蠕虫病毒文档格式.docx

蠕虫病毒文档格式.docx

《蠕虫病毒文档格式.docx》由会员分享，可在线阅读，更多相关《蠕虫病毒文档格式.docx（16页珍藏版）》请在冰点文库上搜索。

莫里斯蠕虫

1988年

6000多台计算机停机，直接经济损失达9600万美元

美丽杀手

1999年

政府部门和一些大公司紧急关闭了网络服务，经济损失超过12亿美元

爱虫病毒

2000年5月至今

众多用户电脑被感染，损失超过100亿美元

红色代码

2001年7月

网络瘫痪，直接经济损失很大

求职信

2001年12月至今

大量病毒邮件堵塞服务器，损失达数百亿美元

Sql蠕虫王

2003年1月

网络大面积瘫痪，银行自动提款机运作中断，直接经济损失超过26亿美元

2号病毒

2012年3元

北京某公司内部网络大面积瘫痪，公司紧急关闭网络服务，直接经济损失无法估算，大量内部机密文件丢失外漏

1.2蠕虫病毒的成因

利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。

由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。

“红色代码”是利用了微软IIS服务器软件的漏洞（idq.dll远程缓存区溢出）来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

1.3蠕虫病毒的特性

蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。

尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。

表1-2给出了传统病毒和蠕虫病毒的一些差别。

表1-2蠕虫病毒和传统病毒的比较

特点

传统病毒

蠕虫

存在形式

寄生

独立存在

复制机制

插入到宿主程序中

自身复制

传染机制

宿主程序运行

系统存在漏洞

传染目标

针对本地文件

针对网络上的其他计算机

触发传染

计算机使用者

程序自身

影响重点

文件系统

网络性能、系统性能

防止措施

从宿主文件中清除

为系统打补丁

对抗主体

计算机使用者、反病毒厂商

系统提供商、网络管理人员

传统病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度。

蠕虫只要是利用计算机系统漏洞进行传染，在搜索到网络中存在漏洞的计算机后主动进行攻击。

在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关。

第二章蠕虫病毒分析

2.1蠕虫病毒分类分析

根据蠕虫的传播运作方式，可以将蠕虫分为两类：

主机蠕虫和网络蠕虫。

2.1.1主机蠕虫

主机蠕虫的所有部分均包含在其所运行的计算机中，他们利用网络连接仅仅是为了将其自身拷贝到其他计算机中。

对主机蠕虫而言，将自己拷贝到另外一台计算机后，原来的主机蠕虫则自动终止。

因此，在任意给定的时刻，只有一个蠕虫的拷贝在运行。

这种蠕虫有时也称作“兔子”（Rabbit）。

2.1.2网络蠕虫

网络蠕虫由许多部分（成为段，Segment）组成，而且每一个部分运行在不同的计算机中（可能执行不同的动作），并且使用网络的目的，是为了进行各部分之间的通信以及传播。

将一个segment从一台机器传播到另一台机器，只是这些目的中的一种。

网络蠕虫具有一个主segment，该主机segment用于协调其他segment的运行。

这种蠕虫有时也称作“章鱼”（Octopus）。

2.2蠕虫病毒传播途径

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。

局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策。

网络蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。

2.3典型蠕虫病毒

熊猫烧香病毒

2.3.1熊猫烧香病毒的概念

熊猫烧香病毒是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为.gho的备份文件。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

2.3.2熊猫烧香病毒的危害

熊猫烧香病毒会删除扩展名为.gho的文件，使用户无法使用ghost软件恢复操作系统。

“熊猫烧香病毒”感染系统的exe，com，pif，src，html，asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。

在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。

该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。

一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。

由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

2.3.3熊猫烧香病毒的现象

（1）exe文件变成熊猫烧香图标（如图2-1）

图2-1

（2）在各分区根目录生成病毒副本：

　　autorun.inf内容：

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shell\Auto\command=setup.exe

（3）熊猫烧香病毒尝试关闭安全软件等系统相关任务。

注册表编辑器、系统配置实用程序、Windows任务管理器、瑞星等相关杀毒软件都打不开。

（4）无法修改“显示所有文件和文件夹”设置（如图2-2）

图2-2

（5）病毒进程并复制自身到系统目录下（使用瑞星听诊器查看）（如图2-3）：

图2-3

（6）创建启动项（使用瑞星听诊器查看），且删除原有安全工具启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]（如图2-4）

图2-4

（7）冰刃无法正常使用

第三章蠕虫病毒的防范

3.1怎样防范蠕虫病毒

尽早地发现蠕虫并对感染了蠕虫的主机进行隔离和恢复，是防治蠕虫泛滥、避免造成重大损失的关键。

（1）勤打补丁，一般说来一个操作系统被发现漏洞以后，大概在15天以内相关的病毒就会出现，因此有必要随时关注自己所使用的操作系统的补丁升级情况，养成每天定时查看补丁升级情形的习惯。

这里的补丁不光包括操作系统自身的，也包含程序服务的补丁，例如ftp服务器的补丁等等。

（2）权限设置，很多蠕虫病毒感染的条件是需要以root级运行的进程出现漏洞，那么蠕虫病毒才有权限进行上载、执行的权利，在windows下由于大多数后台进程是以administrator权限执行，带来的危害也相当大；

*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。

（3）尽量少开服务，可开可不开的服务绝对不开，最小化风险。

（4）安装网络封包防火墙，只允许特定的端口的数据包通过或者特定的程序访问网络。

3.2蠕虫病毒的解决方案（例：

熊猫烧香病毒）

手动清除熊猫烧香病毒

（1）更名并启动狙剑，结束病毒进程：

C:

\windows\System32\drivers\spo0lsv.exe，以及rar.exe进程（注意顺序为清除病毒文件，内存清零，结束进程）（如图3-1）

图3-1

强制删除文件（如图3-2）

图3-2

进程内存清零（如图3-3）

图3-3

结束进程（如图3-4）

图3-4

（2）冰刃删除病毒文件：

（可能前面已经删除干净）

\windows\System32\drivers\spo0lsv.exe，以及system32下文件（注意设置禁止进程创建，禁止协件功能）（如图3-5～图3-7）

图3-5

图3-6

图3-7

（3）删除分区盘符根目录下的病毒文件：

（　X:

\setup.exe、X:

\autorun.inf）（如图3-8、图3-9）

图3-8

图3-9

（4）删除病毒启动项：

（如图3-10、图3-11）

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"

svcshare"

="

%System%\drivers\spo0lsv.exe"

图3-10

图3-11

（5）恢复被修改的“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue"

=dword:

00000001（如图3-12）

图3-12

（6）修复或重新安装被破坏的安全软件。

可用专杀工具进行修复。

（如图3-13）

图3-13

（7）重启计算机（如图3-14）

图3-14

第四章蠕虫病毒发展趋势

只有对蠕虫特性进行更深入的研究，才能有效地减少蠕虫带来的危害和损失。

由于蠕虫的主动攻击特性，最终用户在蠕虫的防治上基本无能为力，所以系统厂商、防病毒产品厂商和网络管理员应该起到更重要的作用。

另外，应该加快构建由系统厂商、防病毒产品厂商、科研技术人员、用户、政府主管部门联合的一个全方位立体的防治系统。

参考文献

[1]李治国著.《计算机病毒防治实用教程》.机械工业出版社，2010.7

[2]张仁斌著.《计算机病毒与反病毒技术》.清华大学出版社，2006.6

[3]刘功申著.《计算机病毒及其防范技术》.清华大学出版社，2011.5

[4]秦志光著.《计算机病毒原理与防范》.人民邮电出版社，2007.8

[5]韩兰胜著.《计算机病毒原理与防治技术》.华中科技大学出版社，2010.11

[6]赖荣旭著.《计算机病毒与防范技术》.清华大学出版社，2011.6