《常見(jiàn)計(jì)算機(jī)病毒》ppt課件

1、,,,計(jì)算機(jī)病毒中的蠕蟲(chóng)病毒,制作：楊東方學(xué)號(hào)：14514033,主要內(nèi)容,網(wǎng)絡(luò)蠕蟲(chóng)的定義及其與狹義病毒的區(qū)別蠕蟲(chóng)的分類(lèi)蠕蟲(chóng)的工作原理蠕蟲(chóng)的行為特征蠕蟲(chóng)的防治,網(wǎng)絡(luò)蠕蟲(chóng),1.1 蠕蟲(chóng)的起源,1980年，Xerox PARC的研究人員John Shoch和Jon Hupp在研究分布式計(jì)算、監(jiān)測(cè)網(wǎng)絡(luò)上的其他計(jì)算機(jī)是否活躍時(shí)，編寫(xiě)了一種特殊程序，Xerox蠕蟲(chóng)1988年11月2日，世界上第一個(gè)破壞性計(jì)算機(jī)蠕蟲(chóng)正式誕生Morri

2、s為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間進(jìn)行自我復(fù)制傳播，編寫(xiě)了一段試驗(yàn)程序?yàn)榱俗尦绦蚰茼樌M(jìn)入另一臺(tái)計(jì)算機(jī)，他還寫(xiě)了一段破解用戶(hù)口令的代碼11月2日早上5點(diǎn)，這段被稱(chēng)為“Worm”(蠕蟲(chóng))的程序開(kāi)始了它的旅行。它果然沒(méi)有辜負(fù)Morris的期望，爬進(jìn)了幾千臺(tái)計(jì)算機(jī)，讓它們死機(jī)Morris蠕蟲(chóng)利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)行傳播Morris在證明其結(jié)論的同時(shí)，也開(kāi)啟了蠕蟲(chóng)新紀(jì)元,1 蠕

3、蟲(chóng)的起源及其定義,Morris,90行程序代碼2小時(shí)：6000臺(tái)電腦（互聯(lián)網(wǎng)的十分之一）癱瘓1500萬(wàn)美元的損失 3年緩刑/1萬(wàn)罰金/400小時(shí)的社區(qū)義務(wù)勞動(dòng) 病毒的萌芽： 沒(méi)有企圖用蠕蟲(chóng)去破壞數(shù)據(jù)或文件，但他企圖讓蠕蟲(chóng)廣泛傳播,1.2 蠕蟲(chóng)的原始定義,蠕蟲(chóng)這個(gè)生物學(xué)名詞在1982年由Xerox PARC的John F. Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了計(jì)算機(jī)蠕蟲(chóng)的兩個(gè)最基本特征：“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另

4、一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”1988年Morris蠕蟲(chóng)爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲(chóng)和病毒，給出了蠕蟲(chóng)的技術(shù)角度的定義：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(計(jì)算機(jī)蠕蟲(chóng)可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳

5、播到另外的計(jì)算機(jī)上),1 蠕蟲(chóng)的起源及其定義,1.3 計(jì)算機(jī)病毒的原始定義,計(jì)算機(jī)病毒從技術(shù)角度的定義是由Fred Cohen在1984年給出的：“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(計(jì)算機(jī)病毒是一種可以感染其它程序的程序，感染的方式為在被感染程序中加入計(jì)

6、算機(jī)病毒的一個(gè)副本，這個(gè)副本可能是在原病毒基礎(chǔ)上演變過(guò)來(lái)的)1988年Morris蠕蟲(chóng)爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲(chóng)和病毒，將病毒的含義作了進(jìn)一步的解釋?zhuān)骸癡irus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it req

7、uires that its 'host' program be run to activate it.”(計(jì)算機(jī)病毒是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上。它不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來(lái)激活它),1 蠕蟲(chóng)的起源及其定義,1.4 蠕蟲(chóng)與病毒之間的區(qū)別及聯(lián)系,1 蠕蟲(chóng)的起源及其定義,1.5 蠕蟲(chóng)定義的進(jìn)一步說(shuō)明,計(jì)算機(jī)病毒主要攻擊的是文件系統(tǒng)，在其傳染的過(guò)程中，計(jì)算機(jī)使用者是傳染的觸發(fā)者，是傳染的

8、關(guān)鍵環(huán)節(jié)，使用者的計(jì)算機(jī)知識(shí)水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲(chóng)主要是利用計(jì)算機(jī)系統(tǒng)漏洞(Vulnerability)進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動(dòng)進(jìn)行攻擊，在傳染的過(guò)程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無(wú)關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無(wú)關(guān)蠕蟲(chóng)的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性，這也是區(qū)分蠕蟲(chóng)和病毒的重要因素?？梢酝ㄟ^(guò)簡(jiǎn)單的觀察攻擊程序是否存在載體來(lái)區(qū)分蠕蟲(chóng)與病毒不能簡(jiǎn)單的把利用了部分網(wǎng)絡(luò)功能的病毒統(tǒng)稱(chēng)

9、為蠕蟲(chóng)或蠕蟲(chóng)病毒“Melissa網(wǎng)絡(luò)蠕蟲(chóng)宏病毒”(Macro.Word97.Melissa)、“Lover Letter網(wǎng)絡(luò)蠕蟲(chóng)病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲(chóng)。以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲(chóng),1 蠕蟲(chóng)的起源及其定義,2.1 蠕蟲(chóng)的分類(lèi),根據(jù)蠕蟲(chóng)的傳播、運(yùn)作方式，可以將蠕蟲(chóng)分為兩類(lèi)主機(jī)蠕蟲(chóng)主機(jī)蠕蟲(chóng)的所有部分均包含在其所運(yùn)行的計(jì)算機(jī)中在任意給定的時(shí)刻，只有

10、一個(gè)蠕蟲(chóng)的拷貝在運(yùn)行也稱(chēng)作“兔子”(Rabbit)網(wǎng)絡(luò)蠕蟲(chóng)網(wǎng)絡(luò)蠕蟲(chóng)由許多部分(稱(chēng)為段，Segment)組成，而且每一個(gè)部分運(yùn)行在不同的計(jì)算機(jī)中(可能執(zhí)行不同的動(dòng)作)使用網(wǎng)絡(luò)的目的，是為了進(jìn)行各部分之間的通信以及傳播網(wǎng)絡(luò)蠕蟲(chóng)具有一個(gè)主segment，該主segment用以協(xié)調(diào)其他segment的運(yùn)行這種蠕蟲(chóng)有時(shí)也稱(chēng)作“章魚(yú)”(Octopus),2 蠕蟲(chóng)的分類(lèi),2.2 蠕蟲(chóng)與漏洞,網(wǎng)絡(luò)蠕蟲(chóng)最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播

11、根據(jù)網(wǎng)絡(luò)蠕蟲(chóng)所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲(chóng)主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞（它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。）,2 蠕蟲(chóng)的分類(lèi),MIME描述漏洞,2.2 蠕蟲(chóng)與漏洞,網(wǎng)頁(yè)蠕蟲(chóng)主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁(yè)蠕蟲(chóng)可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，

12、同樣利用MIME漏洞執(zhí)行蠕蟲(chóng)，這是直接沿用郵件蠕蟲(chóng)的方法用IFrame漏洞和瀏覽器下載文件的漏洞來(lái)運(yùn)作的，首先由一個(gè)包含特殊代碼的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲(chóng)傳播系統(tǒng)漏洞蠕蟲(chóng)系統(tǒng)漏洞蠕蟲(chóng)一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過(guò)去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類(lèi)蠕蟲(chóng),2 蠕蟲(chóng)的分類(lèi),3.1 蠕蟲(chóng)的基本結(jié)構(gòu),蠕蟲(chóng)程序的實(shí)體結(jié)構(gòu)

13、蠕蟲(chóng)程序的功能結(jié)構(gòu),3 蠕蟲(chóng)的基本原理,3.2 蠕蟲(chóng)的工作方式與掃描策略,蠕蟲(chóng)的工作方式一般是“掃描→攻擊→復(fù)制”,3 蠕蟲(chóng)的基本原理,“沖擊波(Blaster)”,爆發(fā)年限:2003年夏季,5.1 “沖擊波清除者”概述,2003年8月18日，互聯(lián)網(wǎng)中出現(xiàn)一種清除“沖擊波”(Worm.MSBlast) 的蠕蟲(chóng)(MSBlast.Remove.Worm/ W32)該蠕蟲(chóng)利用Windows RPC DCOM漏洞(MS03-02

14、6)及Windows IIS WEBDAV(MS03-07)作為感染攻擊手段，并通過(guò)TFTP(UDP69簡(jiǎn)單文件傳輸協(xié)議)下載病毒體到被感染機(jī)器中該蠕蟲(chóng)不在被感染系統(tǒng)留后門(mén)，也不會(huì)進(jìn)行有目的的拒絕服務(wù)攻擊。其感染目的是清除MSBlast.Worm/W32病毒體及分別為Win2000、Win XP的韓文系統(tǒng)、繁體中文系統(tǒng)、簡(jiǎn)體中文系統(tǒng)、英文系統(tǒng)下載和安裝Windows RPC DCOM(MS03-26)安全補(bǔ)丁，而且該蠕蟲(chóng)還具有定時(shí)自毀

15、功能該蠕蟲(chóng)也稱(chēng)作“Chian”蠕蟲(chóng)，因其體內(nèi)有“~~~ Welcome Chian~~~”字樣。據(jù)蠕蟲(chóng)作者在某安全網(wǎng)站發(fā)表的聲明，“Chian”是“China”的筆誤,5 “沖擊波”清除者分析,紅色代碼（Code Red，2001年）,“紅色代碼”病毒是2001年一種新型網(wǎng)絡(luò)病毒，其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合，將網(wǎng)絡(luò)蠕蟲(chóng)、計(jì)算機(jī)病毒、木馬程序合為一體，開(kāi)創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路，可稱(chēng)之為劃時(shí)代的病毒。如

16、果稍加改造，將是非常致命的病毒，可以完全取得所攻破計(jì)算機(jī)的所有權(quán)限并為所欲為，可以盜走機(jī)密數(shù)據(jù)，嚴(yán)重威脅網(wǎng)絡(luò)安全。,紅色代碼,“紅色代碼”蠕蟲(chóng)是通過(guò)微軟公司 IIS系統(tǒng)漏洞進(jìn)行感染，它使IIS服務(wù)程序處理請(qǐng)求數(shù)據(jù)包時(shí)溢出，導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行，蠕蟲(chóng)駐留后再次通過(guò)此漏洞感染其它服務(wù)器。 　　“紅色代碼”蠕蟲(chóng)采用了一種叫做"緩存區(qū)溢出"（ 可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它

17、執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。 ）的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來(lái)進(jìn)行蠕蟲(chóng)傳播。這個(gè)蠕蟲(chóng)使用服務(wù)器的端口80進(jìn)行傳播，而這個(gè)端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道。,紅色代碼,“紅色代碼II”蠕蟲(chóng)代碼首先會(huì)判斷內(nèi)存中是否已經(jīng)注冊(cè)了一個(gè)名為CodeRedII的Atom(系統(tǒng)用于對(duì)象識(shí)別)，如果已存在此對(duì)象，表示此機(jī)器已被感染，蠕蟲(chóng)進(jìn)入無(wú)限休眠狀態(tài)，未感染則注冊(cè)Atom并創(chuàng)建300個(gè)惡

18、意線程，當(dāng)判斷到系統(tǒng)默認(rèn)的語(yǔ)言ID是中華人民共和國(guó)或中國(guó)臺(tái)灣時(shí)，線程數(shù)猛增到600個(gè)，創(chuàng)建完畢后初始化蠕蟲(chóng)體內(nèi)的一個(gè)隨機(jī)數(shù)生成器(Rundom Number Generator)，此生成器隨機(jī)產(chǎn)生IP地址讓被蠕蟲(chóng)去發(fā)現(xiàn)這些IP地址對(duì)應(yīng)的機(jī)器的漏洞并感染之。每個(gè)蠕蟲(chóng)線程每100毫秒就會(huì)向一隨機(jī)地址的80端口發(fā)送一長(zhǎng)度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的蠕蟲(chóng)數(shù)據(jù)包使網(wǎng)絡(luò)陷于癱瘓。,紅色代碼病毒,紅色代碼(2001年)是一種計(jì)算機(jī)蠕蟲(chóng)病毒，

19、能夠通過(guò)網(wǎng)絡(luò)服務(wù)器和互聯(lián)網(wǎng)進(jìn)行傳播。2001年7月13日，紅色代碼從網(wǎng)絡(luò)服務(wù)器上傳播開(kāi)來(lái)。它是專(zhuān)門(mén)針對(duì)運(yùn)行微軟互聯(lián)網(wǎng)信息服務(wù)軟件的網(wǎng)絡(luò)服務(wù)器來(lái)進(jìn)行攻擊。極具諷刺意味的是，在此之前的六月中旬，微軟曾經(jīng)發(fā)布了一個(gè)補(bǔ)丁，來(lái)修補(bǔ)這個(gè)漏洞。被它感染后，遭受攻擊的主機(jī)所控制的網(wǎng)絡(luò)站點(diǎn)上會(huì)顯示這樣的信息：“你好！歡迎光臨www.worm.com！”。隨后病毒便會(huì)主動(dòng)尋找其他易受攻擊的主機(jī)進(jìn)行感染。這個(gè)行為持續(xù)大約20天，之后它便對(duì)某些特定IP地址發(fā)