蠕虫病毒原理

蠕虫病毒原理蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞包含蠕虫的邮件非法的MIME头部解出的蠕虫程序感染机器Content-Type:audio/x-wav;name=worm.exeContent-Transfer-Encoding:base64TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/AwiT8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8iBXorikeORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQMHUwCDJP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAwMIME描述漏洞蠕虫与漏洞网页蠕虫（木马）主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”随机生成IP地址有些蠕虫给出确定的地址范围，还有一些给出倾向性策略，用于产生某个范围内的IP地址地址探测主机是否存在?漏洞是否存在?攻击、传染现场处理虚线框内的所有工作可以在一个数据包内完成是是否否蠕虫的工作方式与扫描策略蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制，只进行几次扫描把扫描分散在不同的时间段进行蠕虫的工作方式与扫描策略蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan)从传播模式进行安全防御对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。从传播模式进行安全防御在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。用Sniffer进行蠕虫检测一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的同样，我们可以发现，如下IP地址存在同样的问题首先我们对IP地址为22.163.0.9的主机产生的网络流量进行过滤蠕虫病毒流量分析发出的数据包的内容一、两种检测粒度的比较在早期的snort在其virus.rules中，用了多达24条规则来检测名为NewApt的蠕虫，占了全部VX规则的28%。粗糙的文件名检测法content:filename=\THEOBBQ.EXE\;content:filename=\COOLER3.EXE\;content:filename=\PARTY.EXE\;content:filename=\HOG.EXE\;content:filename=\GOAL1.EXE\;content:filename=\PIRATE.EXE\;content:filename=\VIDEO.EXE\;content:filename=\BABY.EXE\;content:filename=\COOLER1.EXE\;content:filename=\BOSS.EXE\;content:filename=\G-ZILLA.EXE\;content:filename=\COYPER..EXE\;content:filename=\GADGET.EXE\;content:filename=\IRNGLANT.EXE\;content:filename=\CASPER.EXE\;content:filename=\FBORFW.EXE\;content:filename=\SADDAM.EXE\;content:filename=\BBOY.EXE\;content:filename=\MONICA.EXE\;content:filename=\GOAL.EXE\;content:filename=\PANTHER.EXE\;content:filename=\CHESTBURST.EXE\;content:filename=\FARTER.EXE\;content:filename=\CUPID2.EXE\;粗检测粒度的表现通过对病毒的分析来看，Worm.NewApt附件文件清单是26个，而不是24个。Rule(s)fromC&D没有错误，但Capture&Decode之外，希望能补充进，Code&Disassemblers附件文件名检测方式弊端对于那些随机选择附件名文件名或者提取本机文件的文件名作为自身名字的蠕虫无能为力。一个同名的正常附件，带来误报造成用户的恐慌。同时，修改文件名对于修改蠕虫是最容易的。细粒度检测站在基于文件系统的病毒分析来看，I-worm.NewApt完全可以靠文件体中如下的特征串来检测：|680401000056FF152CC04000568B75106884F7400056E8CC0800005903C650E83B07000083C40C6880F7400056E8B50800005903C650……|问题（一）网络检测与文件检测的不同蠕虫在网络传输中的形态，不是2进制文件，而是经过编码后的，下面就是病毒特征码所对应的base64编码：GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAgAAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQPGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQPGUGjo90AA/9ej5AFBA……同时新的问题产生：|0d0a|如何处理？问题（二）特征码质量特征码不能任意选取，而要求能够准确无误报的实现检测。•长度要求•复杂度要求•其他要求问题（三）如何面对更多层面的需求IDS的规则问题只是我们问题的出发点。能否实现御毒于内网之外Firewall、Gap能否扩充反病毒能力骨干网络能否建立病毒疫情监控机制，甚至直接切断蠕虫传播独立病毒分析的准备工作对于网络安全企业的高手们来说，剖析几个蠕虫，提取特征码，没有问题，但要注意这是系统的工作：建立自己的病毒捕获网络，第一时间获得新病毒样本；建立完善的样本库建立自己的特征码分析体制，保证特征码的科学性，避免漏报和误报的可能。警告：对于firewall或者IDS开发部门来说，维持一个专门的VirusCert小组可能是得不偿失的。第二章、结合文件级别反病毒技术反病毒技术是一个积累性技术。有一定难以逾越的基础，因此，结合传统反病毒企业的技术是安全厂商的一种选择。一些二线反病毒厂商也把向其他网络安全安全厂商、其他厂商和服务商和提供AVSDK作为新的热点。另一方面，更多的反病毒厂商正在积极扩展自己的网络安全产品线，从而构筑全面地解决方案。