GF蠕虫病毒
蠕虫病毒
蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
4、原理它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
5、传播途径蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。
怎么理解蠕虫病毒有哪些恶意行为
怎么理解蠕虫病毒有哪些恶意行为一些被窃的恶意程序,它们可以多方传播,以首次中毒的计算机为跳板,通过邮件,后门,漏洞等各种方式传播,这种恶意程序,我们可以称之为病毒,其中病毒种类也有很多,如木马,蠕虫等等,今天我们具体介绍蠕虫病毒,有兴趣的朋友们一起看看!什么是蠕虫?蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。
因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
而且它的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害远较普通病毒为大。
典型的蠕虫病毒有尼姆达、震荡波、熊猫烧香等。
蠕虫病毒恶意行为样本会在QQ群共享文件中上传诱导性的网站链接。
如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。
虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件,它能够在计算机网络中迅速
传播并对系统造成严重危害。
蠕虫病毒的原理主要包括感染、复制和传播三个方面。
首先,蠕虫病毒通过利用系统或应用程序的漏洞进行感染。
一旦蠕虫病毒成功
感染了一个主机,它就会开始复制自身,并尝试传播到网络中的其他主机。
蠕虫病毒通常会利用网络中的共享文件、邮件附件、漏洞或弱密码等方式进行传播,这使得它能够在网络中快速蔓延。
其次,蠕虫病毒会利用感染的主机资源进行自我复制。
它会利用系统的漏洞或
弱密码,将自身复制到其他主机上,并在被感染的主机上执行恶意代码,以实现自我复制和传播。
蠕虫病毒的自我复制能力使得它能够在网络中迅速扩散,并对系统造成更大的危害。
最后,蠕虫病毒会利用传播途径将自身传播到其他主机上。
它会利用网络中的
漏洞或弱密码,将自身复制到其他主机上,并在被感染的主机上执行恶意代码,以实现自我复制和传播。
蠕虫病毒的传播能力使得它能够在网络中快速传播,并对系统造成严重的破坏。
总的来说,蠕虫病毒主要通过感染、复制和传播三个步骤来实现对系统的攻击。
它利用系统漏洞和弱密码进行感染,利用感染的主机资源进行自我复制,利用传播途径将自身传播到其他主机上。
因此,要防范蠕虫病毒的攻击,我们需要加强系统安全意识,定期更新系统补丁,使用强密码,并定期进行安全检测和防护。
只有这样,我们才能有效预防蠕虫病毒的攻击,保护系统的安全。
蠕虫病毒原理
content: "filename=\"GADGET.EXE\""; content: "filename=\"IRNGLANT.EXE\""; content: "filename=\"CASPER.EXE\""; content: "filename=\"FBORFW.EXE\""; content: "filename=\"SADDAM.EXE\""; content: "filename=\"BBOY.EXE\""; content: "filename=\"MONICA.EXE\""; content: "filename=\"GOAL.EXE\""; content: "filename=\"PANTHER.EXE\""; content: "filename=\"CHESTBURST.EXE\""; content: "filename=\"FARTER.EXE\""; content: "filename=\"CUPID2.EXE\"";
问题(二)特征码质量
特征码不能任意选取,而要 求能够准确无误报的实现检 测。
•长度要求
•复杂度要求 •其他要求
问题(三)如何面对更多层面的需求
IDS的规则问题只是我们问题的出发点。 能否实现御毒于内网之外 Firewall、Gap能否扩充反病毒能力 骨干网络能否建立病毒疫情监控机制,甚至直 接切断蠕虫传播
蠕虫病毒原理
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
蠕虫病毒
分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒
第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。
蠕虫病毒
6.5 蠕虫病毒的检测与防范
对已知蠕虫的检测
以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程
11
6.3 蠕虫病毒的特性
蠕虫病毒的特点
清除难度大
•
•
•
单机病毒可通过删除带毒文件、低级格式化硬盘等措施清除 而网络中只要有一台工作站未能杀毒干净就可能使整个网络重新 全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能 被网上另一台工作站的带毒程序所传染 仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题 网络中蠕虫病毒将直接影响网络的工作状态 轻则降低速度,影响工作效率 重则造成网络系统的瘫痪,破坏服务器系统资源,使多年的工作 毁于一旦
6.1 蠕虫的基本概念
根据攻击对象不同 面向企业用户和局域网
• • • •
利用系统漏洞,主动进行攻击,可以使整个因特网瘫痪 “红色代码”、“尼姆达”、“SQL蠕虫王” 具有很大的主动攻击性,爆发也具有一定的突然性 相对来说查杀较容易
针对个人用户
•
• • •
通过网络(主要是电子邮件、恶意网页)迅速传播 “爱虫”、“求职信” 传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞, 更多的利用社会工程学对用户进行欺骗和诱使 造成的损失非常大,同时很难根除
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
西安邮电大学
通信与信息工程学院 网络攻防实验报告
专业班级:
学生姓名: 学号(班内序号):
2014 年 6 月 4 日
——————————————————————————
装
订
线————————————————————————————————
报告份数:
实验蠕虫病毒
1.场景描述
在虚拟机中进行蠕虫病毒的测试,包括其作用机制及相关杀毒工具的使用。
实验样本:暴风一号.vbs
备注:实验工具(D盘-->攻防工具包-->蠕虫病毒:暴风一号.vbs、病毒专杀工具—BoyFineKiller、硬盘恢复工具—del.vbs)
2.实验目的
1).学会简单分析病毒代码,从病毒代码中看懂病毒是通过何种方法对系统的篡改和破坏。
2).了解病毒是如何隐藏的,学会借助专门杀毒软件,查杀病毒。
3.需求分析
蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
4.技术分析
以暴风一号病毒为例。
根据病毒的VBS脚本语言,病毒首先通过执行 strreverse() 函数,得到病毒的解密函数。
解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。
所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe如果是 FAT 格式,病毒会将自身复制到 C:\Windows\System32 下,文件名为随机数字。
如果是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中C:\Windows\explorer.exe ,C:\Windows\System32\smss.exe。
并且病毒会修改注册表,使进程异常,如果满足一定条件,则会触发锁定计算机等恶意行为。
5.实验步骤及结果
1).实验环境:靶机——192.168.2.181
2).实验需求:暴风一号病毒样本
暴风一号病毒专杀工具
3).实验过程:
(1).查看中毒前的相关设置,在文件夹“工具栏->文件夹选项”设置“不显示隐藏文件和文件夹”。
(2).点击打开病毒文件,查看中毒后的电脑情况:
(I).病毒自我变形,在压缩状态下打开病毒样本,打开后,提示文件已改变,是否保存到压缩文件中。
(II).病毒自我复制,病毒运行后,会将系统的Wscript.exe复制到
C:\Windows\System\svchost.exe。
如果硬盘属性是FAT格式,病毒会将自身复制到C:\Windows\System32下,文件名为随机数字。
如果硬盘属性是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件C:\Windows\explorer.exe ,C:\Windows\System32\smss.exe中。
(III).修改注册表,文件夹“工具栏->文件夹选项->显示隐藏文件和文件夹”打钩,并取消勾选隐藏系统文件,但查看隐藏文件的选项失效。
(IV).在硬盘中创建所有文件的快捷方式,并隐藏部分真正的文件,对用户打开文件具有很大的诱惑性。
(3).病毒的清除:
(I).利用暴风一号专杀病毒“BoyFineKiller”把病毒查杀。
(II).利用工具“stream.exe”和“del.vbs”来修复硬盘。
(III).除了利用专门的工具查杀和修复,还可以上网查找到该病毒的手动查杀方式。
6.问题答疑
目前网络上危害大的蠕虫病毒有哪些?
答:1).熊猫烧香病毒
2).QQ群蠕虫病毒
指导教师评语:
实 验 成 绩: 指导(辅导)教师 :
——————————————————————————
装
订
线————————————————————————————————。