《常見計(jì)算機(jī)病毒》ppt課件

1、,,,計(jì)算機(jī)病毒中的蠕蟲病毒,制作：楊東方學(xué)號(hào)：14514033,主要內(nèi)容,網(wǎng)絡(luò)蠕蟲的定義及其與狹義病毒的區(qū)別蠕蟲的分類蠕蟲的工作原理蠕蟲的行為特征蠕蟲的防治,網(wǎng)絡(luò)蠕蟲,1.1 蠕蟲的起源,1980年，Xerox PARC的研究人員John Shoch和Jon Hupp在研究分布式計(jì)算、監(jiān)測(cè)網(wǎng)絡(luò)上的其他計(jì)算機(jī)是否活躍時(shí)，編寫了一種特殊程序，Xerox蠕蟲1988年11月2日，世界上第一個(gè)破壞性計(jì)算機(jī)蠕蟲正式誕生Morri

2、s為了求證計(jì)算機(jī)程序能否在不同的計(jì)算機(jī)之間進(jìn)行自我復(fù)制傳播，編寫了一段試驗(yàn)程序?yàn)榱俗尦绦蚰茼樌M(jìn)入另一臺(tái)計(jì)算機(jī)，他還寫了一段破解用戶口令的代碼11月2日早上5點(diǎn)，這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行。它果然沒有辜負(fù)Morris的期望，爬進(jìn)了幾千臺(tái)計(jì)算機(jī)，讓它們死機(jī)Morris蠕蟲利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)行傳播Morris在證明其結(jié)論的同時(shí)，也開啟了蠕蟲新紀(jì)元,1 蠕

3、蟲的起源及其定義,Morris,90行程序代碼2小時(shí)：6000臺(tái)電腦（互聯(lián)網(wǎng)的十分之一）癱瘓1500萬美元的損失 3年緩刑/1萬罰金/400小時(shí)的社區(qū)義務(wù)勞動(dòng) 病毒的萌芽： 沒有企圖用蠕蟲去破壞數(shù)據(jù)或文件，但他企圖讓蠕蟲廣泛傳播,1.2 蠕蟲的原始定義,蠕蟲這個(gè)生物學(xué)名詞在1982年由Xerox PARC的John F. Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本特征：“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另

4、一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳

5、播到另外的計(jì)算機(jī)上),1 蠕蟲的起源及其定義,1.3 計(jì)算機(jī)病毒的原始定義,計(jì)算機(jī)病毒從技術(shù)角度的定義是由Fred Cohen在1984年給出的：“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(計(jì)算機(jī)病毒是一種可以感染其它程序的程序，感染的方式為在被感染程序中加入計(jì)

6、算機(jī)病毒的一個(gè)副本，這個(gè)副本可能是在原病毒基礎(chǔ)上演變過來的)1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲和病毒，將病毒的含義作了進(jìn)一步的解釋：“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it req

7、uires that its 'host' program be run to activate it.”(計(jì)算機(jī)病毒是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上。它不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來激活它),1 蠕蟲的起源及其定義,1.4 蠕蟲與病毒之間的區(qū)別及聯(lián)系,1 蠕蟲的起源及其定義,1.5 蠕蟲定義的進(jìn)一步說明,計(jì)算機(jī)病毒主要攻擊的是文件系統(tǒng)，在其傳染的過程中，計(jì)算機(jī)使用者是傳染的觸發(fā)者，是傳染的

8、關(guān)鍵環(huán)節(jié)，使用者的計(jì)算機(jī)知識(shí)水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲主要是利用計(jì)算機(jī)系統(tǒng)漏洞(Vulnerability)進(jìn)行傳染，搜索到網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)后主動(dòng)進(jìn)行攻擊，在傳染的過程中，與計(jì)算機(jī)操作者是否進(jìn)行操作無關(guān)，從而與使用者的計(jì)算機(jī)知識(shí)水平無關(guān)蠕蟲的定義中強(qiáng)調(diào)了自身副本的完整性和獨(dú)立性，這也是區(qū)分蠕蟲和病毒的重要因素。可以通過簡(jiǎn)單的觀察攻擊程序是否存在載體來區(qū)分蠕蟲與病毒不能簡(jiǎn)單的把利用了部分網(wǎng)絡(luò)功能的病毒統(tǒng)稱

9、為蠕蟲或蠕蟲病毒“Melissa網(wǎng)絡(luò)蠕蟲宏病毒”(Macro.Word97.Melissa)、“Lover Letter網(wǎng)絡(luò)蠕蟲病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲。以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲,1 蠕蟲的起源及其定義,2.1 蠕蟲的分類,根據(jù)蠕蟲的傳播、運(yùn)作方式，可以將蠕蟲分為兩類主機(jī)蠕蟲主機(jī)蠕蟲的所有部分均包含在其所運(yùn)行的計(jì)算機(jī)中在任意給定的時(shí)刻，只有

10、一個(gè)蠕蟲的拷貝在運(yùn)行也稱作“兔子”(Rabbit)網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲由許多部分(稱為段，Segment)組成，而且每一個(gè)部分運(yùn)行在不同的計(jì)算機(jī)中(可能執(zhí)行不同的動(dòng)作)使用網(wǎng)絡(luò)的目的，是為了進(jìn)行各部分之間的通信以及傳播網(wǎng)絡(luò)蠕蟲具有一個(gè)主segment，該主segment用以協(xié)調(diào)其他segment的運(yùn)行這種蠕蟲有時(shí)也稱作“章魚”(Octopus),2 蠕蟲的分類,2.2 蠕蟲與漏洞,網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播

11、根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞（它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。）,2 蠕蟲的分類,MIME描述漏洞,2.2 蠕蟲與漏洞,網(wǎng)頁蠕蟲主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，

12、同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運(yùn)作的，首先由一個(gè)包含特殊代碼的頁面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲,2 蠕蟲的分類,3.1 蠕蟲的基本結(jié)構(gòu),蠕蟲程序的實(shí)體結(jié)構(gòu)

13、蠕蟲程序的功能結(jié)構(gòu),3 蠕蟲的基本原理,3.2 蠕蟲的工作方式與掃描策略,蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”,3 蠕蟲的基本原理,“沖擊波(Blaster)”,爆發(fā)年限:2003年夏季,5.1 “沖擊波清除者”概述,2003年8月18日，互聯(lián)網(wǎng)中出現(xiàn)一種清除“沖擊波”(Worm.MSBlast) 的蠕蟲(MSBlast.Remove.Worm/ W32)該蠕蟲利用Windows RPC DCOM漏洞(MS03-02

14、6)及Windows IIS WEBDAV(MS03-07)作為感染攻擊手段，并通過TFTP(UDP69簡(jiǎn)單文件傳輸協(xié)議)下載病毒體到被感染機(jī)器中該蠕蟲不在被感染系統(tǒng)留后門，也不會(huì)進(jìn)行有目的的拒絕服務(wù)攻擊。其感染目的是清除MSBlast.Worm/W32病毒體及分別為Win2000、Win XP的韓文系統(tǒng)、繁體中文系統(tǒng)、簡(jiǎn)體中文系統(tǒng)、英文系統(tǒng)下載和安裝Windows RPC DCOM(MS03-26)安全補(bǔ)丁，而且該蠕蟲還具有定時(shí)自毀

15、功能該蠕蟲也稱作“Chian”蠕蟲，因其體內(nèi)有“~~~ Welcome Chian~~~”字樣。據(jù)蠕蟲作者在某安全網(wǎng)站發(fā)表的聲明，“Chian”是“China”的筆誤,5 “沖擊波”清除者分析,紅色代碼（Code Red，2001年）,“紅色代碼”病毒是2001年一種新型網(wǎng)絡(luò)病毒，其傳播所使用的技術(shù)可以充分體現(xiàn)網(wǎng)絡(luò)時(shí)代網(wǎng)絡(luò)安全與病毒的巧妙結(jié)合，將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體，開創(chuàng)了網(wǎng)絡(luò)病毒傳播的新路，可稱之為劃時(shí)代的病毒。如

16、果稍加改造，將是非常致命的病毒，可以完全取得所攻破計(jì)算機(jī)的所有權(quán)限并為所欲為，可以盜走機(jī)密數(shù)據(jù)，嚴(yán)重威脅網(wǎng)絡(luò)安全。,紅色代碼,“紅色代碼”蠕蟲是通過微軟公司 IIS系統(tǒng)漏洞進(jìn)行感染，它使IIS服務(wù)程序處理請(qǐng)求數(shù)據(jù)包時(shí)溢出，導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行，蠕蟲駐留后再次通過此漏洞感染其它服務(wù)器。 　　“紅色代碼”蠕蟲采用了一種叫做"緩存區(qū)溢出"（ 可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是，可以利用它

17、執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。 ）的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來進(jìn)行蠕蟲傳播。這個(gè)蠕蟲使用服務(wù)器的端口80進(jìn)行傳播，而這個(gè)端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道。,紅色代碼,“紅色代碼II”蠕蟲代碼首先會(huì)判斷內(nèi)存中是否已經(jīng)注冊(cè)了一個(gè)名為CodeRedII的Atom(系統(tǒng)用于對(duì)象識(shí)別)，如果已存在此對(duì)象，表示此機(jī)器已被感染，蠕蟲進(jìn)入無限休眠狀態(tài)，未感染則注冊(cè)Atom并創(chuàng)建300個(gè)惡

18、意線程，當(dāng)判斷到系統(tǒng)默認(rèn)的語言ID是中華人民共和國(guó)或中國(guó)臺(tái)灣時(shí)，線程數(shù)猛增到600個(gè)，創(chuàng)建完畢后初始化蠕蟲體內(nèi)的一個(gè)隨機(jī)數(shù)生成器(Rundom Number Generator)，此生成器隨機(jī)產(chǎn)生IP地址讓被蠕蟲去發(fā)現(xiàn)這些IP地址對(duì)應(yīng)的機(jī)器的漏洞并感染之。每個(gè)蠕蟲線程每100毫秒就會(huì)向一隨機(jī)地址的80端口發(fā)送一長(zhǎng)度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的蠕蟲數(shù)據(jù)包使網(wǎng)絡(luò)陷于癱瘓。,紅色代碼病毒,紅色代碼(2001年)是一種計(jì)算機(jī)蠕蟲病毒，

19、能夠通過網(wǎng)絡(luò)服務(wù)器和互聯(lián)網(wǎng)進(jìn)行傳播。2001年7月13日，紅色代碼從網(wǎng)絡(luò)服務(wù)器上傳播開來。它是專門針對(duì)運(yùn)行微軟互聯(lián)網(wǎng)信息服務(wù)軟件的網(wǎng)絡(luò)服務(wù)器來進(jìn)行攻擊。極具諷刺意味的是，在此之前的六月中旬，微軟曾經(jīng)發(fā)布了一個(gè)補(bǔ)丁，來修補(bǔ)這個(gè)漏洞。被它感染后，遭受攻擊的主機(jī)所控制的網(wǎng)絡(luò)站點(diǎn)上會(huì)顯示這樣的信息：“你好！歡迎光臨www.worm.com！”。隨后病毒便會(huì)主動(dòng)尋找其他易受攻擊的主機(jī)進(jìn)行感染。這個(gè)行為持續(xù)大約20天，之后它便對(duì)某些特定IP地址發(fā)