常见计算机病毒.ppt

,计算机病毒中的蠕虫病毒,制作：杨东方 学号：14514033,主要内容,网络蠕虫的定义及其与狭义病毒的区别 蠕虫的分类 蠕虫的工作原理 蠕虫的行为特征 蠕虫的防治,网络蠕虫,1.1 蠕虫的起源,1980年，Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时，编写了一种特殊程序，Xerox蠕虫 1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生 Morris为了求证计算机程序能否在不同的计算机之间进行自我复制传播，编写了一段试验程序 为了让程序能顺利进入另一台计算机，他还写了一段破解用户口令的代码 11月2日早上5点，这段被称为“Worm”(蠕虫)的程序开始了它的旅行。它果然没有辜负Morris的期望，爬进了几千台计算机，让它们死机 Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播 Morris在证明其结论的同时，也开启了蠕虫新纪元,1 蠕虫的起源及其定义,Morris,90行程序代码 2小时： 6000台电脑（互联网的十分之一）瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动 病毒的萌芽： 没有企图用蠕虫去破坏数据或文件，但他企图让蠕虫广泛传播,1.2 蠕虫的原始定义,蠕虫这个生物学名词在1982年由Xerox PARC的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制” 1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上),1 蠕虫的起源及其定义,1.3 计算机病毒的原始定义,计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的：“A program that can infect other programs by modifying them to include a possibly evolved copy of itself.”(计算机病毒是一种可以感染其它程序的程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的) 1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，将病毒的含义作了进一步的解释：“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.”(计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它),1 蠕虫的起源及其定义,1.4 蠕虫与病毒之间的区别及联系,1 蠕虫的起源及其定义,1.5 蠕虫定义的进一步说明,计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关 蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒 不能简单的把利用了部分网络功能的病毒统称为蠕虫或蠕虫病毒 “Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、“Lover Letter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫,1 蠕虫的起源及其定义,2.1 蠕虫的分类,根据蠕虫的传播、运作方式，可以将蠕虫分为两类 主机蠕虫 主机蠕虫的所有部分均包含在其所运行的计算机中 在任意给定的时刻，只有一个蠕虫的拷贝在运行 也称作“兔子”(Rabbit) 网络蠕虫 网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作) 使用网络的目的，是为了进行各部分之间的通信以及传播 网络蠕虫具有一个主segment，该主segment用以协调其他segment的运行 这种蠕虫有时也称作“章鱼”(Octopus),2 蠕虫的分类,网络蠕虫最大特点是利用各种漏洞进行自动传播 根据网络蠕虫所利用漏洞的不同，又可以将其细分 邮件蠕虫 主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞（它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。）,2 蠕虫的分类,MIME描述漏洞,2.2 蠕虫与漏洞,网页蠕虫 主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种 用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播 系统漏洞蠕虫 系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫,2 蠕虫的分类,3.1 蠕虫的基本结构,蠕虫程序的实体结构 蠕虫程序的功能结构,3 蠕虫的基本原理,3.2 蠕虫的工作方式与扫描策略,蠕虫的工作方式一般是“扫描攻击复制”,3 蠕虫的基本原理,“冲击波(Blaster)”,爆发年限:2003年夏季,5.1 “冲击波清除者”概述,2003年8月18日，互联网中出现一种清除“冲击波”(Worm.MSBlast) 的蠕虫(MSBlast.Remove.Worm/ W32) 该蠕虫利用Windows RPC DCOM漏洞(MS03-026)及Windows IIS WEBDAV(MS03-07)作为感染攻击手段，并通过TFTP(UDP69简单文件传输协议)下载病毒体到被感染机器中 该蠕虫不在被感染系统留后门，也不会进行有目的的拒绝服务攻击。其感染目的是清除MSBlast.Worm/W32病毒体及分别为Win2000、Win XP的韩文系统、繁体中文系统、简体中文系统、英文系统下载和安装Windows RPC DCOM(MS03-26)安全补丁，而且该蠕虫还具有定时自毁功能 该蠕虫也称作“Chian”蠕虫，因其体内有“ Welcome Chian”字样。据蠕虫作者在某安全网站发表的声明，“Chian”是“China”的笔误,5 “冲击波”清除者分析,红色代码（Code Red，2001年）,“红色代码”病毒是2001年一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限并为所欲为，可以盗走机密数据，严重威胁网络安全。,红色代码,“红色代码”蠕虫是通过微软公司 IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，蠕虫驻留后再次通过此漏洞感染其它服务器。 “红色代码”蠕虫采用了一种叫做“缓存区溢出“（ 可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。 ）的黑客技术，利用网络上使用微软IIS系统的服务器来进行蠕虫传播。这个蠕虫使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。,红色代码,“红色代码II”蠕虫代码首先会判断内存中是否已经注册了一个名为CodeRedII的Atom(系统用于对象识别)，如果已存在此对象，表示此机器已被感染，蠕虫进入无限休眠状态，未感染则注册Atom并创建300个恶意线程，当判断到系统默认的语言ID是中华人民共和国或中国台湾时，线程数猛增到600个，创建完毕后初始化蠕虫体内的一个随机数生成器(Rundom Number Generator)，此生成器随机产生IP地址让被蠕虫去发现这些IP地址对应的机器的漏洞并感染之。每个蠕虫线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。巨大的蠕虫数据包使网络陷于瘫痪。,红色代码病毒,红色代码(2001年)是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。 被它感染后，遭受攻击的主机所控制的网络站点上会显示这样的信息：“你好！欢迎光临！”。随后病毒便会主动寻找其他易受攻击的主机进行