫描功能主要负责探测远程主机的漏洞模拟了攻防的Scan过程当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后，就得到了一个潜在的传播对象攻击按特定漏洞的攻击方法对潜在的传播对象进行自动攻击取得该主机的合适权限，为后续步骤做准备复制在特定权限下，复制功能实现蠕虫引导程序的远程建立工作即把引导程序复制到攻击对象上166.4蠕虫病毒的机理蠕虫程序常驻于一台或多台计算机中具有自动重新定位的能力如果它检测到网络中的某台计算机未被占用，就把自身的一个拷贝发送给那台计算机每个程序段都能把自身的拷贝重新定位于另一台计算机中，并且能够识别出它自己所占用的计算机当前流行的病毒主要采用一些已公开的漏洞、脚本以及电子邮件等进行传播176.5蠕虫病毒的检测与防范对未知蠕虫的检测通用的方法是对流量异常的统计分析对TCP连接异常的分析对ICMP数据异常的分析•在蠕虫的扫描阶段，会随机地或伪随机地生成大量的IP地址进行扫描，探测漏洞主机•这些被扫描的IP地址中会存在许多空的或者不可达的IP地址•从而在一段时间内蠕虫主机会接收到大量来自不同路由器的ICMP-T3（目标不可达）数据包•通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发现，然后隔离分析，并采取相应措施186.5蠕虫病毒的检测与防范对已知蠕虫的检测以Worm.Sasser.b检测为例•首先通过对TCP半连接状态的检测发现病毒的扫描行为，发现可疑的扫描源•然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定端口（445）的攻击行为，进一步确认感染了蠕虫的主机•第三步检测蠕虫的自我传播过程对振荡波来说，是通过5554端口的FTP服务来进行传播•最后通过传播文件的特征（123_up.exe）来进一步确认振荡波的传播196.5蠕虫病毒的检测与防范定期扫描系统通常，防病毒软件都能够设置成在计算机每次启动时扫描系统或定期运行扫描工作一些程序还可以在连接到因特网上时在后台扫描系统更新防病毒软件确保它是最新的限制邮件附件禁止运行附件中的可执行文件（.COM、.EXE等），预防DOC、XLS等附件文档，不要直接运行脚本文件（VBS、SHS）206.5蠕虫病毒的检测与防范邮件程序设置“附件的安全性”设为“高”禁止“服务器脚本运行”慎用邮件预览功能关闭WSH功能有些电子邮件病毒是利用WSH进行破坏的预防为主，利用工具进行保护216.6曾经流行的蠕虫病毒“震荡波”病毒系统开启上百个线程去攻击其他网上的用户造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启其中毒现象非常类似于以前的“冲击波”病毒“网络天空”蠕虫病毒病毒利用系统收信邮件地址，疯狂的乱发病毒邮件大量浪费网络资源，使众多邮件服务器瘫痪因此让受感染的系统速度变慢“诺维格”蠕虫病毒利用邮件疯狂传播，开后门监听可做为代理服务器或自动下载并执行任意程序22“恶鹰”蠕虫病毒利用自带的邮件引擎大量发送病毒邮件可利用局域网和“点对点文件共享工具”进行传播病毒会在被感染的系统中开启后门，等待黑客连接大量的病毒邮件不仅影响个人用户，更直接的危害企业的邮件服务器，可能导致这些邮件服务器出现延迟发信、瘫痪等现象“灾飞”病毒该病毒可以阻碍网络畅通、使防病毒软件失效、并伪装成著名MP3播放器的可执行文件使用户感染中止大量反病毒软件，并用病毒文件替换反病毒软件的主程序，导致反病毒软件无法使用6.6曾经流行的蠕虫病毒236.6曾经流行的蠕虫病毒QQ消息机木马病毒、网游/网银盗号木马QQ消息机利用IE漏洞传播每一个病毒传播范围不广，但是其变种频出网游盗号木马病毒泛滥，其变种繁多，针对各类网络游戏的木马病毒每天都在增加它们会伪装成工具欺骗用户运行，捆绑到网游外挂上利用QQ消息机的传播特性等多种手段进入用户的系统，通过监视用户系统的一举一动伺机盗取用户的网游账号、密码和网络银行的账号、密码给用户带来一定的经济损失246.6曾经流行的蠕虫病毒“好大”病毒及变种于2004年1月出现，随后多个变种开始传播通过电子邮件传播，可以导致企业网络出现大规模终断实际目的是为了控制被感染的计算机一旦被感染，一台PC可能会与已经被蠕虫感染的20台网络服务器相连，使得黑客可以下载PC中的文件求职信及变种一种电子邮件蠕虫病毒它自动向外发送带毒邮件，病毒发作后会感染电脑中的Word文档和Excel文档，且遭受感染的文档和数据根本无法恢复同时，该病毒将终止反病毒软件的运行，并将其从电脑中删除256.6曾经流行的蠕虫病毒冲击波杀手及其变种利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户使他们的计算机无法工作并反复重启，大量企业用户也未能幸免该病毒还引发了DOS攻击，使多个国家的互联网也受到相当影响出现的故障如：电脑不能正常复制粘贴，系统网络连接数增大，系统反应奇慢等安哥Worm.Agobot变种利用微软公布的两个漏洞进行传播病毒运行后会生成病毒文件，修改注册表，终止一些防病毒软件和防火墙的运行另外，病毒可通过局域网共享进行传播，并具有后门功能