第6章 典型计算机病毒的原理、防范和清除(3)

西安工业大学计算机病毒原理与攻防任课教师：乔奎贤E-mail： 西安工业大学第 6章 典型计算机病毒的原理、防范和清除6.1 计算机病毒防范和清除的基本原则和技术6.2 引导区病毒6.3 文件型病毒6.4 文件和引导复合病毒6.5 脚本病毒6.6 宏病毒6.7 特洛伊木马病毒6.8 蠕虫病毒6.9 黑客型病毒6.10 后门病毒6.11 32位 OS病毒6.12 压缩文件病毒6.13 安全建议西安工业大学6.8 蠕虫病毒蠕虫： 一种通过网络传播的恶性计算机病毒蠕虫具有病毒的一些共性，如传播性、隐蔽性、破坏性等，还具有自己一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务以及和黑客技术相结合等。蠕虫就是使用危害的代码来攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。大多数时间，蠕虫程序都是黑客、网络安全研究人员和计算机病毒作者编写的。蠕虫主要有 3种主要特性：u感染，通过利用脆弱感染一个目标；u潜伏，感染当地目标远程主机；u传播，影响目标，再感染其他的主机 3西安工业大学6.8 蠕虫病毒6.8.1 基本原理6.8.2 预防6.8.3 清除西安工业大学6.8.1 基本原理Internet蠕虫： 是无需计算机使用者干预即可运行的独立程序，通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫程序的工作流程：分为 漏洞扫描 、 攻击 、 传染 和 现场处理 4个阶段蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括隐藏、信息搜集等蠕虫的行为特征包括：自我繁殖 利用软件漏洞 造成网络拥塞消耗系统资源 留下安全隐患5西安工业大学6.8.1 基本原理1蠕虫病毒的定义从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种计算机病毒。但是蠕虫病毒和一般的计算机病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系根据使用者情况可将蠕虫病毒分为两类：u面向企业用户和局域网的蠕虫u针对个人用户的蠕虫6西安工业大学6.8.1 基本原理1蠕虫病毒的定义u面向企业用户和局域网的蠕虫l利用系统漏洞，主动攻击，可对整个 Internet造成瘫痪性后果l典型代表： “红色代码 ”、 “尼姆达 ”、 “Sql蠕虫王 ”l具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很难u针对个人用户的蠕虫l通过网络 (主要是电子邮件、恶意网页 )迅速传播的蠕虫病毒l典型代表： “爱虫病毒 ”， “求职信病毒 ”l传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根除的7西安工业大学6.8.1 基本原理2蠕虫病毒的特点蠕虫一般不采取利用 PE格式插入文件的方法，而是复制自身在Internet环境下进行传播，计算机病毒的传染能力主要是针对计算机内的文件系统而言蠕虫病毒的传染目标：uInternet内的所有计算机u局域网条件下的共享文件夹u电子邮件（ E-mail）u网络中的恶意网页u大量存在着漏洞的服务器网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策8西安工业大学6.8.1 基本原理2蠕虫病毒的特点普通病毒与蠕虫病毒比较 普通计算机病毒蠕虫病毒存在形式 寄存文件 独立程序传染机制 宿主程序运 行 主动攻击传染目标 本地文件 网络计算机6.8.1 基本原理9西安工业大学6.8.1 基本原理3蠕虫的破坏和发展趋势每一次蠕虫的爆发都会给社会带来巨大的损失。 1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络2001年 9月 18日， “Nimda”蠕虫被发现，至今对其造成的损失评估数据从 5亿美元攀升到 26亿美元后还在继续攀升，到现在已无法估计北京时间 2003年 1月 26日，一种名为 “2003蠕虫王 ”的计算机病毒迅速传播并袭击了全球，致使 Internet网路严重堵塞，作为 Internet主要基础的域名服务器（ DNS）的瘫痪造成网民浏览 Internet网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此计算机病毒造成的直接经济损失至少在 12亿美元以上10西安工业大学6.8.1 基本原理3蠕虫的破坏和发展趋势目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如 “冲击波 ”、 “振荡波 ”等）出现。对蠕虫进行深入研究，并提出行之有效的解决方案，为企业和政府提供一个安全的网络环境成为急待解决的问题6.8.1 基本原理11西安工业大学6.8.1 基本原理4 蠕虫发作的一些特点和发展趋势u蠕虫经常利用操作系统和应用程序的漏洞主动进行攻击例如： “红色代码 ”、 “尼姆达 ”、 “求职信 ”等u蠕虫传播方式也多样化，可利用的传播途径包括文件、电子邮件、Web 服务器、网络共享等例如： “尼姆达病毒 ”、 “求职信 ”病毒u计算机病毒制作技术与传统的计算机病毒不同的是，许多新计算机病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索u蠕虫还显现出与黑客技术相结合的趋势12西安工业大学6.8.2 预防1企业防范蠕虫病毒措施u加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用系统漏洞进行攻击，所以需在第一时间内保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新u建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象u建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便在计算机病毒爆发的第一时间即能提供解决方案13西安工业大学6.8.2 预防1企业防范蠕虫病毒措施u建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施，防止意外灾难下的数据丢失u对于局域网而言，可以采用以下一些主要手段：l在 Internet接入口处安装防火墙式防杀计算机病毒产品，将计算机病毒隔离在局域网之外；l对邮件服务器进行监控，防止带毒邮件进行传播；l对局域网用户进行安全培训；l建立局域网内部的升级系统，包括各种操作系统的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等14西安工业大学6.8.2 预防2个人用户对蠕虫病毒的防范措施网络蠕虫病毒对个人用户的攻击主要是通过社会工程学，而不是利用系统漏洞，所以防范此类计算机病毒需要注意以下几点：u选购合适的杀毒软件u经常升级计算机病毒库杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，而计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新计算机病毒库，以便能够查杀最新的计算机病毒u提高防杀毒意识。u不随意查看陌生邮件，尤其是带有附件的邮件15西安工业大学6.8.3 清除当蠕虫被发现时，要在尽量短的时间内对其进行响应。首先报警，通知管理员，并通过防火墙、路由器或者 HIDS的互动将感染了蠕虫的主机隔离；然后对蠕虫进行分析，进一步制定检测策略，尽早对整个系统存在的不安全隐患进行修补，防止蠕虫再次传染，并对感染了蠕虫的主机进行蠕虫的删除工作。对感染了蠕虫的主机，按一定策略进行处理16西安工业大学6.8.3 清除对感染了蠕虫的主机的防治策略：1 与防火墙互动： 通过控制防火墙的策略，对感染主机的对外访问数据进行控制，防止蠕虫对外网的主机进行感染2 交换机联动： 通过 SNMP进行联动，当发现内网主机被蠕虫感染时，可以切断感染主机同内网其他主机的通信，防止感染主机在内网的大肆传播3通知 HIDS(基于主机的入侵监测 )： 装有 HIDS的服务器接收到监测系统传来的信息，可以对可疑主机的访问进行阻断，这样可以阻止受感染的主机访问服务器，使服务器上的重要资源免受损坏4 报警： 及时产生报警并通知网络管理员，对蠕虫进行分析后，可以通过配置 Scaner来对网络进行漏洞扫描，通知存在漏洞的主机到Patch服务器下载补丁进行漏洞修复，防范蠕虫进一步传播17西安工业大学6.8.4 常见蠕虫病毒1. 尼姆达病毒 尼姆达病毒是一种蠕虫病毒，长度 57344B，主要感染 Windows 9x /NT/2000/XP中的系统文件。病毒的主要特征是：感染时，将被感染文件藏于体内。运行时，该病毒藏身于 IE体内。以高优先级进行循环传染。病毒通过局域网快速传播该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表 SOFTWAREMicrosoftWindowsCurrentVersionApp Paths的值，感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插入被感染的文件体内，而是直接将被感染文件 “吞 ”到自己的肚子里。然后病毒会将自己的文件名改成被感染文件的文件名。当不知情的用户想运行原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来并执行，使用户无法察觉到异常18西安工业大学6.8.4 常见蠕虫病毒1. 尼姆达病毒 运行时，病毒会通过查询注册表信息得到 IE的进程号，然后将病毒体注入到 IE的进程空间内。如果成功，病毒将在 explorer进程空间中执行病毒的主体，这样病毒运行时就能躲过一些对内存比较了解的用户的查看病毒运行时会提升自己的线程优先级，并且每隔 30s就重复一次传染流程。在局域网内，病毒会枚举局域网内的所有计算机，并对其共享目录进行搜索。当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在 doc文件时，病毒便会将自己复制到该目录下，并将自身命名为 _setup.exe和 riched20.dll。只要用户双击该 doc文件，系统便会自动执行这两个病毒文件，造成病毒在被感染的计算机上被激活，导致病毒再一次重复感染动作19西安工业大学6.8.4 常见蠕虫病毒1. 尼姆达病毒 病毒运行时还将激活当前系统的 guest账号并将其加入到管理员组中，使其具有管理员的权限，然后病毒就能通过该通道进行非法操作。病毒还会将当前的 A至 Z盘变成共享，使任何外界的黑客程序都可以无障碍地访问计算机中的信息，并且病毒还会感染这些共享磁盘中的所有系统文件，使其全部带毒20西安工业大学6.8.4 常见蠕虫病毒2. 求职信病毒求职信病毒也是一种蠕虫病毒，病毒长度 59KB。该病毒基本分为两部分：第一部分是狭义上的病毒，它感染 PE结构文件，病毒大小约为 3KB，用汇编语言编写；第二部分是蠕虫 ,大小为 56KB，它在运行中会释放并运行一个 11722B的带毒的 PE文件。第二部分是用 VC+编写的，它只可在 Windows 9x 或 Windows 2000 上运行，在 Windows NT 4.0上无法运行。21西安工业大学6.8.4 常见蠕虫病毒2. 求职信病毒求职信病毒的传播通常采用以下几种方式：（ 1）通过因特网邮件传播。此时，病毒搜索当前用户地址簿中的邮件地址的文本内容或随机计算邮件地址，通过 Windows 的 SOCKET函数调用 SMTP服务器发送本身。邮件文件由木马部分形成，并且该邮件会在 Outlook Express下自动执行。其主题是随机的（ 2）通过网络邻居传播。此时，病毒程序搜索所有的网络连接，查找共享目录，将自己的文件放到共享目录中，并试图让远程计算机将它作为一个服务启动（ 3）通过磁盘传播。它创建专门的线程感染磁盘，如果当前日期是奇数月的 13号，将找到的文件内容进行复制22西安工业大学6.8.4 常见蠕虫病毒2. 求职信病毒病毒代码的编制采用 Windows 病毒编制技术，解密后的代码长度 258HB，病毒程序首先自解密，然后在内存中查找 KERNEL32模块，并根据名字的检验字找到一大批函数入口，这些函数供后面的代码调用，接下来，申请内存，将所有病毒代码复制到申请的内存中，并转申请的内存执行这时，该段代码首先检查有无调试程序（调 IsDebugPresent函数），如在调试程序下运行，终止病毒代码，返回到原宿主程序（如果是配套的木马，则返回到操作系统），并启动感染代码，如未在调试程序下运行，感染System（由 GetSystemDirectory）目录或建立 wqk.exe（ Windows 9x 下）或wqk.dll（ Windows NT 下）。然后将当前进程注册为服务进程，创建感染线程，根据系统时间，如果为 13号且为 3月或 9月，感染所有硬盘或网络盘文件；否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程，直到系统崩溃。如果是 Windows NT 操作系统，同时感染所有网络邻居。最后返回宿主程序或操作系统。23西安工业大学6.8.4 常见蠕虫病毒2. 求职信病毒 “求职信 ”系列变种病毒利用操作系统的漏洞，可以自动感染，无须打开附件，因此危害性很大 变种病毒具有很强的隐蔽性，可以 “随机应变 ”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性 在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源 能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击24西安工业大学6.8.4 常见蠕虫病毒2. 求职信病毒 除开可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染，其传播特点类似 “尼姆达 ”病毒，因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件，这将意味着在网络环境下，根本无法彻底清除病毒 目前已经开始在网络上出现的一些 “求职信 ”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒并把计算机一起 “杀死 ”的情况 传统杀毒软件清除该病毒需要在 DOS系统下进行25西安工业大学6.8.4 常见蠕虫病毒3. 冲击波病毒冲击波病毒（ Wrom.MSBlast.6176 ）（原名 “新流言 ”）长度 6176B，病毒类型属蠕虫型，该病毒利用 RPC漏洞进行快速传播。病毒程序采用 UPX压缩技术，使得病毒体积较小，便于在网络上快速传播冲击波病毒代码由下面几个模块组成：（ 1）修改注册表： 在注册表项 HKEY_LOCAL_MACHINE Software Microsoft Windows Current VersionRun 下添加键值：“windows auto update”=“msblast.exe”，以使蠕虫可以开机自动运行（ 2）攻击模块：攻击病毒自我生成的 IP地址和 RPC服务默认端口，为传播自己做准备26西安工业大学6.8.4 常见蠕虫病毒3. 冲击波病毒（ 3）监听 UDP 69端口，当有服务请求时，就发送 Msblast.exe文件（ 4） 发送命令到远端计算机 (被攻击计算机 )，以使其连接被感染计算机 (本地计算机 )下载并运行该病毒（ 5） 设置触发条件：如果当前月份大于 8月，或当前日期大于 15号，对 “Windows ” 实施 DOS攻击冲击波蠕虫包含如下不会被显示的字符串：I just want to say LOVE YOU SAN! billy gates why do you make this possible ? Stop making money and fix your software!27西安工业大学6.8.4 常见蠕虫病毒4. 梅莉莎梅莉莎病毒属蠕虫病毒，长度为 59KB，主要感染 Windows 9x /2000/XP操作系统下的 Word 97 和 Word 2000 文件，当用户打开已感染有该病毒的文件时，梅莉莎便传染用户系统 ,同时，病毒通过用户收发带毒的电子邮件互相传染，而且传染方式非常隐蔽梅莉莎病毒代码的工作流程如下：（ 1）当用户打开的文件感染有该病毒时，病毒首先检查注册表中是否有梅莉莎的注册信息，若有则表明系统已被传染，否则，在注册表中创建注册项如下：HKEY_CURRENT_USERSoftwareMicrosoftOffice“Melissa?”