蠕虫病毒的特征与防治

《蠕虫病毒的特征与防治》由会员分享，可在线阅读，更多相关《蠕虫病毒的特征与防治（24页珍藏版）》请在金锄头文库上搜索。

1、蠕虫病毒的特征与防治作者:日期:研究生课程论文（2 0 0 8-2 0 0 9学年第二学期）蠕虫病毒的特征与防治摘要随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算 机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采 用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。 本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒 的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟 机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。关键词：蠕虫，病毒特征，病毒防治?1引言“蠕虫”这个生物学名词于1982年由X

2、ero x PA RC的J ohn F. S hoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫 的目的是做分布式计算的模型试验。198 8年Mo rris蠕虫爆发后,Euge ne H. Sp affo rd为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可 以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其 在网络上迅速感染

3、的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种 技术手段02蠕虫病毒的特征及传播1、一般特征：(1)独立个体，单独运行；(2 )大部分利用操作系统和应用程序的漏洞主动进行攻击；(3) 传播方式多样；(4) 造成网络拥塞,消耗系统资源；(5) 制作技术与传统的病毒不同，与黑客技术相结合。2、病毒与蠕虫的区别(1) 存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在；(2) 传染机制方面病毒利用宿主程序的运行，而蠕虫利用系统存在的漏洞；(3 )传染目标病毒针对本地文件，而蠕虫针对网络上的其他计算机；(4)防治病毒是将其从宿主文件中删除，而防治蠕虫是为系统打补丁。3、传播过程:(1

4、) 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。(2) 攻击：攻击模块按漏洞攻击步骤自动攻击步骤 1中找到的对象，取得该主机的 权限(一般为管理员权限)，获得一个shell。(3) 现场处理：进入被感染的系统后，要做现场处理工作，现场处理部分工作主 要包括隐藏、信息搜集等等(4 )复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启 动。每一个具体的蠕虫在实现这四个部分时会有不同的侧重，有的部分实现的相 当复杂,有的部分实现的则相当简略。尼姆达病毒是一个比较典型的病毒与蠕虫 技术相结合的蠕虫病毒，它几乎包括目前所有流行病毒的传播手段，并且可以攻 击W in98 /N T/20

5、 0 0/X P等所有的W indows操作平台。该病毒有以下4种 传播方式：(1) 通过E mail发送在客户端看不到的邮件附件程序 sample . e xe,该部分利 用了微软的0E信件浏览器的漏洞；(2) 通过网络共享的方式来传染给局域网络上的网络邻居，使用设置密码的共享方式可以有效的防止该病毒的此种传播方式；(3) 通过没有补丁的II S服务器来传播，该传播往往是病毒屡杀不绝的原因，该方式利用了微软I I S的U NICOD E漏洞；(4) 通过感染普通的文件来传播，在这一点上和普通的病毒程序相同。4、蠕虫病毒的传播趋势目前的流行病毒越来越表现出以下三种传播趋势 ：1、通过邮件附件传

6、播病毒，如M ydoo m等邮件病毒;2、通过无口令或者弱口令共享传播病毒,如Nim da、Net s key等；3、利用操作系统或者应用系统漏洞传播病毒，如冲击波蠕虫、震荡波蠕虫等。3目前流行的蠕虫病毒3. 1 Myd o om邮件病毒Nov a rg/My d oom. a蠕虫是2004年1月28日开始传入我国的一个通过邮 件传播的蠕虫。在全球所造成的直接经济损失至少达400亿美元，是2004年1月份十大病毒之首。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中 的附件。拒绝服务的方式是向网站的WEB服务发送大量G ET请求，在传播和攻击过程中，会占用大量系统资源，导致系统运行变慢。蠕

7、虫还会在系统上留下 后门,通过该后门，入侵者可以完全控制被感染的主机2。该蠕虫没有使用特别的技术和系统漏洞，之所以能造成如此大的危害，主要 还是由于人们防范意识的薄弱，和蠕虫本身传播速度较快的缘故。该蠕虫主要通 过电子邮件进行传播，它的邮件主题、正文和所带附件的文件名都是随机的，另外 它还会利用K azaa的共享网络来进行传播。病毒文件的图标和 win d ow s系统记 事本(NOTE P A D .EX E)图标非常相似，运行后会打开记事本程序，显示一些 乱码信息，其实病毒已经开始运行了。病毒会创建名为“ Swe b Si pcS mt xS O”的排斥体来判断系统是否己经被感染。蠕虫在系

8、统中寻找所有可能包含邮件地址的文件，包括地址簿文件、各种网 页文件等，从中提取邮件地址，作为发送的目标。病毒会避免包含以下信息的域 名：gov、mil、b o r 1 an、bs d、examp le等,病毒同样会避免包含以下信息 的电子邮件帐户:acco un、ca ce rtific、i c rosoft、inf o、linux 等，当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址，不将其加入到发送地址链表中。Worm. Mydoom.a病毒主程序流程如图3-1所示,后门程序s hi m gap i . d II如图3 - 2所示：生 成 库文 件创建无限循环扫描线程扫描wab文件、

9、IE临时创建无限循环的发送邮 件 线 程图3-1 Mydoom病毒主体流程图r71F当系统为Wni9X时,查询当前线程信息，根据此信息获得动态库路径，修改注册表键将创建后门端口并监每半秒检查一次注图 3 -2 shi m gapi. d l 1流程图M y doo m蠕虫病毒除造成了网络资源的浪费，阻塞网络，被攻击网站不能提供正常服务外,最大的危险在于安装了后门程序。该后门即 shimgapi. dll，通 过修改注册表，使自身随着EX PL OR E R的启动而运行，将自己加载到了资源 管理器的进程空间中。后门监听31 27端口，如果该端口被占用，则递增，但不 大于3 198。后门提供了两个

10、功能：(1)作为端口转发代理；(2 )作为后门，接收上传程序并执行。当3 127端口收到连接之后,如果recv的第一个字符是x04,转入端口转发 流程。若第二个字符是0x01,则取3、4两个字符作为目标端口，取第5-8四个字节作为目标IP地址,进行连接并和当前socket数据转发。r ecv的第一个字符 如果是x85,则转入执行命令流程。先接收四个字节，转成主机字节序后验证是否 是x133c9ea2,验证通过则创建临时文件接收数据，接收完毕运行该文件。也就是 说,只要我们把任意一个可执行文件的头部，加上五个字符:x8 5 133 c9ea 2,作 为数据发送到感染了 Mydoom.a蠕虫机器的

11、312 7端口，这个文件，就会在系统 上被执行,从而对被感染系统的安全造成了极大的威胁。Nimda蠕虫病毒在Nim da蠕虫病毒出现以前，“蠕虫”技术一直是独立发展的。Nmi d a病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。从Nim d a的攻击方式来看，Nim da蠕虫病毒只攻击微软的 Win X系列操作系统，它通过电子邮 件、网络临近共享文件、IE浏览器的内嵌M I ME类型自动执行漏洞、II S服务 器文件目录遍历漏洞、C od e Red II和Sad mind/IIS蠕虫留下的后门共五种 方式进行传播，其中前三种方式是病毒传播方式。关于蠕虫病毒的分析，在很多文献中都有提到

12、，本文在这些文献的基础上，重点针对几种典型的蠕虫病毒在 技术实现上的特点进行分析，以期找到他们的一些共性。1.被利用的系统漏洞描述(1 )微软IE异常处理Ml ME头漏洞IE在处理MIME头中“C on tent 2Type: ”处指定的某些类型时存在问题, 攻击者可以利用这类缺陷在IE客户端执行任意命令。(2 ) Microsof t IIS U n iCode解码目录遍历漏洞微软I IS 4.0和II S5. 0在U n i Cdoe字符解码的实现中存在一个安全漏 洞，导致用户可以远程通过IIS执行任意命令。Mier o sof t IIS CGI文件名错误解码漏洞微软IIS4.0 /5

13、.0在处理C GI程序文件名时存在一个安全漏洞,由于错误 地对文件名进行了两次解码，攻击者可能利用这个漏洞执行任意系统命令。(4 ) “Code Re d I I”和Sadmi nd/I I S蠕虫留下的后门程序。2.传播方式(1 )邮件传播蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。这个邮件由两部分MIME类型的信息组成：第一部分的MI ME类型为“ tex t/h tm I”，但却没有包 含文本，因此看起来是空的；第二部分的MIME类型为“ aud io/x2 wa v” ,但它实际上携带的是一个名为“ Rea dme ex e”的bas e64编码的可执行附件。 利用了 “微软IE异常

14、处理M IME头漏洞”安全漏洞,任何运行在x86平台下并 且使用微软IE 5 .5S P1或之前版本(IE5. 0 1SP 2除外)来显示HTML邮件的 邮件客户端软件，都将自动执行邮件附件。用户甚至只需打开或预览邮件即可使蠕虫被执行4 。被蠕虫攻击的目标邮件的地址从下列两个来源中获得： 用户W eb C a che文件夹中的*.htm和*htm 1文件 用户通过M API服务收到Email邮件的内容蠕虫在这些文件中搜索看起来像邮件地址的字符串，然后向这些地址发送一 份包含蠕虫拷贝的邮件。N im da蠕虫在W indows注册表中记录最后一批邮件发 送的时间，然后每十天重复搜索邮件地址并重新

15、发送蠕虫邮件。(2)11 S WE E服务器传播蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫(RdeCodeII和Sad mi nd/ I IS)留下的后门程序来进行传播。蠕虫按照下列几率来选择攻击目标的IP地址： 5 0 %的几率,在与本地IP地址前两字节相同的地址(B类网络)中选择一个 2 5%的几率，在与本地IP地址前一字节相同的地址(A类网络)中选择一 个 2 5 %勺几率，随机选择IP地址。蠕虫首先会启动一个T FTP服务器,监听U D P/6 9端口。在开启TF T P服 务器和确定攻击P1地址之后，Ni m da就开始对这个IP地址进行扫描。首先，扫 描“ RdeC odell”留下的后门。由于被“ RedCodeI”攻击过的系统中的 Web虚 拟目录中会留下一个名为R oot.exe的后门程序，Nimda就首先扫描“ /Sc r ipt s /ro ot .exc”，如果这个程序存在的话，Nimda蠕虫就企图通过它在系统上执行 命令。它执行类似下列命令来向其发送蠕虫代码：GET/scripts/ro ot.ex e? /c+t H TTP/1.0其中Localip是本主机的IP地址