常见计算机病毒课件

计算机病毒中的蠕虫病毒

制作：杨东方学号：14514033常见计算机病毒主要内容网络蠕虫的定义及其与狭义病毒的区别蠕虫的分类蠕虫的工作原理蠕虫的行为特征蠕虫的防治网络蠕虫常见计算机病毒1.1蠕虫的起源1980年，XeroxPARC的研究人员JohnShoch和JonHupp在研究分布式计算、监测网络上的其他计算机是否活跃时，编写了一种特殊程序，Xerox蠕虫1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生Morris为了求证计算机程序能否在不同的计算机之间进行自我复制传播，编写了一段试验程序为了让程序能顺利进入另一台计算机，他还写了一段破解用户口令的代码11月2日早上5点，这段被称为“Worm”(蠕虫)的程序开始了它的旅行。它果然没有辜负Morris的期望，爬进了几千台计算机，让它们死机Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播Morris在证明其结论的同时，也开启了蠕虫新纪元1蠕虫的起源及其定义常见计算机病毒Morris90行程序代码2小时：6000台电脑（互联网的十分之一）瘫痪1500万美元的损失3年缓刑/1万罚金/400小时的社区义务劳动病毒的萌芽：没有企图用蠕虫去破坏数据或文件，但他企图让蠕虫广泛传播常见计算机病毒1.2蠕虫的原始定义蠕虫这个生物学名词在1982年由XeroxPARC的JohnF.Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”1988年Morris蠕虫爆发后，EugeneH.Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“Wormisaprogramthatcanrunbyitselfandcanpropagateafullyworkingversionofitselftoothermachines.”(计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上)1蠕虫的起源及其定义常见计算机病毒1.3计算机病毒的原始定义计算机病毒从技术角度的定义是由FredCohen在1984年给出的：“Aprogramthatcan‘infect’otherprogramsbymodifyingthemtoincludeapossiblyevolvedcopyofitself.”(计算机病毒是一种可以感染其它程序的程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的)1988年Morris蠕虫爆发后，EugeneH.Spafford为了区分蠕虫和病毒，将病毒的含义作了进一步的解释：“Virusisapieceofcodethataddsitselftootherprograms,includingoperatingsystems.Itcannotrunindependentlyanditrequiresthatits'host'programberuntoactivateit.”(计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它)1蠕虫的起源及其定义常见计算机病毒1.4蠕虫与病毒之间的区别及联系病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序(文件)中自身的拷贝传染机制宿主程序运行系统存在漏洞(Vulnerability)搜索机制(传染目标)主要是针对本地文件主要针对网络上的其它计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能计算机使用者角色病毒传播中的关键环节无关防治措施从宿主程序中摘除为系统打补丁(Patch)1蠕虫的起源及其定义常见计算机病毒1.5蠕虫定义的进一步说明计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒不能简单的把利用了部分网络功能的病毒统称为蠕虫或蠕虫病毒“Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、“LoverLetter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫1蠕虫的起源及其定义常见计算机病毒2.1蠕虫的分类根据蠕虫的传播、运作方式，可以将蠕虫分为两类主机蠕虫主机蠕虫的所有部分均包含在其所运行的计算机中在任意给定的时刻，只有一个蠕虫的拷贝在运行也称作“兔子”(Rabbit)网络蠕虫网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作)使用网络的目的，是为了进行各部分之间的通信以及传播网络蠕虫具有一个主segment，该主segment用以协调其他segment的运行这种蠕虫有时也称作“章鱼”(Octopus)2蠕虫的分类常见计算机病毒2.2蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞（它可以传送多媒体文件，在一封电子邮件中附加各种格式文件一起送出。）2蠕虫的分类MIME描述漏洞常见计算机病毒2.2蠕虫与漏洞网页蠕虫主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播系统漏洞蠕虫系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫2蠕虫的分类常见计算机病毒3.1蠕虫的基本结构蠕虫程序的实体结构蠕虫程序的功能结构3蠕虫的基本原理常见计算机病毒3.2蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”3蠕虫的基本原理常见计算机病毒“冲击波(Blaster)”爆发年限:2003年夏季常见计算机病毒5.1“冲击波清除者”概述2003年8月18日，互联网中出现一种清除“冲击波”(Worm.MSBlast)的蠕虫(MSBlast.Remove.Worm/W32)该蠕虫利用WindowsRPCDCOM漏洞(MS03-026)及WindowsIISWEBDAV(MS03-07)作为感染攻击手段，并通过T简单文件传输协议)下载病毒体到被感染机器中该蠕虫不在被感染系统留后门，也不会进行有目的的拒绝服务攻击。其感染目的是清除MSBlast.Worm/W32病毒体及分别为Win2000、WinXP的韩文系统、繁体中文系统、简体中文系统、英文系统下载和安装WindowsRPCDCOM(MS03-26)安全补丁，而且该蠕虫还具有定时自毁功能该蠕虫也称作“Chian”蠕虫，因其体内有“~~~WelcomeChian~~~”字样。据蠕虫作者在某安全网站发表的声明，“Chian”是“China”的笔误5“冲击波”清除者分析常见计算机病毒红色代码（CodeRed，2001年）

“红色代码”病毒是2001年一种新型网络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合，将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可称之为划时代的病毒。如果稍加改造，将是非常致命的病毒，可以完全取得所攻破计算机的所有权限并为所欲为，可以盗走机密数据，严重威胁网络安全。常见计算机病毒红色代码“红色代码”蠕虫是通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，蠕虫驻留后再次通过此漏洞感染其它服务器。“红色代码”蠕虫采用了一种叫做"缓存区溢出"（

可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。）的黑客技术，利用网络上使用微软IIS系统的服务器来进行蠕虫传播。这个蠕虫使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。

常见计算机病毒红色代码“红色代码II”蠕虫代码首先会判断内存中是否已经注册了一个名为CodeRedII的Atom(系统用于对象识别)，如果已存在此对象，表示此机器已被感染，蠕虫进入无限休眠状态，未感染则注册Atom并创建300个恶意线程，当判断到系统默认的语言ID是中华人民共和国或中国台湾时，线程数猛增到600个，创建完毕后初始化蠕虫体内的一个随机数生成器(RundomNumberGenerator)，此生成器随机产生IP地址让被蠕虫去发现这些IP地址对应的机器的漏洞并感染之。每个蠕虫线程每100毫秒就会向一随机地址的80端口发送一长度为3818字节的病毒传染数据包。巨大的蠕虫数据包使网络陷于瘫痪。常见计算机病毒红色代码病毒红色代码(2001年)是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。被它感染后，遭受攻击的主机所控制的网络站点上会显示这样的信息：“你好！欢迎光临！”。随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约2