《病毒的发展与技术》由会员分享,可在线阅读,更多相关《病毒的发展与技术(61页珍藏版)》请在金锄头文库上搜索。
1、病毒的发展与技术主讲人:彭国军计算机病毒的特点n n传染性传染性n n破坏性破坏性n n寄生性寄生性n n隐蔽性隐蔽性n n程序性(可执行性)程序性(可执行性)n n潜伏性潜伏性n n可触发性可触发性n n衍生性衍生性n n欺骗性欺骗性n n不可预见性不可预见性什么是计算机病毒?什么是计算机病毒?一组具有能够进行自我传播的破坏性代码或程序。计算机病毒的发展过程计算机病毒的发展过程n n2020世纪世纪6060年代初,美国贝尔实验室三个年轻的程年代初,美国贝尔实验室三个年轻的程序员编写了一个名为序员编写了一个名为“磁芯大战磁芯大战”的游戏,游戏的游戏,游戏中的一方通过复制自身来摆脱对方的控制,这
2、就中的一方通过复制自身来摆脱对方的控制,这就是所谓是所谓“计算机病毒第一个雏形。计算机病毒第一个雏形。n n2020世纪世纪7070年代,美国作家雷恩在其出版的年代,美国作家雷恩在其出版的P1P1的的青春一书中构思了一种能够自我复制的计算机青春一书中构思了一种能够自我复制的计算机程序,并第一次称之为程序,并第一次称之为“计算机病毒计算机病毒”。计算机病毒的发展过程计算机病毒的发展过程n n到了到了2020世纪世纪8080年代后期,巴基斯坦有两个以编软年代后期,巴基斯坦有两个以编软件为生的兄弟(也就是现在的程序员),他们为件为生的兄弟(也就是现在的程序员),他们为了打击那些盗版软件的使用者,设计
3、出了一个名了打击那些盗版软件的使用者,设计出了一个名为为“巴基斯坦智囊巴基斯坦智囊”的病毒,该病毒只传染软盘的病毒,该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正引导区。这就是最早在世界上流行的第一个真正的病毒。的病毒。n n19881988年至年至19891989年,我国也相继出现了能感染硬盘年,我国也相继出现了能感染硬盘和软盘引导区的和软盘引导区的StonedStoned(石头)病毒,该病毒替(石头)病毒,该病毒替代码中有明显的标志代码中有明显的标志“Your Pc is now Stoned“Your Pc is now Stoned!”。20世纪世纪90年代以前病毒的弱点年
4、代以前病毒的弱点n n被感染的文件大小明显增加被感染的文件大小明显增加n n病毒代码主体没有加密。病毒代码主体没有加密。n n访问文件的日期得到更新。访问文件的日期得到更新。n n很容易被很容易被debugdebug工具跟踪工具跟踪这些病毒中,稍微有点对抗反病毒手段的只有这些病毒中,稍微有点对抗反病毒手段的只有Yankee Yankee DooleDoole病毒,当它发现你用病毒,当它发现你用DebugDebug工具跟踪它的时候,工具跟踪它的时候,它会自动从文件中消失。它会自动从文件中消失。计算机病毒的发展过程计算机病毒的发展过程n n接着,就出现了一些能对自身进行简单加密的病接着,就出现了一
5、些能对自身进行简单加密的病毒,譬如当内存有毒,譬如当内存有17411741病毒,用病毒,用DIRDIR列目录表的列目录表的时候,这个病毒就会掩盖被感染文件后增加的字时候,这个病毒就会掩盖被感染文件后增加的字节数,使人看起来文件的大小没有什么变化。节数,使人看起来文件的大小没有什么变化。n n19921992年以后,出现了是一种叫做年以后,出现了是一种叫做DIR2DIR2的病毒,这的病毒,这种病毒非常典型,并且其整个程序大小只有种病毒非常典型,并且其整个程序大小只有263263个个字节。字节。计算机病毒的发展过程计算机病毒的发展过程n n2020世纪内,绝大多数病毒是基于世纪内,绝大多数病毒是基
6、于DOSDOS系统的,有系统的,有80%80%的病毒能在的病毒能在WindowsWindows中传染。中传染。n n宏病毒的出现,代表有美丽莎宏病毒的出现,代表有美丽莎,台湾一号等台湾一号等n n病毒生产机现身,1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”计算机病毒的发展过程计算机病毒的发展过程 Internet Internet的广泛应用,激发了病毒的活力。病的广泛应用,激发了病毒的活力。病毒通过网络的快速传播和破坏,为世界带来了一毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。次一次的巨大灾难。n n19981998年年2 2月,台湾省的陈盈豪
7、,编写出了破坏性月,台湾省的陈盈豪,编写出了破坏性极大的恶性病毒极大的恶性病毒CIH-1.2CIH-1.2版,并定于每年的版,并定于每年的4 4月月2626日发作破坏日发作破坏 CIH介绍n n陈盈豪:当时台湾的陈盈豪:当时台湾的一个大学生一个大学生n n19981998年年2 2月,月,1.21.2版版n n19981998年年4 4月月2626日,台湾日,台湾少量发作少量发作n n19991999年年4 4月月2626日,全球日,全球发作发作n n破坏主板破坏主板BIOSBIOSCIH特点n n通过网络(软件下载)传播n n全球有超过6000万台的机器被感染 n n第一个能够破坏计算机硬件
8、的病毒n n全球直接经济损失超过10亿美元计算机病毒的发展过程计算机病毒的发展过程n n1999年2月,“美丽莎”病毒席卷了整个欧美大陆 这是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。“美丽莎”介绍n n大卫大卫.史密斯,美国新史密斯,美国新泽西州工程师泽西州工程师n n在在1616小时内席卷全球小时内席卷全球互联网互联网 n n至少造成至少造成1010亿美元的亿美元的损失!损失!n n通过通过emailemail传播传播n n传播规模(传播规模(5050的的n n次方,次方,n n为传播的次数)为传播的次数)计算机病毒的发展过程计算机病毒的发展过程n n2000年5月,在欧美又
9、爆发了“爱虫”网络蠕虫病毒,造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒属于vbs脚本病毒,可以通过html,irc,email进行大量的传播。爱虫病毒介绍n n菲律宾菲律宾“AMA”“AMA”电脑大电脑大学计算机系的学生学计算机系的学生n n一个星期内就传遍一个星期内就传遍5 5大大洲洲 n n微软、微软、IntelIntel等在内的等在内的大型企业网络系统瘫大型企业网络系统瘫痪痪 n n全球经济损失达几十全球经济损失达几十亿美元亿美元 爱虫病毒特点n n通过电子邮件传播,向地址本中所有用户发带毒通过电子邮件传播,向地址本中所有用户发带毒邮件邮件n n通过聊天通道通过聊天通道IRCI
10、RC、VBSVBS、网页传播、网页传播n n能删除计算机内的部分文件能删除计算机内的部分文件 n n制造大量新的电子邮件,使用户文件泄密、网络制造大量新的电子邮件,使用户文件泄密、网络负荷剧增。负荷剧增。n n一年后出现的爱虫变种一年后出现的爱虫变种VBSVBSLoveLetterLoveLetterCMCM它它还会在还会在WindowsWindows目录下驻留一个染有目录下驻留一个染有CIHCIH病毒的文病毒的文件,并将其激活。件,并将其激活。计算机病毒的发展过程计算机病毒的发展过程n n再后来就出现有更多的网络蠕虫。譬如,红色代码,蓝色代码、求职者病毒、尼姆达(Nimda)、FUN_LOV
11、E,最近还在流行的新欢乐时光等等。计算机病毒的发展过程n n7 7月月1818日午夜,红色代码大面积暴发,被攻击的电日午夜,红色代码大面积暴发,被攻击的电脑数量达到脑数量达到35.935.9万台。被攻击的电脑中万台。被攻击的电脑中44%44%位于位于美国,美国,11%11%在韩国,在韩国,5%5%在中国,其余分散在世界在中国,其余分散在世界各地。各地。n n7 7月月1919日,日,“红色代码红色代码”病毒开始疯狂攻击美国病毒开始疯狂攻击美国白宫网站,白宫网站管理员将白宫网站从原来的白宫网站,白宫网站管理员将白宫网站从原来的IPIP地址转移到另外一个地址,才幸免于难。地址转移到另外一个地址,才
12、幸免于难。红色代码的特点n n该病毒通过微软公司该病毒通过微软公司IISIIS系统漏洞进行感染,它使系统漏洞进行感染,它使IISIIS服务程序处理请服务程序处理请求数据包时溢出,导致把此求数据包时溢出,导致把此“数据包数据包”当作代码运行,病毒驻留后再当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。次通过此漏洞感染其它服务器。n n它只存在于内存,传染时借助这个服务器的网络连接攻击其它的服务它只存在于内存,传染时借助这个服务器的网络连接攻击其它的服务器,直接从一台电脑内存传到另一台电脑内存。器,直接从一台电脑内存传到另一台电脑内存。n n它所造成的破坏主要是涂改网页它所造成的破坏主要是涂
13、改网页,对网络上的其它服务器进行攻击,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。被攻击的服务器又可以继续攻击其它服务器。n n在每月的在每月的20-2720-27日,向美国白宫网站发动攻击。日,向美国白宫网站发动攻击。n n将将WWWWWW英文站点改写为英文站点改写为“Hello!Welcome to!Hacked by Chinese!”“Hello!Welcome to!Hacked by Chinese!”。计算机病毒的发展过程n n7月31日,格林尼治时间午夜整点,“红色代码II”爆发,在全球大面积蔓延。n n据统计:据统计:n n红色代码发作的行业集中在计
14、算机信息行业和网站,红色代码发作的行业集中在计算机信息行业和网站,约占约占70-80%70-80%n n其次就是企事业单位,包括学校,政府机构等,约其次就是企事业单位,包括学校,政府机构等,约占占20%-30%20%-30%。n n其中北京地区发作最为严重,约占其中北京地区发作最为严重,约占80%80%。红色代码II 特点n n具有红色代码的特点具有红色代码的特点n n可以攻击任何语言的系统。可以攻击任何语言的系统。n n在遭到攻击的机器上植入在遭到攻击的机器上植入“特洛伊木马特洛伊木马”,拥有极强的可扩充性。,拥有极强的可扩充性。n n未感染则注册未感染则注册AtomAtom并创建并创建30
15、0300个病毒线程。个病毒线程。n n当判断到系统默认的语言当判断到系统默认的语言IDID是中华人民共和国或中国台湾时,线程数是中华人民共和国或中国台湾时,线程数猛增到猛增到600600个个 。n nIPIP随机数发生器产生用于病毒感染的目标电脑随机数发生器产生用于病毒感染的目标电脑IPIP地址。地址。(40(40万万/天)天)n n当病毒在判断日期大于当病毒在判断日期大于20022002年年1010月时,会立刻强行重启计算机月时,会立刻强行重启计算机 红色代码造成的危害n n网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃等。n n硬盘数据能够被远程读写n n直接经济损失:26亿
16、美元计算机病毒的发展过程n n20012001年年9 9月月1818日出现的尼姆达病毒日出现的尼姆达病毒n n20012001年最为凶猛的恶意蠕虫病毒,岂今为止已给全球年最为凶猛的恶意蠕虫病毒,岂今为止已给全球带来不可估量的经济损失。带来不可估量的经济损失。n n该病毒不仅传播速度快、危害性强,而且自我繁殖能该病毒不仅传播速度快、危害性强,而且自我繁殖能力更是位居各大病毒之首。力更是位居各大病毒之首。n n已有五种新变种相继粉墨登场,作恶不可谓不大。已有五种新变种相继粉墨登场,作恶不可谓不大。n n利用利用unicodeunicode漏洞,与黑客技术相结合。漏洞,与黑客技术相结合。尼姆达病毒的传播过程n n2001年9月18日,首先在美国出现,当天下午,有超过130,000台服务器和个人电脑受到感染。(北美洲)n n2001年9月18日晚上,在日本、香港、南韩、新加坡和中国都收到了受到感染的报告。(亚洲)n n2001年9月19日,有超过150000个公司被感染,西门子在他的网络受到渗透之后,被迫关掉服务器。(欧洲)尼姆达的四种传播方式n n文件感染文件感染n nEmailEmailn
