蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
详细的蠕虫病毒介绍
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
蠕虫病毒原理与查杀机制分析和设计
蠕虫病毒原理与查杀机制分析和设计作者:崔朝霞等来源:《数字技术与应用》2014年第04期摘要:本文通过对VBS蠕虫病毒运行原理进行分析,设计了基于C++程序的专杀工具,并提出防范蠕虫病毒的防范方法。
关键词:VBS 蠕虫病毒专杀工具中图分类号:TP309.5 文献标识码:A 文章编号:1007-9416(2014)04-0189-011 蠕虫病毒的原理1.1 什么是蠕虫病毒蠕虫病毒是具备自我复制功能和传染功能的对系统具有破坏性的一种计算机程序,一般是通过计算机网络传播并感染网络上其他计算机的。
蠕虫一般无需宿主程序,主要借助网络和电子邮件进行拷贝和传播自己,传播的过程中有时还会发生变种,具有一定的危害性。
蠕虫病毒和传统意义上的计算机病毒存在很大的区别:由于不需要宿主程序,蠕虫病毒书写简单,甚至有人专门写出蠕虫病毒生成器,成为一些初级黑客的常用工具;当前网络飞速发展使得蠕虫病毒传染性达到难以控制的程度,但是同样由于蠕虫病毒的编制简单,使得我们查看它的代码并最终清除它变得相对简单。
1.2 蠕虫病毒的原理我们以VBS蠕虫病毒为例介绍蠕虫病毒的设计方法。
VBS病毒能够直接使用Windows组件,从而接管注册表和系统文件的掌控权,因而VBS蠕虫病毒对系统的破坏性极大,可能会造成网络拥堵、冗余的文件充斥系统,拖慢系统速度。
如果系统中存在大量扩展名为vbs或vbe格式的文件,同时进程管理器中wscript.exe在运行,且系统速度很慢。
那么很可能是中了VBS蠕虫病毒。
(1)VBS复制自己。
VBS蠕虫病毒通常是借助复制自己的方法来感染其它文件的。
其基本原理是是首先生成一个文件系统对象,然后将病毒程序复制到文件中,并修改文件名后缀为vbs,文件名前缀不定。
set temp=CreateObject(“scripting.filesystem”)temp.GetFile(wscript.scriptfullname).copy(“.\tmp.vbs”)上述程序描述了程序进行自我复制的原理。
蠕虫病毒
分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒
第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。
蠕虫病毒的传播原理
《计算机系统安全》课程结课论文《蠕虫病毒的传播原理》学生姓名陈军辉学号5011212502所属学院信息工程学院专业计算机科学与技术班级计算机16—5指导教师李鹏塔里木大学教务处制摘要:蠕虫病毒发展迅速,现在的蠕虫病毒融入了黑客、木马等功能,还能阻止安全软件的运行,危害越来越大。
本文介绍了蠕虫病毒的定义,特点,结构及其在传播过程中的功能,最后介绍了蠕虫病毒的传播机制。
关键词:计算机蠕虫;传播;目录引言 0正文 01。
蠕虫病毒的定义及特点 02。
蠕虫病毒的构成及在传播过程中的功能 (1)3。
攻击模式 (2)3.1 扫描-攻击—复制 (2)3.2模式的使用 (4)3。
3蠕虫传播的其他可能模式 (4)4。
从安全防御的角度看蠕虫的传播模式 (4)总结 (5)参考文献: (5)蠕虫病毒的传播原理引言蠕虫病毒是一种常见的计算机病毒.它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形.蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接).正文1.蠕虫病毒的定义及特点蠕虫病毒的定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。
蠕虫病毒入侵完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
当这些新的被蠕虫入侵的计算机被控制之中后,蠕虫会以这些计算机为宿主继续扫描并感染其他计算机,这种行为会一直延续下去。
蠕虫使用这种递归的方法进行传播,按照指数增长的规律分布自己,进而及时控制越来越多的计算机。
蠕虫病毒有如下特点:(1)较强的独立性.计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。
而蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。
蠕虫病毒的原理
蠕虫病毒的原理
蠕虫病毒产生于上世纪70年代,它是根基与网络的,所以随着网络的发展,蠕虫病毒也越来越强大、破坏力越来越强大。
下面是店铺跟大家分享的是蠕虫病毒的原理,欢迎大家来阅读学习。
蠕虫病毒的原理
方法/步骤
1首先,扫描侦测存在漏洞的主机。
随机选取某一段的IP地址,然后对这一地址段上的主机进行扫面。
被感染的主机也会加入扫面的行列中来。
积少成多,大量蠕虫程序的扫描将引起网络阻塞。
2攻击,当蠕虫扫描到网络中存在的主机后,就开始利用自己的破坏模块获取主机的管理员权限。
3最后,利用原主机同被感染主机的交互,将蠕虫程序复制到新主机中并启动。
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件,它可以通过网络迅速传播,
并对计算机系统造成严重的破坏。
蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
首先,蠕虫病毒通过利用系统的漏洞或者安全漏洞进行感染。
一旦蠕虫病毒成
功侵入系统,它就会开始自我复制,并试图传播到其他的计算机系统中。
蠕虫病毒通常会利用网络上的共享资源、邮件附件、移动设备等方式进行传播,以此来迅速扩散和感染更多的计算机系统。
其次,蠕虫病毒会利用各种手段来破坏受感染的系统。
它可以删除文件、篡改
数据、监视用户的操作、窃取个人信息等,从而给受感染的系统带来严重的安全隐患。
蠕虫病毒的破坏性非常强,一旦感染,往往会给用户带来巨大的损失。
蠕虫病毒的传播和破坏原理是密不可分的,它们共同构成了蠕虫病毒的恶意行为。
蠕虫病毒通过不断自我复制和传播,不仅会给受感染的系统带来严重的安全威胁,也会对网络安全造成严重的影响。
因此,我们必须加强对蠕虫病毒的防范意识,及时更新系统补丁,安装杀毒软件,加强网络安全防护,以确保计算机系统的安全。
总之,蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
它通过利用系统
漏洞进行感染,利用各种手段进行传播和破坏,给计算机系统的安全带来了严重威胁。
我们必须加强对蠕虫病毒的防范意识,提高网络安全防护能力,以保护计算机系统的安全。
什么是蠕虫病毒
什么是蠕虫病毒蠕虫病毒是计算机病毒的一种。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。
其中利用系统漏洞传播的病毒往往传播速度极快,如利用微软04-011漏洞的“震荡波”病毒,三天之内就感染了全球至少 50 万台计算机。
防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的“漏洞扫描”工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。
通过电子邮件传播,是近年来病毒作者青睐的方式之一,像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。
这样的病毒往往会频繁大量的出现变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
另外,启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。
“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
随着网络和病毒编写技术的发展,综合利用多种途径的蠕虫也越来越多,比如有的蠕虫病毒就是通过电子邮件传播,同时利用系统漏洞侵入用户系统。
还有的病毒会同时通过邮件、聊天软件等多种渠道传播。
蠕虫病毒的一般防治方法使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
对于网络安全企业的高手们来说,剖析几个蠕虫, 提取特征码,没有问题,但要注意这是系统的工 作: 建立自己的病毒捕获网络,第一时间获得新病毒 样本; 建立完善的样本库 建立自己的特征码分析体制,保证特征码的科学 性,避免漏报和误报的可能。 警告:对于firewall或者IDS开发部门来说,维持 一个专门的Virus Cert小组可能是得不偿失的。
从传播模式进行安全防御
对蠕虫在网络中产生的异常,有多种的的方法 可以对未知的蠕虫进行检测,比较通用的方法 是对流量异常的统计分析,主要包括对TCP连 接异常的分析和ICMP数据异常分析的方法。
从传播模式进行安全防御
在蠕虫的扫描阶段,蠕虫会随机的或者伪随机的生成 大量的IP地址进行扫描,探测漏洞主机。这些被扫描 主机中会存在许多空的或者不可达的IP地址,从而在 一段时间里,蠕虫主机会接收到大量的来自不同路由 器的ICMP不可达数据包。流量分析系统通过对这些 数据包进行检测和统计,在蠕虫的扫描阶段将其发现, 然后对蠕虫主机进行隔离,对蠕虫其进行分析,进而 采取防御措施。 将ICMP不可达数据包进行收集、解析,并根据源和 目的地址进行分类,如果一个IP在一定时间(T)内 对超过一定数量(N)的其它主机的同一端口(P) 进行了扫描,则产生一个发现蠕虫的报警(同时还会 产生其它的一些报警)。
现在流行的蠕虫采用的传播技术目标,一般是尽快地传播到 尽量多的计算机中 扫描模块采用的扫描策略是:随机选取某一段IP地址,然后 对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程,大量蠕 虫程序的扫描引起严重的网络拥塞 在IP地址段的选择上,可以主要针对当前主机所在的网段进 行扫描,对外网段则随机选择几个小的IP地址段进行扫描 对扫描次数进行限制,只进行几次扫描 把扫描分散在不同的时间段进行
粗糙的文件名检测法
content: "filename=\"THEOBBQ.EXE\""; content: "filename=\"COOLER3.EXE\""; content: "filename=\"PARTY.EXE\""; content: "filename=\"HOG.EXE\""; content: "filename=\"GOAL1.EXE\""; content: "filename=\"PIRATE.EXE\""; content: "filename=\"VIDEO.EXE\""; content: "filename=\"BABY.EXE\""; content: "filename=\"COOLER1.EXE\""; content: "filename=\"BOSS.EXE\""; content: "filename=\"G-ZILLA.EXE\""; content: "filename=\"COYPER..EXE\"";
蠕虫的工作方式一般是“扫描→攻击→复制”
随机生成 IP地址 有些蠕虫给出确定的地址范围, 还有一些给出倾向性策略,用于 产生某个范围内的IP地址 虚线框内的所有工作 可以在一个数据包内完成
地址探测 是
主机是否 存在? 否
漏洞是否 存在? 否
是
攻击、传染 现场处理
蠕虫的工作方式与扫描策略
蠕虫的扫描策略
对扫描策略的改进
蠕虫的工作方式与扫描策略
蠕虫常用的扫描策略
选择性随机扫描(包括本地优先扫描) 可路由地址扫描(Routable Scan) 地址分组扫描(Divide-Conquer Scan) 组合扫描(Hybrid Scan) 极端扫描(Extreme Scan)
细粒度检测
站 在 基 于 文 件 系 统 的 病 毒 分 析 来 看 , Iworm.NewApt完全可以靠文件体中如下的特征 串 来 检 测 : |680401000056FF152CC04000568B7510688 4F7400056E8CC0800005903C650E83B070 00083C40C6880F7400056E8B50800005903 C650„„|
同样,我们可以发现,如下IP地址存 在同样的问题
首先我们对IP地址为22.163.0.9的主机 产生的网络流量进行过滤
蠕虫病毒流量分析
发出的数据包的内容
一、两种检测粒度的比较
在早期的snort在其virus.rules中,用了多达24 条规则来检测名为NewApt的蠕虫,占了全部 VX规则的28%。
蠕虫病毒原理
蠕虫病毒
蠕虫病毒是一种常见的计算机病毒。它是利用网络进 行复制和传播,传染途径是通过网络和电子邮件。 蠕虫病毒是自包含的程序(或是一套程序),它能传播 自身功能的拷贝或自身(蠕虫病毒)的某些部分到其 他的计算机系统中(通常是经过网络连接)。 蠕虫病毒的传染目标是互联网内的所有计算机.局域网 条件下的共享文件夹,电子邮件email,网络中的恶 意网页,大量存在着漏洞的服务器等都成为蠕虫传播 的良好途径 。网络的发展也使得蠕虫病毒可以在几个小时内蔓延 全球!而且蠕虫的主动攻击性和突然爆发性会使得人们 手足无策
系统漏洞蠕虫
利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并 尝试溢出,然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低,甚至系统崩溃, 属于最不受欢迎的一类蠕虫
蠕虫的工作方式与扫描策略
问题(二)特征码质量
特征码不能任意选取,而要 求能够准确无误报的实现检 测。
•长度要求
•复杂度要求 •其他要求
问题(三)如何面对更多层面的需求
IDS的规则问题只是我们问题的出发点。 能否实现御毒于内网之外 Firewall、Gap能否扩充反病毒能力 骨干网络能否建立病毒疫情监控机制,甚至直 接切断蠕虫传播
content: "filename=\"GADGET.EXE\""; content: "filename=\"IRNGLANT.EXE\""; content: "filename=\"CASPER.EXE\""; content: "filename=\"FBORFW.EXE\""; content: "filename=\"SADDAM.EXE\""; content: "filename=\"BBOY.EXE\""; content: "filename=\"MONICA.EXE\""; content: "filename=\"GOAL.EXE\""; content: "filename=\"PANTHER.EXE\""; content: "filename=\"CHESTBURST.EXE\""; content: "filename=\"FARTER.EXE\""; content: "filename=\"CUPID2.EXE\"";
用Sniffer进行蠕虫检测
一般进行流量分析时,首先关注的是产生网络 流量最大的那些计算机。利用Sniffer的Host Table功能,将所有计算机按照发出数据包的 包数多少进行排序