蠕虫病毒检测与防范Word格式文档下载.docx
《蠕虫病毒检测与防范Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《蠕虫病毒检测与防范Word格式文档下载.docx(17页珍藏版)》请在冰点文库上搜索。
1.1蠕虫病毒概述及发展历史
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒。
蠕虫(Worm)病毒是一种通过网络传播的恶意病毒,它的出现相对于木马病毒、宏病毒来说比较晚,但是蠕虫病毒无论从传播速度、传播范围还是从破坏程度上来讲,都是以往的传统病毒所无法比拟的。
网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
蠕虫病毒可以说是近年来发作最为猖獗、影响最为广泛的一类计算机病毒,它的传播主要体现在以下两个方面:
(1)利用微软的系统漏洞攻击计算机网络,网络中的客户端感染这一类病毒后,会不断自动拨号上网,并利用文件中的地址或者网络共享传播,从而导致网络服务遭到拒绝并发生死锁,最终破坏用户的大部分重要数据。
“红色代码”、“尼姆达”、“sql蠕虫王”等病毒都是属于这一类病毒。
(2)利用Email邮件迅速传播。
如“爱虫病毒”和“求职信病毒”。
蠕虫病毒会盗取被感染计算机中邮件的地址信息,并且利用这些邮件地址复制自身病毒体以达到大量传播,对计算机造成严重破坏的目的。
蠕虫病毒可以对整个互联网造成瘫痪性的后果。
蠕虫(Worm)病毒通常由两部分组成:
一个主程序和一个引导程序。
主程序的主要功能是搜索和扫描,这个程序能够读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中的哪台机器没有被占用,从而通过系统的漏洞,将引导程序建立到远程计算机上。
引导程序实际上是蠕虫病毒主程序(或一个程序段)自身的一个副本,而主程序和引导程序都有自动重新定位的能力。
也就是说,这些程序或程序段都能够把自身的副本重新定位在另一台机器上,这就是蠕虫病毒之所以能够大面积爆发并且带来严重后果的主要原因。
在网络环境下,蠕虫病毒可以按几何增长模式进行传染。
因此,网络环境下对蠕虫病毒的防治必将成为计算机防毒领域的研究重点。
蠕虫病毒是一种比较古老的病毒,产生于20世纪70年代,由于蠕虫病毒一开始便是根植于网络的,因此随着网络的发展,蠕虫病毒的生命力越来越强,其破坏力也越来越大。
早期的蠕虫不属于病毒,也不具备破坏性,它只是一种网络自动工具。
1972年,原来只是出于军事目的而开发的阿帕网(ARPANET)开始走向世界,成为现在的Internet,从此互联网便以极其迅猛的速度不断发展。
1973年互联网上还只有25台主机,但是到了1987年,连接在互联网上的主机数则突破了10000台。
由于每台主机都向广大电脑用户提供海量的信息,因此在这个信息海洋中寻找有用的资料是一件非常痛苦的事。
为了解决在这个网络上的搜索问题,一群热心的技术人员便开始实验“蠕虫”程序。
这种程序的构思来自于经典科幻小说《电波骑士》,小说里描写了一种叫做“绦虫”的程序,该程序可以成群结队地出没于网上,使网络阻塞。
这种蠕虫程序可以在一个局域网中的许多计算机上并行运行,并且能快速有效地检测网络的状态,进行相关信息的收集。
后来,又出现了专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。
目前,这两种网络搜索技术还在被大量使用。
由于这类早期的蠕虫只是一种网络自动工具,因此在当时这种程序并没有被认为是病毒。
编写这种工具的技术则被称之为蠕虫技术,当第一个蠕虫程序出现后,蠕虫技术便得到了很大的发展,直到1989年的莫里斯蠕虫事件的出现。
莫里斯是美国一所大学的研究生,由于父亲是贝尔实验室的研究员,因此他从小就开始接触计算机和网络,对Linux系统非常了解。
不可否认的是他对那种能够控制整个网络的程序非常着迷,于是当他发现了当时操作系统中存在的几个严重漏洞时,便开始着手编写“莫里斯蠕虫”,这种蠕虫没有任何实用价值,只是利用系统的漏洞将自己在网络上进行复制。
由于莫里斯在编程中出现了一个错误,将控制复制速度的变量值设得太大,从而造成了蠕虫在短时间内迅速复制,最终使大半个互联网陷入了瘫痪。
由于这件事情影响太大,社会反响非常强烈,因此作者本人也受到了法律制裁。
从此以后,蠕虫也是一种病毒的概念被确立起来,而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。
每一次蠕虫的爆发都会给社会带来巨大的损失1988年11月2日,Morris蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元。
2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元,随后几个月内产生了威力更强的几个变种,其中CodeRedII造成的损失估计超过12亿美元。
2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后,继续攀升,到现在已无法估计。
目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫(如冲击波、振荡波等)出现。
对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题。
1.2网络蠕虫研究分析
Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。
一直以来,人们将精力多放在如何预防、检测和消除攻击个人电脑文件系统的病毒上。
随着邮件病毒的泛滥,人们逐渐意识到Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少。
1998年,SteveR.White呼吁加大对蠕虫的研究力度,他指出,目前的防病毒技术都是针对文件系统的,这些技术在防治蠕虫时不再适用。
他认为人们忽视蠕虫研究有两个原因,一是当时来说蠕虫很少见;
二是特定蠕虫只爆发一次。
对于研究者来说,每次蠕虫爆发都是一个新的待研究的蠕虫。
他认为针对蠕虫的研究主要分为检测、分析和清除。
2000年,IBM开展IanWhalley项目,目的是开发一个自动蠕虫检测和分析的软硬件环境,项目中定义的蠕虫包含了所有能利用网络传播的恶意代码(如邮件病毒),主要技术为用虚拟机构造蠕虫传播的网络环境。
2001年,JoseNazari等人讨论了蠕虫的技术发展趋势,给出了蠕虫的一个功能模型框架,他们提出的很多思路非常具有启发意义,但他们的工作中也混淆了蠕虫和病毒的概念。
2001年,CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。
比较突出的有NicholasWeaver,他给出了几种蠕虫的快速传播策略,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。
Slammer的出现证实了他的预言,但值得注意的是Slammer,没有采用任何一种提到的快速传播策略,而依然使用的是最原始的随机目标策略DavidMoore(CAIDA,theCooperativeAssociationforInternetDataAnalysis)提出了衡量防治蠕虫的技术有效性的三个参数:
响应时间、防治策略、布置策略。
他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。
DugSong等人对蠕虫引起的网络流量统计特征做了研究,这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的、己知的蠕虫进行研究讨论和建模。
另外,在防治策略上,目前的方案大多停留在感性认识的基础上,或者仅提出功能性需求。
目前针对蠕虫的研究工作还主要集中在对已有蠕虫的个体分析、检测与防范上,使蠕虫的防范工作处于一种非常被动的地位。
为了改变这种被动的局面,人们正在研究能够检测与防范未知蠕虫的准确有效的方法,并己经取得了一些初见成效的成果。
第二章蠕虫病毒原理
2.1蠕虫病毒攻击原理
一、蠕虫的基本程序结构为:
1、传播模块:
负责蠕虫的传播。
2、隐藏模块:
侵入主机后,隐藏蠕虫程序,防止被用户发现。
3、目的功能模块:
实现对计算机的控制、监视或破坏等功能。
传播模块可以分为三个基本模块:
扫描模块、攻击模块和复制模块。
蠕虫程序的一般传播过程为:
1.扫描:
由蠕虫的扫描功能模块负责探测存在漏洞的主机,当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
2.攻击:
攻击模块按漏洞攻击步骤自动攻击,在步骤1中找到对象,取得该主机的权限(一般为管理员权限),获得一个shell。
3.复制:
复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动。
我们可以看到,传播模块实现的实际上是自动入侵的功能。
所以蠕虫的传播技术是蠕虫技术的首要技术。
没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。
蠕虫采用的是自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。
我们称这种模式为入侵模式,它是由普通入侵技术中提取出来的。
目前蠕虫使用的入侵模式只有一种,这种模式是就是蠕虫传播过程采用的模式:
扫描漏洞-攻击并获得shell-利用shell。
这种入侵模式也就是现在蠕虫常用的传播模式。
二、蠕虫传播的一般模式分析
1.模式:
扫描-攻击-复制
从新闻中看到关于蠕虫的报道,报道中总是强调蠕虫如何发送大量的数据包,造成网络拥塞,影响网络通信速度。
实际上这不是蠕虫程序的本意,造成网络拥塞对蠕虫程序的发布者没有什么好处。
如果可能的话,蠕虫程序的发布者更希望蠕虫隐蔽的传播出去,因为蠕虫传播出去后,蠕虫的发布者就可以获得大量的可以利用的计算机资源,这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。
但是,现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞,这是蠕虫技术发展的一个瓶颈,如果能突破这个难关,蠕虫技术的发展就会进入一个新的阶段。
现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中,于是扫描模块采用的扫描策略是这样的:
随机选取某一段IP地址,然后对这一地址段上的主机扫描。
笨点的扫描程序可能会不断重复上面这一过程。
这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道那些地址已经被扫描过,它只是简单的随机扫描互联网。
于是蠕虫传播的越广,网络上的扫描包就越多。
即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。
聪明点的编者会对扫描策略进行一些改进,比如在IP地址段的选择上,可以主要针对当前主机所在的网段扫描,对外网段则随机选择几个小的IP地址段进行扫描。
对扫描次数进行限制,只进行几次扫描。
把扫描分散在不同的时间段进行。
扫描策略设计的原则有三点:
(1)尽量减少重复的扫描,使扫描发送的数据包总量减少到最小;
(2)保证扫描覆盖到尽量大的范围;
(3)处理好扫描的时间分布,使得扫描不要集中在某一时间内发生。
怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析,甚至需要试验验证。
扫描发送的探测包是根据不同的漏洞进行设计的。
比如,针对远程缓冲区溢出漏洞可以发送溢出代码来探测,针对web的cgi漏洞就需要发送一个特殊的http请求来探测。
当然发送探测代码之前首先要确定相应端口是否开放,这样可以提高扫描效率。
一旦确认漏洞存在后就可以进行相应的攻击步骤,不同的漏洞有不同的攻击手法,只要明白了漏洞的利用方法,在程序中实现这一过程就可以了。
攻击成功后,一般是获得一个远程主机的shell,对win2k系统来说就是cmd.exe,得到这个shell后我们就拥有了对整个系统的控制权。
复制过程也有很多种方法,可以利用系统本身的程序实现,也可以用蠕虫自代的程序实现。
复制过程实际上就是一个文件传输的过程,实现网络文件传输很简单,这里不再讨论。
2.模式的使用
既然称之为模式,那么它就是可以复用的。
也就是说,我们只要简单地改变这个模式中各个具体环节的代码,就可以实现一个自己的蠕虫了。
比如扫描部分和复制部分的代码完成后,一旦有一个新的漏洞出现,我们只要把攻击部分的代码补充上就可以了。
利用模式我们甚至可以编写一个蠕虫制造机。
当然利用模式也可以编写一个自动入侵系统,模式化的操作程序实现起来并不复杂。
三、蠕虫传播的其他可能模式
除了上面介绍的传播模式外,还可能会有别的模式出现。
比如,我们可以把利用邮件进行自动传播也作为一种模式。
这种模式的描述为:
由邮件地址薄获得邮件地址-群发带有蠕虫程序的邮件-邮件被动打开,蠕虫程序启动。
这里面每一步都可以有不同的实现方法,而且这个模式也实现了自动传播,所以我们可以把它作为一种蠕虫的传播模式。
随着蠕虫技术的发展,今后还会有其他的传播模式出现。
2.2蠕虫病毒与一般病毒的异同
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。
蠕虫和传统病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的传统病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分传统病毒的技术,更加剧了这种情况。
下表给出了传统病毒和蠕虫的一些差别:
病毒
蠕虫
存在形式
寄生
独立个体
复制形式
插入到寄主程序中
自身的拷贝
传染机制
寄主程序运行
系统存在漏洞
攻击目标
本地文件
网络上其他计算机
触发传染
计算机使用者
程序自身
影响重点
文件系统
网络性能、系统性能
使用者角色
传播中的关键环节
无关
防治措施
从寄主文件中摘除
为系统打补丁
对抗主体
计算机使用者、反病毒厂商
系统软件和服务软件提供商、网络管理人员
从以上对比可发现,传统病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了传统病毒所能造成的破坏程度。
而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和传统病毒的重要因素。
可以通过简单的观察攻击程序是否存在载体来区分蠕虫与传统病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如:
以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。
通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同于对计算机系统的攻击。
而利用信件作为宿主的病毒同样不具备独立运行的能力。
不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。
如无特殊说明,本论文以后讨论和提到的蠕虫均指网络蠕虫,是无须计算机使用者干预即可运行的独立程序,通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
通过以上分析可知,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、"
Mellissa网络蠕虫宏病毒”、"
LoverLetter网络蠕虫病毒”等等,都不是严格意义上的网络蠕虫。
第三章蠕虫病毒实例
3.1蠕虫病毒造成的破坏
1988年,一个由美国康奈尔大学的研究生莫里斯编写的蠕虫病毒造成了数千台计算机停机,蠕虫病毒开始现身网络;
而后来的红色代码、尼姆达病毒肆虐的时候,造成了几十亿美元的损失;
北京时间2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网络的严重堵塞,由于互联网域名服务器(DNS)的瘫痪,导致网民浏览互联网网页及收发电子邮件的速度大幅减缓,此外还造成银行自动提款机的运作中断,机票等网络预订系统的运作中断,信用卡等收付款系统出现故障。
专家估计,该病毒造成的直接经济损失至少在12亿美元以上。
3.2蠕虫病毒实例
“熊猫烧香”病毒解析
病毒名称:
熊猫烧香英文名称:
Worm.Nimaya或Worm.WhBoy
病毒别名:
尼姆亚,武汉男生,后又化身为“金猪报喜”,国外称“熊猫烧香”
蠕虫病毒反病毒软件影响系统:
Win9x/ME、Win2000/NT、WinXP、Win2003、WinVista
【病毒描述】
熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。
尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
该病毒除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
“熊猫烧香”病毒感染现象如下图
(1)
“金猪报喜”病毒感染现象如下图
(2)
(1)“熊猫烧香”病毒感染现象
(2)“金猪报喜”病毒发作现象
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe.com.pif.src.html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
【传播方式】
金山分析:
这是一个感染型的蠕虫病毒,它能感染系统中.exe,.com,.pif,.src,.html,.asp等文件,它还能中止大量的反病毒软件进程1、拷贝文件
病毒运行后,会把自己拷贝到
C:
\WINDOWS\System32\Drivers\spoclsv.exe
2、添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->
C:
3、病毒行为
每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav\QQAV\防火墙\进程\VirusScan\网镖\杀毒\毒霸\瑞星\江民\黄山IE\超级兔子\优化大师\木马克星\木马清道夫\QQ病毒\注册表编辑器\系统配置实用程序\卡巴斯基反病毒\SymantecAntiVirus\Duba\esteem\proces\绿鹰PC\密码防盗\噬菌体\木马辅助查找器\SystemSafetyMonitor\WrappedgiftKiller\WinsockExpert\游戏木马检测大师\msctls_statusbar32\pjf(ustc)\IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
并中止系统中以下的进程:
Mcshield.exe\VsTskMgr.exe\naP
升级会员 