3-4-1Red code 蠕虫病毒剖析
蠕虫病毒的特征与防治
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载蠕虫病毒的特征与防治地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容研究生课程论文(2008-2009学年第二学期)蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
蠕虫病毒
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
1982年,Shock和Hupp
根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想
蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播
传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
更新防病毒软件
确保它是最新的
限制邮件附件
禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范
邮件程序设置
“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能
关闭WSH功能
2
后来的红色代码,尼姆达病毒的疯狂
2003年1月26日,“2003蠕虫王”
Morris
90行程序代码 2小时:
6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动
蠕虫病毒
蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
4、原理它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
5、传播途径蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。
信息安全(红色代码)
红色代码 ——介绍篇
稍加改造,将是非常致命的病毒取得所攻破计算机的所有权限
红色代码 ——病毒原理
缓存区溢出"的黑客技术 造成该系统缓存区溢出 继续使用HTTP 向该系统送出 ROOT.EXE木马程序 驻留系统内存 利用HTTP协议 超级用户权限 在该系统运行 继续感染其他IIS系统
总是在乱码前加上一个后缀为.id在该系统运行a的文件名, 表示它正在请求该文件, 这是红色代码的重要特征
红色代码 ——运行过程
设置运行环境 不进一步传染其他主机
C: \ not worm 文件
传染其他主机
篡改主页 产生对电脑的白宫的拒绝服务攻击
红色代码 ——破坏力
蠕虫病毒的活动一般与时间相关,根据系统时间不同会 采取不同的活动: 1-19天 通过查找网络上更多地IIS服务器尝试自我传播。 20-27天 对几个固定的IP地址发动拒绝服务攻击,包括白宫的IP 地址。 28天到月末 休眠,没有攻击活动。
红色代码 ——病毒变种
红色代码II 红色代码II病毒不同于以往的文件型病毒和 引导型病毒
红色代码III 红色代码三代病毒允许黑客拥有远程访问w eb 服务器的完全权限
Codered.F 是红色代码的最新变种病毒,主要是利用微 软IIS远程缓存溢出漏洞获得系统权限
感谢各位!
信息安全之病毒 ——红色代码
成员:138叶海峰1300002032 138张 华1300002014
常见病毒 ——科普篇
黑狐木马、以及它的变种“肥兔”、鬼影、Windows NT蠕虫 Stuxnet蠕虫、Meli—名称由来
红色病毒首先被eEye Digital Security公司的 雇员Marc Maiffret和Ryan Permeh发现并研究。 他们将其命名为“Code Red”,因为他们当 时在喝Code Red Mountain Dew
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
详细的蠕虫病毒介绍
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
网络蠕虫
网络蠕虫基本知识所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。
他不同于病毒。
具有它们自己独特的传播方式和巨大的破坏力。
1 网络蠕虫的特性1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的;2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。
这个可以有上边的模型看出;3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败;4)利用软件漏洞,造成网络拥塞,系统消耗资源,留下安全隐患的特性。
2 蠕虫的运行技术介绍2.1 红色代码(CODE RED)2001年8月爆发的Code Red 利用IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。
这个蠕虫病毒使用服务器的端口80 进行传播,而这个端口正是Web 服务器与浏览器进行信息交流的渠道。
Code Red 主要有如下特征:入侵IIS 服务器,code red 会将WWW 英文站点改为:"Hello! Welcome to ! Hacked by Chinese! ";与其它病毒不同的是,Code Red 并不将病毒信息写入被攻击服务器的硬盘。
它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。
这也正是蠕虫与计算机病毒之间最大的区别。
红色代码根据上述漏洞将自己作为一个TCP/IP 流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。
一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
在被感染主机上蠕虫将进行如下操作感染其他主机:1)起初始蠕虫环境,进行自我复制。
并开始获得控制权。
2)建立起n 个蠕虫线程。
(n 一般取100)。
最危险的五种电脑病毒
最危险的五种电脑病毒电脑病毒的类型多种多样,它们中有的只会给电脑带来一些小麻烦,而还有一些更加危险的则有可能致使系统瘫痪或硬件受损。
下面给大家分享最危险的五种电脑病毒,欢迎阅读:史上最危险的五种电脑病毒:最危险电脑病毒1:I LOVE YOUILOVEYOU也许是计算机历史当中最危险的病毒。
在当年,它感染了将近10%的可联网计算机,造成的经济损失高达100亿美元。
这种病毒是通过电子邮件所传播的,其邮件标题就是“ILOVEYOU。
为了进一步增加诱惑力,又见当中还附带着一个题为“Love-Letter-For-You.TXT.vbs(给你的情书)。
如果你打开该文件,病毒会自动向Windows地址簿当中保存的前50个联系人发送相同的邮件。
最危险电脑病毒2:MelissaMelissa计算机病毒在1999年3月26日登上了新闻头条。
这种病毒同样通过邮件传播,并会包含一个名为“list.doc的附件。
点开附件之后,病毒会寻找到微软Outlook地址簿当中的前50个联系人,然后向他们发送一封题为“这是你要的文件……不要给其他人看的邮件。
随后,FBI逮捕了病毒的制作者David L Smith,此人声称自己编写这条病毒是是为了纪念一位一见倾心的脱衣舞女郎,她的名字就叫Melissa。
最危险的电脑病毒最危险电脑病毒3:My DoomMy Doom是2004年爆发的病毒,它通过电子邮件传播,发件人地址和邮件主题完全随机,它所感染的计算机数量约为200万部。
这种病毒的行为方式非常狡诈,收件人在收到邮件之后会看到一个类似于错误弹窗的窗口,当中写着“邮件处理失败。
而在点击该信息之后,其附件中的蠕虫病毒便会开始工作,向电脑地址簿内保存的地址继续发送邮件。
外界认为,My Doom所造成的经济损失可能达到了380亿美元。
最危险电脑病毒4:Code Red通过利用微软Internet Information Server的漏洞,2001年出现的Code Red病毒开始将网络服务器作为攻击目标。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CodeRed并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存
2001年6月18日 微软公司宣布在IIS网络服务器软件中发现一个漏洞, 而IIS软件是架设网站最基础的软件之一。 7月13日 一家名为“左岸系统”的公司称,几台服务器遭到一种新病毒 的入侵,利用的正是IIS服务器软件的这个缺陷。 7月16日 发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个 病毒,称之为:红色代码(Code Red)。 7月18日午夜 红色代码大面积暴发,被攻击的电脑数量达到35.9万台。被攻 击的电脑中44%位于美国,11%在韩国,5%在中国,其余分散在 世界各地。
预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严
重危害。看来,蠕虫不再是黑暗中隐藏的“黑手”,而是己露出凶相的“狼 群”。
计算机病毒与防治课程小组
蠕虫病毒简介
什么是蠕虫呢?
1988年 Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和 传统病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行, 并能把自身的一个包含所有功能的版木传播到另外的计算机上。” 蠕虫显示出类似于计算机病毒的一些特征,它同样也具有四个阶段: 潜伏阶段 传染阶段 触发阶段 发作阶段
计算机病毒与防治课程小组
Co个名为“红色代码”的病毒开始疯狂攻击美国白宫网站,白 宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址, 才幸免于难。然而灾难并没有结束,这个蠕虫病毒已复制变成 10多万个,并且以每4.5小时400MB的速度大量发送垃圾信息。 7月19日 “红色代码”停止猛攻进入休眠期,不再进行大规模的活动。 7月20日 瑞星公司通过全球病毒监控网获得“红色代码”病毒样本。 7月31日 格林尼治时间午夜整点,“红色代码”将再度复活,在全球 大面积蔓延,由于某些受感染的网站上出现“中国黑客入侵” 的字样,国外媒体产生“病毒制造者是否来自中国”的猜测。
计算机病毒与防治课程小组
Code Red病毒剖析
缓冲溢出黑客技术
“红色代码”采用了一种叫做“缓存区溢出”的黑客技术,利用网络上使用微软IIS系统 的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口 正是Web服务器与浏览器进行信息交流的渠道。“红色代码”主要有如下特征:入侵IIS 服务器,code red会将WWW英文站点改写为: “Hello! Welcome to ! Hacked by Chinese!”;与其它病毒不同的是,
近年来,由蠕虫引发的安全事件此起彼伏,且有愈演愈烈之势。
从 2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒 (SQL SLAMMER蠕虫), 到近日肆掠的“冲击波”蠕虫病毒,无不有蠕虫的影子,并且开始与传统病毒 相结合了。蠕虫通常会感染Windows 2000! XP/Server 2003系统,如果不及时
4 与黑客技术相结合,潜在的威胁和损失更大!以红色代码为例,感染后 的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任 何命令,从而使黑客能够再次进入!
计算机病毒与防治课程小组
Code Red病毒剖析
Code Red病毒简介
病毒名称:Code Red(红色代码)病毒,又名 W32/Bady.worm
病毒类型: 蠕虫病毒
危险级别:★★★★★
病毒特点:该蠕虫感染运行Microsoft Index Server 2.0的系统,或是 在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统。
计算机病毒与防治课程小组
Code Red病毒爆发过程
红色代码病毒爆发了!!!
计算机病毒与防治
Virus
计算机病毒与防治课程小组
教学单元4-4 蠕虫病毒防治
第一讲 Red code 蠕虫病毒剖析
蠕虫病毒简介 蠕虫病毒特点 蠕虫病毒发展趋势 red code 病毒剖析
Red code 病毒防治
计算机病毒与防治课程小组
蠕虫病毒简介
蠕虫时代……
1988年11月2日,Morris蠕虫发作,几天之内6000台以上的Internet 服务器被感染,损失高达数百万美元。
计算机病毒与防治课程小组
蠕虫病毒特点
蠕虫病毒和传统病毒的比较
传统病毒 存在形式
复制机制 寄生 插入到宿主程序中 宿主程序运行 针对本地文件 计算机使用者 文件系统 从宿主文件中清除 计算机使用者、反病毒厂商
蠕虫
独立存在 自身的拷贝 系统存在漏洞 针对网络上的其他计算机 程序自身 网络性能、系统性能 为系统打补丁 系统提供商、网络管理人员
2 传播方式多样 如“尼姆达”病毒和“求职信”病毒,可利用的传播途径包 括文件、电子邮件、Web服务器、网络共享等等。
计算机病毒与防治课程小组
蠕虫病毒发展趋势
3 病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的 编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反 病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技 术,可以潜伏在HTML页面里,在上网浏览时触发。
传染机制
传染目标 触发传染 影响重点 防止措施 对抗主体
计算机病毒与防治课程小组
蠕虫病毒主要功能模块
搜索模块 攻击模块 蠕 虫 程 序 功 能 模 型 基本功能模块 传输模块 信息搜集模块 繁殖模块 通信模块 扩展功能模块 隐藏模块 破坏模块 控制模块
计算机病毒与防治课程小组
蠕虫病毒发展趋势
1 利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“ 红色代码”和“尼姆达”,以及至今依然肆虐的“求职信”等.由于IE浏览器 的漏洞(Iframe Execcomand),使得感染了“尼姆达”病毒的邮件在不去 手工打开附件的情况下病毒就能激活。 “红色代码”是利用了微软IIS服 务器软件的漏洞(idq.dll远程缓存区溢出)来传播。SQL蠕虫王病毒则是 利用了微软的数据库系统的一个漏洞进行大肆攻击!