计算机病毒_第6章_典型计算机病毒的原理、防范和清除(3)

计算机病毒原理与攻防,任课教师：乔奎贤 E-mail： ,第6章 典型计算机病毒 的原理、防范和清除,6.1 计算机病毒防范和清除的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,3,6.8 蠕虫病毒,蠕虫：一种通过网络传播的恶性计算机病毒蠕虫具有病毒的一些共性，如传播性、隐蔽性、破坏性等，还具有自己一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务以及和黑客技术相结合等。蠕虫就是使用危害的代码来攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。大多数时间，蠕虫程序都是黑客、网络安全研究人员和计算机病毒作者编写的。 蠕虫主要有3种主要特性： 感染，通过利用脆弱感染一个目标； 潜伏，感染当地目标远程主机； 传播，影响目标，再感染其他的主机,6.8 蠕虫病毒,6.8.1 基本原理6.8.2 预防6.8.3 清除,5,6.8.1 基本原理,Internet蠕虫：是无需计算机使用者干预即可运行的独立程序，通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 蠕虫程序的工作流程： 分为漏洞扫描、攻击、传染和现场处理4个阶段蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括隐藏、信息搜集等 蠕虫的行为特征包括： 自我繁殖 利用软件漏洞 造成网络拥塞 消耗系统资源 留下安全隐患,6,6.8.1 基本原理,1蠕虫病毒的定义从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种计算机病毒。但是蠕虫病毒和一般的计算机病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系 根据使用者情况可将蠕虫病毒分为两类： 面向企业用户和局域网的蠕虫 针对个人用户的蠕虫,7,6.8.1 基本原理,1蠕虫病毒的定义 面向企业用户和局域网的蠕虫 利用系统漏洞，主动攻击，可对整个Internet造成瘫痪性后果 典型代表：“红色代码”、“尼姆达”、“Sql蠕虫王” 具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很难 针对个人用户的蠕虫 通过网络(主要是电子邮件、恶意网页)迅速传播的蠕虫病毒 典型代表：“爱虫病毒”，“求职信病毒” 传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根除的,8,6.8.1 基本原理,2蠕虫病毒的特点蠕虫一般不采取利用PE格式插入文件的方法，而是复制自身在Internet环境下进行传播，计算机病毒的传染能力主要是针对计算机内的文件系统而言 蠕虫病毒的传染目标： Internet内的所有计算机 局域网条件下的共享文件夹 电子邮件（E-mail） 网络中的恶意网页 大量存在着漏洞的服务器网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策,9,6.8.1 基本原理,2蠕虫病毒的特点 普通病毒与蠕虫病毒比较,6.8.1 基本原理,10,6.8.1 基本原理,3蠕虫的破坏和发展趋势每一次蠕虫的爆发都会给社会带来巨大的损失。1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络2001年9月18日，“Nimda”蠕虫被发现，至今对其造成的损失评估数据从5亿美元攀升到26亿美元后还在继续攀升，到现在已无法估计北京时间2003年1月26日，一种名为“2003蠕虫王”的计算机病毒迅速传播并袭击了全球，致使Internet网路严重堵塞，作为Internet主要基础的域名服务器（DNS）的瘫痪造成网民浏览Internet网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此计算机病毒造成的直接经济损失至少在12亿美元以上,11,6.8.1 基本原理,3蠕虫的破坏和发展趋势目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如“冲击波”、“振荡波”等）出现。对蠕虫进行深入研究，并提出行之有效的解决方案，为企业和政府提供一个安全的网络环境成为急待解决的问题,6.8.1 基本原理,12,6.8.1 基本原理,4蠕虫发作的一些特点和发展趋势 蠕虫经常利用操作系统和应用程序的漏洞主动进行攻击 例如：“红色代码”、“尼姆达”、“求职信”等 蠕虫传播方式也多样化，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等 例如：“尼姆达病毒”、“求职信”病毒 计算机病毒制作技术与传统的计算机病毒不同的是，许多新计算机病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索 蠕虫还显现出与黑客技术相结合的趋势,13,6.8.2 预防,1企业防范蠕虫病毒措施 加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用系统漏洞进行攻击，所以需在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新 建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象 建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便在计算机病毒爆发的第一时间即能提供解决方案,14,6.8.2 预防,1企业防范蠕虫病毒措施 建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施，防止意外灾难下的数据丢失 对于局域网而言，可以采用以下一些主要手段： 在Internet接入口处安装防火墙式防杀计算机病毒产品，将计算机病毒隔离在局域网之外； 对邮件服务器进行监控，防止带毒邮件进行传播； 对局域网用户进行安全培训； 建立局域网内部的升级系统，包括各种操作系统的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等,15,6.8.2 预防,2个人用户对蠕虫病毒的防范措施网络蠕虫病毒对个人用户的攻击主要是通过社会工程学，而不是利用系统漏洞，所以防范此类计算机病毒需要注意以下几点： 选购合适的杀毒软件 经常升级计算机病毒库杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，而计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新计算机病毒库，以便能够查杀最新的计算机病毒 提高防杀毒意识。 不随意查看陌生邮件，尤其是带有附件的邮件,16,6.8.3 清除,当蠕虫被发现时，要在尽量短的时间内对其进行响应。 首先报警，通知管理员，并通过防火墙、路由器或者HIDS的互动将感染了蠕虫的主机隔离； 然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。 对感染了蠕虫的主机，按一定策略进行处理,17,6.8.3 清除,对感染了蠕虫的主机的防治策略： 1与防火墙互动：通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染 2交换机联动：通过SNMP进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网其他主机的通信，防止感染主机在内网的大肆传播 3通知HIDS(基于主机的入侵监测)：装有HIDS的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏 4报警：及时产生报警并通知网络管理员，对蠕虫进行分析后，可以通过配置Scaner来对网络进行漏洞扫描，通知存在漏洞的主机到Patch服务器下载补丁进行漏洞修复，防范蠕虫进一步传播,18,6.8.4 常见蠕虫病毒,1. 尼姆达病毒 尼姆达病毒是一种蠕虫病毒，长度57344B，主要感染Windows 9x /NT/2000/XP中的系统文件。病毒的主要特征是：感染时，将被感染文件藏于体内。运行时，该病毒藏身于IE体内。以高优先级进行循环传染。病毒通过局域网快速传播该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表SOFTWAREMicrosoftWindowsCurrentVersionApp Paths的值，感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插入被感染的文件体内，而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自己的文件名改成被感染文件的文件名。当不知情的用户想运行原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来并执行，使用户无法察觉到异常,19,6.8.4 常见蠕虫病毒,1. 尼姆达病毒 运行时，病毒会通过查询注册表信息得到IE的进程号，然后将病毒体注入到IE的进程空间内。如果成功，病毒将在explorer进程空间中执行病毒的主体，这样病毒运行时就能躲过一些对内存比较了解的用户的查看病毒运行时会提升自己的线程优先级，并且每隔30s就重复一次传染流程。在局域网内，病毒会枚举局域网内的所有计算机，并对其共享目录进行搜索。当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时，病毒便会将自己复制到该目录下，并将自身命名为_setup.exe和riched20.dll。只要用户双击该doc文件，系统便会自动执行这两个病毒文件，造成病毒在被感染的计算机上被激活，导致病毒再一次重复感染动作,20,6.8.4 常见蠕虫病毒,1. 尼姆达病毒 病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中，使其具有管理员的权限，然后病毒就能通过该通道进行非法操作。病毒还会将当前的A至Z盘变成共享，使任何外界的黑客程序都可以无障碍地访问计算机中的信息，并且病毒还会感染这些共享磁盘中的所有系统文件，使其全部带毒,21,6.8.4 常见蠕虫病毒,2. 求职信病毒求职信病毒也是一种蠕虫病毒，病毒长度59KB。该病毒基本分为两部分：第一部分是狭义上的病毒，它感染PE结构文件，病毒大小约为3KB，用汇编语言编写；第二部分是蠕虫,大小为56KB，它在运行中会释放并运行一个11722B的带毒的PE文件。第二部分是用VC+编写的，它只可在Windows 9x或Windows 2000上运行，在Windows NT 4.0上无法运行。,22,6.8.4 常见蠕虫病毒,2. 求职信病毒求职信病毒的传播通常采用以下几种方式： （1）通过因特网邮件传播。此时，病毒搜索当前用户地址簿中的邮件地址的文本内容或随机计算邮件地址，通过Windows的SOCKET函数调用SMTP服务器发送本身。邮件文件由木马部分形成，并且该邮件会在Outlook Express下自动执行。其主题是随机的 （2）通过网络邻居传播。此时，病毒程序搜索所有的网络连接，查找共享目录，将自己的文件放到共享目录中，并试图让远程计算机将它作为一个服务启动 （3）通过磁盘传播。它创建专门的线程感染磁盘，如果当前日期是奇数月的13号，将找到的文件内容进行复制,23,6.8.4 常见蠕虫病毒,2. 求职信病毒病毒代码的编制采用Windows病毒编制技术，解密后的代码长度258HB，病毒程序首先自解密，然后在内存中查找KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用，接下来，申请内存，将所有病毒代码复制到申请的内存中，并转申请的内存执行这时，该段代码首先检查有无调试程序（调IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统），并启动感染代码，如未在调试程序下运行，感染System（由GetSystemDirectory）目录或建立wqk.exe（Windows 9x下）或wqk.dll（Windows NT下）。然后将当前进程注册为服务进程，创建感染线程，根据系统时间，如果为13号且为3月或9月，感染所有硬盘或网络盘文件；否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。如果是Windows NT操作系统，同时感染所有网络邻居。最后返回宿主程序或操作系统。,24,6.8.4 常见蠕虫病毒,2. 求职信病毒 “求职信”系列变种病毒利用操作系统的漏洞，可以自动感染，无须打开附件，因此危害性很大 变种病毒具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性 在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源 能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击,25,6.8.4 常见蠕虫病毒,2. 求职信病毒 除开可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒，因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件，这将意味着在网络环境下，根本无法彻底清除病毒 目前已经开始在网络上出现的一些“求职信”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒并把计算机一起“杀死”的情况 传统杀毒软件清除该病毒需要在DOS系统下进行,26,6.8.4 常见蠕虫病毒,3. 冲击波病毒冲击波病毒（Wrom.MSBlast.6176）（原名“新流言”）长度6176B，病毒类型属蠕虫型，该病毒利用RPC漏洞进行快速传播。病毒程序采用UPX压缩技术，使得病毒体积较小，便于在网络上快速传播 冲击波病毒代码由下面几个模块组成： （1）修改注册表：在注册表项HKEY_LOCAL_MACHINE Software Microsoft Windows Current VersionRun下添加键值：“windows auto update”=“msblast.exe”，以使蠕虫可以开机自动运行 （2）攻击模块：攻击病毒自我生成的IP地址和RPC服务默认端口，为传播自己做准备,27,6.8.4 常见蠕虫病毒,3. 冲击波病毒 （3）监听 UDP 69端口，当有服务请求时，就发送Msblast.exe文件 （4） 发送命令到远端计算机(被攻击计算机)，以使其连接被感染计算机(本地计算机)下载并运行该病毒 （5） 设置触发条件：如果当前月份大于8月，或当前日期大于15号，对“Windows ”实施DOS攻击 冲击波蠕虫包含如下不会被显示的字符串： I just want to say LOVE YOU SAN! billy gates why do you make this possible ? Stop making money and fix your software!,28,6.8.4 常见蠕虫病毒,4. 梅莉莎梅莉莎病毒属蠕虫病毒，长度为59KB，主要感染Windows 9x /2000/XP操作系统下的Word 97和Word 2000文件，当用户打开已感染有该病毒的文件时，梅莉莎便传染用户系统,同时，病毒通过用户收发带毒的电子邮件互相传染，而且传染方式非常隐蔽梅莉莎病毒代码的工作流程如下： （1）当用户打开的文件感染有该病毒时，病毒首先检查注册表中是否有梅莉莎的注册信息，若有则表明系统已被传染，否则，在注册表中创建注册项如下： HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa?” =“. by Kwyjibo”,29,6.8.4 常见蠕虫病毒,4. 梅莉莎 （2）利用Visual Basic指令建立一个Outlook对象,从Outlook的全域地址表中获取成员地址信息,将下列信息以电子邮件方式,自动发送到地址表中的前50个邮箱(一次发送50封邮件)。其中，邮件主题为： “Important Message From” 正文为： “Here is that document you asked for . dont show anyone else ;-)” 然后，病毒将已感染有该病毒的文件作为附件发送出去。目前较为流行的一种附件的文件名为“list.doc”（注意附件的文件名并不只有这一种）,30,6.8.4 常见蠕虫病毒,4. 梅莉莎 （3）当用户接收到带毒的邮件并打开时,用户的Word系统中所有打开的文件将被传染。当机器时钟的时间数值与日期的数值相同时，如4月27号的04:27，病毒将打开一个被传染的文件,在当前的光标位置插入如下信息：“Twentytwo points, plus triple-word-score, plus fifty points for using all my letters. Games over. Im outta here.” （4）传染Word 2000时,首先从注册表中检查其安全保护级别,如果注册表中Hkey_ Current_ User SoftwareMicrosoftOffice9.0Word Security“Level”的值不为0，将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word 97，则禁用菜单中“Tools/Macro”选项,第6章 典型计算机病毒 的原理、防范和清除,6.1 计算机病毒防范和清除的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,32,6.9 黑客型病毒,计算机病毒加恶意程序的组合攻击方式，已成为计算机病毒发展的新趋势，这种称为黑客型的计算机病毒除破坏计算机内存储的信息外，还会在计算机中植入木马和后门程序，即使计算机病毒已被清除，但这些程序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。曾横行一时、至今余毒未清的Nimda，CodeRed都属于这种黑客型计算机病毒黑客型计算机病毒不同于传统计算机病毒，其感染机制是利用操作系统软件或常用应用软件中的设计缺陷而设计的。所以反计算机病毒软件正常的警报系统是反映不出任何问题的，而黑客型计算机病毒感染系统后却可以反客为主，破坏驻留在内存中的反计算机病毒程序的进程,33,6.9 黑客型病毒,黑客型计算机病毒列出一个进程清单，隔一段时间对系统进程进行一次快照，删除进程清单中的反计算机病毒程序。例如“怪物B”可以杀掉106个进程，几乎覆盖了全世界所有优秀的杀毒软件，可见黑客型计算机病毒比传统计算机病毒更具危害性，由被动变为主动攻击反计算机病毒程序对系统的控制权。黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏洞感染计算机，感染速度快且完全清除十分困难,34,6.9 黑客型病毒,6.9 黑客型病毒,第6章 典型计算机病毒 的原理、防范和清除,6.1 计算机病毒防范和清除的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,36,6.10 后门病毒,6.10.1 原理 后门（Backdoor）：是程序或系统内的一种功能，允许没有账号的用户或普通受限用户使用高权限甚至完全控制系统。后门计算机病毒是集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播的一种计算机病毒形态由于操作系统和软件设计的固有缺陷，使得后门计算机病毒非常难以防范，即便是亡羊补牢的工作，也难以挽回后门计算机病毒造成的损失,37,6.10 后门病毒,6.10.1 原理 1反客为主的入侵者众所周知，通常说的入侵都是入侵者主动发起攻击，是一种类似捕猎的方式，在警惕性高的猎物面前，他们就会显得力不从心；可是对于使用“反弹技术”的入侵者来说，他们却轻松许多。一般的入侵是入侵者操作控制程序去查找连接受害计算机，而反弹入侵却逆其道而行之，它打开入侵者计算机的一个端口，却让受害者自己与入侵者联系并让入侵者控制，由于大多数防火墙只处理外部数据，却无视内部数据，正中入侵者下怀,38,6.10 后门病毒,6.10.1 原理 2不安分的正常连接现在有很多用户都安装了个人HTTP服务器，这就注定了计算机会开放80端口，这个看似正常的端口，却有很大隐患。隐藏通道（Tunnel）是一种给无数网络管理员带来痛苦的新技术，它让一个正常的服务变成了入侵者的工具当一台计算机被种植“Tunnel”后，它的HTTP端口就被Tunnel重新绑定了传输给Internet服务程序的数据，也在同时传输给背后的“Tunnel”，入侵者假装浏览网页（认为），却发送了一个特殊的请求数据（符合HTTP），Tunnel和Internet服务都接收到这个信息，由于请求的页面通常不存在，Internet服务会返回一个HTTP404应答，而Tunnel却忙开了,39,6.10 后门病毒,6.10.1 原理 3无用的数据传输ICMP，即Internet Control Message Protocol是最常见的网络报文，近年来被大量用于泛洪攻击，但是很少有人注意到，ICMP也偷偷参与了这场木马的战争,40,6.10 后门病毒,6.10.2 IRC后门计算机病毒2004年年初，“IRC”后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险；另一方面计算机病毒出现在局域网中使网络阻塞，影响正常工作，从而造成损失。 由于计算机病毒的源代码是公开的，任何人拿到源码后稍加修改就可编译生成一个全新的计算机病毒，再加上不同的壳，造成IRC后门计算机病毒变种大量涌现,41,6.10 后门病毒,6.10.2 IRC后门计算机病毒计算机病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受计算机病毒影响。计算机病毒运行后将自己复制到系统目录下，文件属性隐藏，名称不定，一般都没有图标。计算机病毒同时写注册表启动项，项名不定。计算机病毒不同，写的启动项也不太一样,42,6.10 后门病毒,6.10.2 IRC后门计算机病毒此外，一些IRC计算机病毒在Windows 2000/NT/XP操作系统下还会将自己注册为服务启动。计算机病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。计算机病毒会扫描当前和相邻网段内的机器并猜测登录密码。这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。出于保护被IRC计算机病毒控制的计算机的目的，一些IRC计算机病毒会取消匿名登录功能和DCOM功能,43,6.10 后门病毒,手工清除方法 所有的IRC后门计算机病毒都会在注册表HKEY_ Local_ MachineSoftware MicrosoftWindowsCurrentVersionRun下添加自己的启动项，并且项值只有文件名，不带路径，从而提供了追查的线索,第6章 典型计算机病毒 的原理、防范和清除,6.1 计算机病毒防范和清除的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,45,6.11 32位操作系统下的计算机,6.11.1 在Windows 95环境下的计算机病毒计算机病毒已经给现代计算机应用带来了很大的威胁。当我们通过网络、磁盘来分享更多信息的同时，计算机病毒的蔓延速度也在不断增大DOS环境下产生的大量的计算机病毒，现已超过了5000种当Windows 95操作系统引入的新技术给用户带来新的动力的时候，它也给计算机病毒更多的机会Windows 95操作系统没有内置防病毒能力，这样公司和个人用第三方反计算机病毒解决方案来加固系统是十分重要的,46,6.11 32位操作系统下的计算机,6.11.1 在Windows 95环境下的计算机病毒在Windows 95环境下的计算机病毒：在早期版本的Windows操作系统中，DOS管理文件系统。而在Windows 95操作系统中就不同了，Windows 95操作系统通过使用设备驱动和32位程序来管理传统文件系统。Windows操作系统没有文件等级保护。利用文件进行传播的计算机病毒仍然可以在Windows 95操作系统下进行繁殖。这与其他的32位操作系统一样，例如OS/2，Windows NT，它们也允许对文件进行写操作,47,6.11 32位操作系统下的计算机,6.11.2 新技术促进计算机病毒的传播一些使Windows 95操作系统有吸引力的新技术，实际上帮助计算机病毒在整个网络中繁殖,48,6.11 32位操作系统下的计算机,6.11.3 潜在新计算机病毒 潜在新计算机病毒：可能因Windows 95操作系统的特性而产生 “OLE2”（Object Linking and Embedded）计算机病毒：此类计算机病毒通过将自己假扮成公共服务的一个OLE2服务器来容易地进行传播。之后，当一个OLE2客户申请一个OLE2服务器来提供公共服务时，实际上计算机病毒取得了控制权。 扩展Shell计算机病毒：微软公司使这种Shell在Windows 95操作系统中完全扩展来允许自定义 虚拟设备驱动计算机病毒“VxD”计算机病毒 另一类种计算机病毒产生的可能原因是Windows操作系统的易操作编程工具的流行,49,6.12 压缩文件病毒,网络上大量压缩文件的交换，光盘介质的广泛使用，尤其是盗版光盘携带大量计算机病毒（甚至有些正版光盘中也带有“CIH”病毒），使人们处于各种计算机病毒的包围之中。由于计算机病毒在被压缩的情况下不会发作，就使人们往往忽视了它的危害，造成计算机病毒更为广泛传播检查压缩文件中的计算机病毒，首先必须搞清压缩文件的压缩算法，然后根据压缩算法将计算机病毒码压缩成计算机病毒压缩码，最后根据计算机病毒压缩码在压缩文件中查找由于目前压缩文件的压缩算法有多种，而且有的压缩文件可能是多次压缩，这给反计算机病毒软件提出了很高的要求,50,6.13 安全建议,1建立良好的安全习惯 2关闭或删除系统中不需要的服务 3经常升级安全补丁 4设置复杂的密码 5迅速隔离受感染的计算机 6经常了解一些反计算机病毒资讯 7最好是安装专业的防毒软件进行全面监控,第6章 典型计算机病毒 的原理、防范和清除,6.1 计算机病毒防范和清除的基本原则和技术 6.2 引导区病毒 6.3 文件型病毒 6.4 文件和引导复合病毒 6.5 脚本病毒 6.6 宏病毒,6.7 特洛伊木马病毒 6.8 蠕虫病毒 6.9 黑客型病毒 6.10 后门病毒 6.11 32位OS病毒 6.12 压缩文件病毒 6.13 安全建议,52,6.14 手机（GSM）病毒,手机病毒：是一类计算机程序，可利用发送普通短信、彩信、上网浏览、下载软件、铃声等方式，实现网络到手机、或者手机与手机之间传播，具有类似计算机病毒的危害后果，包括“软”伤害（如死机、关机、删除存储的资料、向外发送垃圾邮件、拨打电话等）和“硬”伤害（损毁SIM卡、芯片等硬件损坏）,53,6.14.1 手机病毒概述,手机病毒初次登场是在2000年6月，世界上第一个手机病毒VBS.Timofonica在西班牙出现。这个新病毒通过运营商Telefonica的移动系统向该系统内的任意用户发送骂人的短消息，这种攻击模式类似于邮件炸弹，它通过短信服务运营商提供的路由可以向任何用户发送大量垃圾信息或者广告，在大众眼里，这种短信炸弹充其量也只能算是恶作剧而已,54,6.14.1 手机病毒概述,虽已有不少手机上出现安全问题，但真正意义上的手机病毒仍很少见，这并非无人编写，而是存在着不少困难： 手机OS是专有OS，不对普通用户开放，不像计算机OS，容易学习、调试和程序编写，而且其所用芯片等硬件也都是专用的，平时很难接触到 手机系统中可以“写”的地方太少，在以前的手机中，用户是不可向手机中写数据的，惟一可保存数据的只有SIM卡，其中只有Telecom Dirextory是可以保存数据的，而这么一点容量要想保存一个可执行程序非常困难，况且保存的数据还要绕过SIM卡格式 以前手机接收的数据基本上都是文本格式数据，其中文本格式也是计算机系统中最难附带病毒的文件格式，同样在手机系统中，病毒也很难附加在文本内容上,55,6.14.1 手机病毒概述,随着时代的发展，新的病毒、蠕虫的威胁会不断出现，这就有可能影响到众多手持设备，日益普及的移动数据业务成为这些病毒滋生蔓延的温床，因此如今越来越多的手机短信、手机邮件、手机铃声及图片的出现，随之而来的是，一些应用程序及插件也随之在手机上出现，就会有和计算机一样面临病毒的威胁，一些病毒可以利用手机芯片程序的缺陷，对手机操作系统进行攻击特别是随着手机行业的快速发展和基于手机的应用不断增多，手机病毒不多见的局面已经开始发生变化，这主要在于在手机设计制造过程中引进了一些新技术，特别是由于以下原因，为手机病毒的产生、保存、传播都创造了条件，因此手机病毒的出现和发展也仅仅只是时间问题而已,56,6.14.1 手机病毒概述,为手机病毒的产生、保存、传播都创造了条件的原因： KJAVA大量运用于手机，使得编写用于手机的程序越来越容易，一个普通的Java程序员甚至都可以编写出能传播的病毒程序 基于Symbian、Pocket PC和SmartPhone的操作系统的手机不断扩大，同时手机使用的芯片（如Intel的Strong ARM）等硬件也不断固定下来，使手机有了比较标准的操作系统，而且这些手机操作系统厂商甚至芯片都对用户开放API，并且鼓励在其上做开发工作，这样在方便用户的同时，也方便了病毒编写者，破坏者只需查阅芯片厂商或者手机操作系统厂商提供的手册就可以编写出基于手机的病毒，甚至这样的可以破坏硬件,57,6.14.1 手机病毒概述,为手机病毒的产生、保存、传播都创造了条件的原因： 手机的容量不断扩大既增加了手机的功能，同时也使得病毒有了藏身之地。现在的很多手机都有比较大的容量，甚至能外接CF卡 手机直接传输的内容也复杂了很多，从以前只有文本的SMS发展到现在支持二进制格式文件的EMS和MMS，因此病毒就可以附加在这些文件中进行传播,58,6.14.2 手机病毒攻击方式,手机病毒一般会从两个方面进行攻击：一是攻击移动网络，通过对网络服务器和网关的破坏和控制，使用户无法正常收发短信息，享受正常的移动数据服务，并且还会向手机用户发送大量的垃圾信息，使用户不胜其烦二是直接对对手机进行攻击，利用手机的操作系统的漏洞，破坏手机操作系统，删除手机中存储的数据，使手机系统不能正常工作甚至崩溃，并且也有可能损坏手机芯片，使手机硬件也受损,59,6.14.2 手机病毒攻击方式,目前手机病毒的主要 攻击方式： 1. 攻击提供手机辅助服务的互联网工具或其他互联网内容、服务项目这种在因特网上传播的病毒影响面目前是最大的，从它的传播方式和运行程序的设备来看，这种病毒严格意义上来说仍然是一种计算机病毒，但从危害对象来说，却是一种手机病毒。这类病毒通过电子邮件散发，具有双重危害，不但可以像普通的邮件病毒那样，给地址簿中的邮箱发送带毒邮件，而且可以利用短信服务器中转向手机发送大量短信，于是人们的手机便收到一堆垃圾短信事实上，只要电子邮箱带有邮件短信通知或者短信转发功能，那么一款很普通的攻击电子邮箱的计算机病毒同时也会对手机造成极大的危害：在邮箱不断收到垃圾邮件的同时，手机也会不断收到短信通知，造成话费支出。这样，它已经名副其实地成了手机病毒了,60,6.14.2 手机病毒攻击方式,目前手机病毒的主要 攻击方式： 2. 攻击WAP服务器使WAP手机无法接收正常信息WAP就是无线应用协议。它可以使小型手持设备如手机等方便地接入因特网，完成一些简单的网络浏览、操作功能。手机的WAP功能需要专门的WAP服务器来支持，一旦有人发现WAP服务器的安全漏洞，并对其进行攻击，手机将无法接通到正常的网络信息 3. 攻击和控制“网关”，向手机发送垃圾信息网关是网络与网络之间的联系纽带，利用网关漏洞同样可以对整个手机网络造成影响，使手机的所有服务都不能正常工作，甚至可以向范围巨大的手机用户批量发送垃圾信息,61,6.14.2 手机病毒攻击方式,目前手机病毒的主要 攻击方式： 4. 直接攻击手机本身，使手机无法提供服务这是一种名副其实的手机病毒，也是目前手机病毒的一种重要要攻击方式。主要是利用手机芯片程序中的bug，以“病毒短信”的方式攻击手机，使手机无法提供某方面的服务。天津市就曾经出现过一种称为“移动黑客”的手机病毒，用户只要一查看中毒手机中的短信息，手机就会自动关闭。该病毒是用短信的形式把病毒代码发送给对方，从而造成破坏。杀伤力强的手机病毒，甚至能使手机自动关机、死机等，甚至内部芯片烧坏这类病毒通常只对使用同一芯片、同一种操作系统的手机产生作用，而一旦厂家填补漏洞，病毒也就无隙可乘了,62,6.14.3 手机病毒编制,手机病毒以其潜在的破坏性、隐蔽性和攻击性，正在对手机及其网络移动设备造成极大的威胁，但其病毒编制技术一般是利用手机本身设计缺陷或软件程序缺陷，寻找可以利用的漏洞，编制程序进行攻击。这些攻击程序可能占领短信网关或者利用网关漏洞向手机发送大量短信，进行短信拒绝服务攻击。典型的就是利用各大门户网站的手机服务漏洞，写病毒程序，不停的用某个手机号码订阅某项服务或者退定某个服务，SMS.Flood手机病毒就是这样一个程序攻击程序也可能利用手机程序的漏洞，发送精心构造的短信或者彩信，造成手机内部程序出错，从而导致手机不能正常工作，就像经常在计算机上看到的“程序出错”情况一样。典型的例子就是针对西门子手机的Mobile.SMSDOS程序,63,6.14.3 手机病毒编制,利用手机本身设计漏洞利用手机本身设计或服务上的漏洞，针对某种特定型号的手机，编制病毒程序，发动攻击，这是手机病毒中常见的一种病毒模式 PDU格式漏洞2002年1月荷兰安全公司ITSX的研究人员发现，诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理，存在一个bug。黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机,64,6.14.3 手机病毒编制,利用手机本身设计漏洞 特殊字符漏洞：由于手机使用范围逐渐扩大，中国安全人士对手机、无线网络的安全也产生了兴趣。2001年底，中国安全组织Xfocus的研究人员发现西门子 35系列手机在处理一些特殊字符时存在漏洞，将直接导致手机关机 Vcard存在漏洞：VCard格式是一种全球性的MIME标准，最早由Lotus和Netscape提出。该格式实现了通过电子邮件或者手机来交换名片。诺基亚的6610、6210、6310、8310等系列手机都支持Vcard，但是其6210手机被证实在处理Vcard上存在格式化字符串漏洞。攻击者如果发送包含格式字符串的Vcard恶意信息给手机设备，可导致SMS服务崩溃，使手机被锁或重启动,65,6.14.3 手机病毒编制,利用手机软件漏洞 Panasonic的GD87彩信手机漏洞2002年12月，T-Mobile International AG公司确认了在新款松下彩信手机软件中出现了漏洞，这个漏洞可以让手机不经过使用者的同意而访问付费服务，其中的原因是GD87支持WAP PUSH中的service loading方式。 “WAP PUSH”分为service loading与service indication两种，其中service loading工作如下所示： Push发起者向网关