蠕虫病毒检测与防范

1、安徽邮电职业技术学院毕业论文目 录摘 要2Abstract3第一章蠕虫病毒概述及发展历史 41.1蠕虫病毒概述及发展历史 41.2网络蠕虫研究分析 5第二章蠕虫病毒原理 72.1蠕虫病毒攻击原理 722蠕虫病毒与一般病毒的异同 8第三章蠕虫病毒实例 103.1蠕虫病毒造成的破坏 103.2蠕虫病毒实例 10第四章蠕虫病毒的防范 144.1蠕虫的特点及发展趋势 144.2如何对蠕虫病毒攻击进行防范 14结束语16致谢17参考文献17i安徽邮电职业技术学院毕业论文摘 要随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益 加剧。特别是在网络环境下，多样化的传播途径和复杂的应用环境使蠕

2、虫的发生 频率增加，传播速度更快，覆盖面也更广。蠕虫病毒侵入计算机网络，可以导致 计算机网络的效率急剧下降，系统资源遭到严重破坏，短时间内造成网络系统的 瘫痪。为了将蠕虫病毒对计算机及网络设备、 社会经济造成的损失降低到最低限 度，提高网络的安全性能，减少不必要的经济损失，保障用户的个人资料及隐私 安全，我们将对蠕虫病毒进行检测与防范。本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。阐述网络安 全现状、蠕虫病毒背景及发展历史等，通过蠕虫病毒的原理与传统病毒的区别， 功能、工作机制等，对蠕虫病毒对网络安全的威胁，检测与防范做出了相对的研 究。关键词：网络安全；病毒原理；检测；防范2安徽邮

3、电职业技术学院毕业论文AbstractAs the In ternetapplicati ondeeply, n etwork wormsto computer systemsecurity and n etwork security threats aggravat ing. Especially in the network environment,diversifiedtransmissionway and complicatedapplicati on en vir onment makes worms the freque ncy in creases, spread faster,

4、 coverage is more widely. Wormvirus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused in side short time n etwork system of paralysis.In order to worm virus of computer and network equipment, social economic damagereduced to th

5、e minimum, improve the network safety performanee and reduce unn ecessary econo mic losses, protect a user's pers onal data and privacy and security, we will detect worm virus preve nti on.This articlemainly aims at of wormvirus principleand propagation,detect ion and preve ntio n must be studie

6、d. Expo unds the n etwork security situatio n, worms backgro und and developme nt history, etc., through the principle of worm virus with traditional viruses distinction, function, worki ng mecha nism of worm virus of n etwork security threats, detecti on and preve nti on made relative research.Keyw

7、ords: n etwork security; virus prin ciple; detecti on; preve nt3安徽邮电职业技术学院毕业论文第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。 所以从这 个意义上说，蠕虫也是一种病毒。蠕虫（Worm病毒是一种通过网络传播的恶意 病毒，它的出现相对于木马病毒、 宏病毒来说比较晚，但是蠕虫病毒无论从传播 速度、传播范围还是从破坏程度上来讲， 都是以往的传统病毒所无法比拟的。网 络蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容 忽视。蠕虫病毒可以说是

8、近年来发作最为猖獗、影响最为广泛的一类计算机病毒，它 的传播主要体现在以下两个方面：（1）利用微软的系统漏洞攻击计算机网络，网络中的客户端感染这一类病毒后，会不断自动拨号上网，并利用文件中的地址或者网络共享传播， 从而导致网 络服务遭到拒绝并发生死锁，最终破坏用户的大部分重要数据。“红色代码”、“尼 姆达”、“sql蠕虫王”等病毒都是属于这一类病毒。（2）利用Email邮件迅速传播。如“爱虫病毒”和“求职信病毒”。蠕虫病毒 会盗取被感染计算机中邮件的地址信息， 并且利用这些邮件地址复制自身病毒体 以达到大量传播，对计算机造成严重破坏的目的。 蠕虫病毒可以对整个互联网造 成瘫痪性的后果。蠕虫（W

9、orm病毒通常由两部分组成：一个主程序和一个引导程序。主程序的 主要功能是搜索和扫描，这个程序能够读取系统的公共配置文件， 获得与本机联 网的客户端信息，检测到网络中的哪台机器没有被占用，从而通过系统的漏洞， 将引导程序建立到远程计算机上。引导程序实际上是蠕虫病毒主程序 （或一个程 序段）自身的一个副本，而主程序和引导程序都有自动重新定位的能力。也就是说，这些程序或程序段都能够把自身的副本重新定位在另一台机器上，这就是蠕虫病毒之所以能够大面积爆发并且带来严重后果的主要原因。在网络环境下，蠕虫病毒可以按几何增长模式进行传染。蠕虫病毒侵入计算机 网络，可以导致计算机网络的效率急剧下降，系统资源遭到

10、严重破坏，短时间内造成网络系统的瘫痪。因此，网络环境下对蠕虫病毒的防治必将成为计算机防毒 领域的研究重点。蠕虫病毒是一种比较古老的病毒， 产生于20世纪70年代，由于蠕虫病毒一开 始便是根植于网络的，因此随着网络的发展，蠕虫病毒的生命力越来越强， 其破 坏力也越来越大。早期的蠕虫不属于病毒，也不具备破坏性，它只是一种网络自动工具。1972年，原来只是出于军事目的而开发的阿帕网（ ARPANET开始走向世界，成为现 在的In ternet ，从此互联网便以极其迅猛的速度不断发展。1973年互联网上还只有25台主机，但是到了 1987年，连接在互联网上的主机数则突破了 10000台。由于每台主机都

11、向广大电脑用户提供海量的信息， 因此在这个信息海洋中寻找 有用的资料是一件非常痛苦的事。 为了解决在这个网络上的搜索问题，一群热心 的技术人员便开始实验“蠕虫”程序。这种程序的构思来自于经典科幻小说电波骑士，小说里描写了一种叫做“绦虫”的程序，该程序可以成群结队地出没 于网上，使网络阻塞。这种蠕虫程序可以在一个局域网中的许多计算机上并行运 行，并且能快速有效地检测网络的状态，进行相关信息的收集。后来，又出现了 专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。目前，这两种网络搜索技术还在被大量使用。由于这类早期的蠕虫只是一种网络自动工具， 因此在当时这种程序并没有被认 为是病毒。编写这种工具的技

12、术则被称之为蠕虫技术，当第一个蠕虫程序出现后， 蠕虫技术便得到了很大的发展，直到 1989年的莫里斯蠕虫事件的出现。莫里斯是美国一所大学的研究生，由于父亲是贝尔实验室的研究员，因此他从 小就开始接触计算机和网络，对Linux系统非常了解。不可否认的是他对那种能 够控制整个网络的程序非常着迷，于是当他发现了当时操作系统中存在的几个严 重漏洞时，便开始着手编写“莫里斯蠕虫”，这种蠕虫没有任何实用价值，只是 利用系统的漏洞将自己在网络上进行复制。由于莫里斯在编程中出现了一个错 误，将控制复制速度的变量值设得太大，从而造成了蠕虫在短时间内迅速复制， 最终使大半个互联网陷入了瘫痪。由于这件事情影响太大，

13、社会反响非常强烈， 因此作者本人也受到了法律制裁。 从此以后，蠕虫也是一种病毒的概念被确立起 来，而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。每一次蠕虫的爆发都会给社会带来巨大的损失 1988年11月2 日，Morris蠕 虫发作，几天之内6000台以上的In ternet 服务器被感染而瘫痪，损失超过一 千万美元。2001年7月19 日，CodeRed蠕虫爆发，在爆发后的9小时内就攻 击了 25万台计算机，造成的损失估计超过 20亿美元，随后几个月内产生了威 力更强的几个变种，其中 CodeRed II造成的损失估计超过12亿美元。2001年 9月18 日，Nimda蠕

14、虫被发现，对Nimda造成的损失评估数据从5亿美元攀 升到26亿美元后，继续攀升，到现在已无法估计。目前蠕虫爆发的频率越来越 快，尤其是近两年来，越来越多的蠕虫（如冲击波、振荡波等）出现。对蠕虫进 行深入研究，并提出一种行之有效的解决方案，为企业和政府提供一个安全的网 络环境成为我们急待解决的问题。1.2网络蠕虫研究分析In ternet 蠕虫虽然早在1988年就显示出它巨大破坏力和危害性，但当时 In ternet 没有普及，因而也没有引起人们更多的注意。一直以来，人们将精力 多放在如何预防、检测和消除攻击个人电脑文件系统的病毒上。随着邮件病毒的泛滥，人们逐渐意识到In ternet已经使病

15、毒的性质发生了一些变化，需要调整 研究方法和目标，但对于蠕虫的研究和防御到目前为止还比较少。1998年，SteveR.White呼吁加大对蠕虫的研究力度，他指出，目前的防病毒技术都是针 对文件系统的，这些技术在防治蠕虫时不再适用。 他认为人们忽视蠕虫研究有两 个原因，一是当时来说蠕虫很少见；二是特定蠕虫只爆发一次。对于研究者来说， 每次蠕虫爆发都是一个新的待研究的蠕虫。他认为针对蠕虫的研究主要分为检 测、分析和清除。2000年，IBM开展Ian Whalley项目，目的是开发一个自动蠕 虫检测和分析的软硬件环境，项目中定义的蠕虫包含了所有能利用网络传播的恶 意代码（如邮件病毒），主要技术为用虚

16、拟机构造蠕虫传播的网络环境。2001年,JoseNazari等人讨论了蠕虫的技术发展趋势，给出了蠕虫的一个功能模型框架，他们提出的很多思路非常具有启发意义，但他们的工作中也混淆了蠕虫和病毒的概念。2001年，CodeRed需虫爆发后，针对蠕虫的研究逐渐成为热点。比较突出 的有Nicholas Weaver,他给出了几种蠕虫的快速传播策略，并预言了可以在半 个小时之内感染整个In ternet的蠕虫将要出现。Slammer的出现证实了他的预 言，但值得注意的是Slammer,没有采用任何一种提到的快速传播策略，而依然 使用 的是最 原始的随机目标策略 David Moore( CAIDA, th

17、e Cooperative Association for In ternet Data An alysis)提出了衡量防治蠕虫的技术有效性的三个参数：响应时间、防治策略、布置策略。他认为目前的防治技术在这三个 参数上都远远达不到对蠕虫防治的要求。Dug Song等人对蠕虫引起的网络流量统计特征做了研究，这些工作中，一个比较突出的问题是，缺少对蠕虫整体特征的系统性分析，基本上都是针对特定的、己知的蠕虫进行研究讨论和建模。另外， 在防治策略上，目前的方案大多停留在感性认识的基础上，或者仅提出功能性需求。目前针对蠕虫的研究工作还主要集中在对已有蠕虫的个体分析、检测与防范上，使蠕虫的防范工作处于一种

18、非常被动的地位。为了改变这种被动的局面，人们正在研究能够检测与防范未知蠕虫的准确有效的方法，并己经取得了一些初见 成效的成果。6安徽邮电职业技术学院毕业论文第二章蠕虫病毒原理2.1蠕虫病毒攻击原理、蠕虫的基本程序结构为:1、传播模块：负责蠕虫的传播。2、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。3、目的功能模块：实现对计算机的控制、监视或破坏等功能。传播模块可以分为三个基本模块：扫描模块、攻击模块和复制模块。蠕虫程序的一般传播过程为：1. 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机，当程序向某个主机 发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。2. 攻击：

19、攻击模块按漏洞攻击步骤自动攻击，在步骤 1中找到对象，取得该主 机的权限（一般为管理员权限），获得一个shell。3. 复制：复制模块通过原主机和新主机的交互， 将蠕虫程序复制到新主机并启 动。我们可以看到，传播模块实现的实际上是自动入侵的功能。 所以蠕虫的传播技 术是蠕虫技术的首要技术。没有蠕虫的传播技术，也就谈不上什么蠕虫技术了。蠕虫采用的是自动入侵技术，由于程序大小的限制，自动入侵程序不可能有太 强的智能性，所以自动入侵一般都采用某种特定的模式。我们称这种模式为入侵 模式，它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种， 这种模式是就是蠕虫传播过程采用的模式：扫描漏洞-攻

20、击并获得shell-利用shell o这种入侵模式也就是现在蠕虫常用的传播模式。、蠕虫传播的一般模式分析1模式：扫描-攻击-复制从新闻中看到关于蠕虫的报道，报道中总是强调蠕虫如何发送大量的数据包， 造成网络拥塞，影响网络通信速度。 实际上这不是蠕虫程序的本意，造成网络拥 塞对蠕虫程序的发布者没有什么好处。如果可能的话，蠕虫程序的发布者更希望 蠕虫隐蔽的传播出去，因为蠕虫传播出去后，蠕虫的发布者就可以获得大量的可 以利用的计算机资源，这样他获得的利益比起造成网络拥塞的后果来说显然强上 万倍。但是，现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞，这是蠕虫技术发展的一个瓶颈，如果能突破这个难

21、关，蠕虫技术的发展就会进入一 个新的阶段。现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的 电脑中，于是扫描模块采用的扫描策略是这样的：随机选取某一段IP地址，然后对这一地址段上的主机扫描。笨点的扫描程序可能会不断重复上面这一过程。 这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描， 这些扫描程序不知 道那些地址已经被扫描过，它只是简单的随机扫描互联网。于是蠕虫传播的越广， 网络上的扫描包就越多。即使扫描程序发出的探测包很小，积少成多，大量蠕虫程序的扫描引起的网络拥塞就非常严重了。 聪明点的编者会对扫描策略进行一些 改进，比如在IP地址段的选择上，可以主要针对当前主机所在的网段扫

22、描，对 外网段则随机选择几个小的IP地址段进行扫描。对扫描次数进行限制，只进行 几次扫描。把扫描分散在不同的时间段进行。扫描策略设计的原则有三点：（1）尽量减少重复的扫描，使扫描发送的数据包总量减少到最小；（2）保证扫描覆盖到尽量大的范围；（3）处理好扫描的时间分布，使得扫描不要集中在某一 时间内发生。怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析， 甚至需要试验验证。扫描发送的探测包是根据不同的漏洞进行设计的。比如，针对远程缓冲区溢出漏洞可以发送溢出代码来探测，针对web的cgi漏洞就需要发送一个特殊的http 请求来探测。当然发送探测代码之前首先要确定相应端口是否开放，这样可以提

23、高扫描效率。一旦确认漏洞存在后就可以进行相应的攻击步骤，不同的漏洞有不同的攻击手法，只要明白了漏洞的利用方法，在程序中实现这一过程就可以了。 攻击成功后，一般是获得一个远程主机的shell，对win2k系统来说就是cmd.exe， 得到这个shell后我们就拥有了对整个系统的控制权。复制过程也有很多种方 法，可以利用系统本身的程序实现， 也可以用蠕虫自代的程序实现。复制过程实 际上就是一个文件传输的过程，实现网络文件传输很简单，这里不再讨论。2. 模式的使用既然称之为模式，那么它就是可以复用的。也就是说，我们只要简单地改变这 个模式中各个具体环节的代码，就可以实现一个自己的蠕虫了。比如扫描部分

24、和 复制部分的代码完成后，一旦有一个新的漏洞出现，我们只要把攻击部分的代码 补充上就可以了。利用模式我们甚至可以编写一个蠕虫制造机。当然利用模式也可以编写一个自 动入侵系统，模式化的操作程序实现起来并不复杂。三、蠕虫传播的其他可能模式除了上面介绍的传播模式外，还可能会有别的模式出现。比如，我们可以把利用邮件进行自动传播也作为一种模式。 这种模式的描述为： 由邮件地址薄获得邮件地址-群发带有蠕虫程序的邮件-邮件被动打开，蠕虫程序 启动。这里面每一步都可以有不同的实现方法，而且这个模式也实现了自动传播， 所以我们可以把它作为一种蠕虫的传播模式。随着蠕虫技术的发展，今后还会有其他的传播模式出现。2.

25、2蠕虫病毒与一般病毒的异同与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。蠕虫和传 统病毒都具有传染性和复制功能， 这两个主要特性上的一致，导致二者之间是非 常难区分的，尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分传统病毒的技术， 更加剧了这种情况。下表 给出了传统病毒和蠕虫的一些差别：病毒蠕虫存在形式寄生独立个体复制形式插入到奇主程序中自身的拷贝传染机制奇主程序运仃系统存在漏洞攻击目标本地文件网络上其他计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能使用者角色传播中的关键环节无关防治措施从寄主文件中摘除为系统打补丁

26、对抗主体计算机使用者、反病毒 厂商系统软件和服务软件 提供商、网络管理人员从以上对比可发现，传统病毒主要攻击的是文件系统，在其传染的过程中，计 算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高 低常常决定了传统病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞 (vul nerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关， 从而与使用者的计算机知 识水平无关。另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区 分蠕虫和传统病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区 分蠕虫与

27、传统病毒。目前很多破坏性很强的病毒利用了部分网络功能，例如：以信件作为病毒的载体，或感染Windows系统的网络邻居共享中的文件。通过分析可以知道，Windows 系统的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的 攻击不能等同于对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独 立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病 毒，因为它们不具备上面提到的蠕虫的基本特征。如无特殊说明，本论文以后讨论和提到的蠕虫均指网络蠕虫，是无须计算机使用者干预即可运行的独立程序， 通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。通过以上分

28、析可知，一些常见的以蠕虫为名的病毒，如“Happy99蠕虫病毒”、"Mellissa 网络蠕虫宏病毒”、"Lover Letter 网络蠕虫病毒”等等，都不是严 格意义上的网络蠕虫。9安徽邮电职业技术学院毕业论文第三章蠕虫病毒实例3.1蠕虫病毒造成的破坏1988年，一个由美国康奈尔大学的研究生莫里斯编写的蠕虫病毒造成了数千 台计算机停机，蠕虫病毒开始现身网络；而后来的红色代码、尼姆达病毒肆虐的时候，造成了几十亿美元的损失；北京时间 2003年1月26日，一种名为“ 2003 蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网络的严重堵塞，由于互联网域名服务器（DNS的瘫痪

29、，导致网民浏览互联网网页及收发电子邮件的 速度大幅减缓，此外还造成银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，该病毒造成的直接经济损失至少在12亿美元以上。3.2蠕虫病毒实例“熊猫烧香”病毒解析病毒名称：熊猫烧香英文名称：Worm.Nimaya或 Worm.WhBoy病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧 香”蠕虫病毒反病毒软件影响系统：Win 9x/ME、Win 2000/NT、Win XP Win 2003、Win Vista【病毒描述】熊猫烧香其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆 亚变种 W

30、（Worm.Nimaya.w）由于中毒电脑的可执行文件会出现“熊猫烧香”图 案，所以也被称为“熊猫烧香”病毒。该病毒除了通过网站带毒感染用户之外， 此病毒还会在局域网中传播，用户电脑中毒后可能会出现蓝屏、 频繁重启以及系 统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常 使用。它能感染系统中exe，com, pif，src，html，asp等文件，它还能中止大 量的反病毒软件进程并且会删除扩展名为 gho的文件，该文件是一系统备份工具 GHOST勺备份文件，使用户的系统备份文件丢失。被感染的用户系统中所

31、有.exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”病毒感染现象如下图（1）“金猪报喜”病毒感染现象如下图（2）(1) “熊猫烧香”病毒感染现象(2) “金猪报喜”病毒发作现象病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. pif.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。 在硬盘各个分区下生成文件 autorun.inf 和setup.exe，可以通过U盘和移动硬 盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬

32、盘中 的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫 烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该 病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。【传播方式】“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。金山 分析：这是一个感染型的蠕虫病毒，它能感染系统 中.exe,.com,.pif,.src,.html,.asp等文件，它还能中止大量的反病毒软件进程1、拷贝文件病毒运行后，会把自己拷贝到C:WINDOWSSystem32Drive

33、rsspoclsv.exe2、添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWi ndows'Curre ntVersio nRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe3、病毒行为每隔1秒寻找桌面窗口，并关闭窗口标题中含有以下字符的程序防火墙进程网镖杀毒毒霸瑞星江民黄山 超级兔子优化大师木马克星木马清道夫QQ病毒注册表编辑器系统配置实用程 序卡巴斯基反病毒绿鹰 密码防盗 噬菌体 木马辅助查找器System Safety Mon itor'Wrappedgi

34、ftKillerWi nsock游 戏 木 马 检 测 大 师msctls_statusbar32pjf(ustc)lceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动HKEY_CURRENT_USERSoftwareMicrosoftWi ndows'Curre ntVersio nRunsvcshare -> C:WINDOWSSystem32Driversspoclsv.exe 并中止系统中以下的进程：Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUl.exeTBMo n.exe'sca n

35、32 .exe'Ravm on d.exeCCe nter.exeRavTask.exeRav.exeRavm on. exe'Ravm on D.e xeRavStub.exeKVXP.kxpkvMonXP.kxpKVCe nter.kxpKVSrvXP.exeKRegEx.e xeUIHost.exeTrojDie.kxpFrogAge nt.exeLogo1_.exeLogo_1.exeR un dl13 2.exe每隔18秒点击病毒作者指定的网页，并用命令行检查系统中是否存在共享， 共存在的话就运行net share命令关闭admin$共享每隔10秒下载病毒作者指定的文

36、件，并用命令行检查系统中是否存在共享， 共存在的话就运行net share命令关闭admin$共享每隔 6 秒删除安全软件在注册表中的键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndows'Curre ntVersio nRun RavTaskKvMonXPkavKAVPerso nal50McAfeeUpdaterUINetworkAssociatesError Report ing ServiceShStartEXEYLive.exeyassistse并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINESOFTWAREMicrosoft

37、Wi ndows'Curre ntVersio n'Explorer Adva ncedFolderHidde n'SHOWALLCheckedValue -> 0x00删除以下服务：n avapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSy man tec Core LCNPF Mn torMskServiceFireSvc感染文件病毒会感染扩展名为.exe,.pif,.com,.src 的文件，把自己附加到文件的头 部，并在扩展名为.htm,.html,.asp,.php,.jsp,.aspx的

38、文件中添加一网址,用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到 增加点击量的目的，但病毒不会感染以下文件夹名中的文件：WINDOWWi nn tSystemVolumeIn formatio nRecycledWi ndowsNTWi ndowsUpdate'Wi ndows Media PlayerOutlook ExpressI nternet ExplorerNetMeeti ngCom monFilesComPlusApplicati on sMesse ngerl nstallShieldIn stallati onIn formatio nMSNMicro

39、soft Fron tpageMovie MakerMSN Gamin Zo ne删除文件病毒会删除扩展名为gho的文件，该文件是一系统备份工具 GHOS的备份文件 使用户的系统备份文件丢失.瑞星最新病毒分析报告：“ Nimaya（熊猫烧香）”这是一个传染型的DownLoad使用Delphi编写本地磁盘感染病毒对系统中所有除了盘符为 A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXfiD 磁盘进行文件遍历感染注：不感染文件大小超过10485760字节以上的.（病毒将不感染如下目录的文件）:Microsoft Fron tpageMovie MakerMSN Gamin ZoneC

40、om mon FilesWin dows NTRecycledSystem Volume In formatio nDocume nts and Sett ings第四章蠕虫病毒的防范4.1蠕虫的特点及发展趋势蠕虫病毒的特点和发展趋势主要体现在以下几个方面：（1） 利用操作系统和应用程序的漏洞主动进行攻击：此类病毒主要包括“红色代码”和“尼姆达”以及至今依然肆虐的“求职信”等病毒。由于IE浏览器的漏洞，使得感染了“尼姆达”病毒的邮件在不通过手工打开附件的情况下就能 激活病毒，而此前很多防病毒专家还一直认为，“只要不打开带有病毒的邮件的附件，病毒就不会造成危害”。“红色代码”是利用了微软IIS服

41、务器软件的漏洞（idq.dll远程缓存区溢出）来传播的。Sql蠕虫王病毒则是利用了微软数据库 系统的一个漏洞进行攻击的。（2）传播方式多样：例如，“尼姆达”病毒和“求职信”病毒可利用的传播 途径包括文件、电子邮件、Web服务器及网络共享等。（3）病毒制作技术与传统病毒不同：许多新病毒是利用当前最新的编程语言 与编程技术实现的，易于修改，从而可以产生新的变种，因此可以逃避反病毒软件的搜索。另外，新病毒利用 Java、ActiveX、VB Script等技术，可以潜伏在 HTML页面里，在用户上网浏览时被触发。（3）与黑客技术相结合：与黑客技术相结合后潜在的威胁和损失更大。 以“红 色代码”为例，感染后的机器在 web目录的scripts 下将生成一个root.exe ， 可以远程执行任何命令，从而使黑客能够再次进入。4.2如何对蠕虫病毒攻击进行防范为了防止被病毒感染，这里给出以下安全建议：（1）购买主流的网络安全产品，并注意随时更新。（2）提高防杀毒意识，不要轻易点击陌生的站点。（3）不随意查看陌生邮件，尤其是带有附件的邮件。对于蠕虫病毒应当注意 不要轻易运行邮件中的附件文件，如果发现邮件有异常并且没有附件时应该看一 看邮件的详细信息中是否含有隐藏的病毒。（4）对于网络管理人员，尤其是邮件服务器的管理人员来