《常見計算機病毒》ppt課件

1、,,,計算機病毒中的蠕蟲病毒,制作：楊東方學號：14514033,主要內容,網絡蠕蟲的定義及其與狹義病毒的區(qū)別蠕蟲的分類蠕蟲的工作原理蠕蟲的行為特征蠕蟲的防治,網絡蠕蟲,1.1 蠕蟲的起源,1980年，Xerox PARC的研究人員John Shoch和Jon Hupp在研究分布式計算、監(jiān)測網絡上的其他計算機是否活躍時，編寫了一種特殊程序，Xerox蠕蟲1988年11月2日，世界上第一個破壞性計算機蠕蟲正式誕生Morri

2、s為了求證計算機程序能否在不同的計算機之間進行自我復制傳播，編寫了一段試驗程序為了讓程序能順利進入另一臺計算機，他還寫了一段破解用戶口令的代碼11月2日早上5點，這段被稱為“Worm”(蠕蟲)的程序開始了它的旅行。它果然沒有辜負Morris的期望，爬進了幾千臺計算機，讓它們死機Morris蠕蟲利用sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進行傳播Morris在證明其結論的同時，也開啟了蠕蟲新紀元,1 蠕

3、蟲的起源及其定義,Morris,90行程序代碼2小時：6000臺電腦（互聯(lián)網的十分之一）癱瘓1500萬美元的損失 3年緩刑/1萬罰金/400小時的社區(qū)義務勞動 病毒的萌芽： 沒有企圖用蠕蟲去破壞數(shù)據(jù)或文件，但他企圖讓蠕蟲廣泛傳播,1.2 蠕蟲的原始定義,蠕蟲這個生物學名詞在1982年由Xerox PARC的John F. Shoch等人最早引入計算機領域，并給出了計算機蠕蟲的兩個最基本特征：“可以從一臺計算機移動到另

4、一臺計算機”和“可以自我復制”1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術角度的定義：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(計算機蠕蟲可以獨立運行，并能把自身的一個包含所有功能的版本傳

5、播到另外的計算機上),1 蠕蟲的起源及其定義,1.3 計算機病毒的原始定義,計算機病毒從技術角度的定義是由Fred Cohen在1984年給出的：“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(計算機病毒是一種可以感染其它程序的程序，感染的方式為在被感染程序中加入計

6、算機病毒的一個副本，這個副本可能是在原病毒基礎上演變過來的)1988年Morris蠕蟲爆發(fā)后，Eugene H. Spafford為了區(qū)分蠕蟲和病毒，將病毒的含義作了進一步的解釋：“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it req

7、uires that its 'host' program be run to activate it.”(計算機病毒是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上。它不能獨立運行，需要由它的宿主程序運行來激活它),1 蠕蟲的起源及其定義,1.4 蠕蟲與病毒之間的區(qū)別及聯(lián)系,1 蠕蟲的起源及其定義,1.5 蠕蟲定義的進一步說明,計算機病毒主要攻擊的是文件系統(tǒng)，在其傳染的過程中，計算機使用者是傳染的觸發(fā)者，是傳染的

8、關鍵環(huán)節(jié)，使用者的計算機知識水平的高低常常決定了病毒所能造成的破壞程度。而蠕蟲主要是利用計算機系統(tǒng)漏洞(Vulnerability)進行傳染，搜索到網絡中存在漏洞的計算機后主動進行攻擊，在傳染的過程中，與計算機操作者是否進行操作無關，從而與使用者的計算機知識水平無關蠕蟲的定義中強調了自身副本的完整性和獨立性，這也是區(qū)分蠕蟲和病毒的重要因素?？梢酝ㄟ^簡單的觀察攻擊程序是否存在載體來區(qū)分蠕蟲與病毒不能簡單的把利用了部分網絡功能的病毒統(tǒng)稱

9、為蠕蟲或蠕蟲病毒“Melissa網絡蠕蟲宏病毒”(Macro.Word97.Melissa)、“Lover Letter網絡蠕蟲病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕蟲。以病毒命名的“沖擊波病毒”(Worm.MSBlast)，卻是典型的蠕蟲,1 蠕蟲的起源及其定義,2.1 蠕蟲的分類,根據(jù)蠕蟲的傳播、運作方式，可以將蠕蟲分為兩類主機蠕蟲主機蠕蟲的所有部分均包含在其所運行的計算機中在任意給定的時刻，只有

10、一個蠕蟲的拷貝在運行也稱作“兔子”(Rabbit)網絡蠕蟲網絡蠕蟲由許多部分(稱為段，Segment)組成，而且每一個部分運行在不同的計算機中(可能執(zhí)行不同的動作)使用網絡的目的，是為了進行各部分之間的通信以及傳播網絡蠕蟲具有一個主segment，該主segment用以協(xié)調其他segment的運行這種蠕蟲有時也稱作“章魚”(Octopus),2 蠕蟲的分類,2.2 蠕蟲與漏洞,網絡蠕蟲最大特點是利用各種漏洞進行自動傳播

11、根據(jù)網絡蠕蟲所利用漏洞的不同，又可以將其細分郵件蠕蟲主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的網際郵件擴充協(xié)議)漏洞（它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出。）,2 蠕蟲的分類,MIME描述漏洞,2.2 蠕蟲與漏洞,網頁蠕蟲主要是利用IFrame漏洞和MIME漏洞網頁蠕蟲可以分為兩種用一個IFrame插入一個Mail框架，

12、同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運作的，首先由一個包含特殊代碼的頁面去下載放在另一個網站的病毒文件，然后運行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng)，它隨機產生IP并嘗試溢出，然后將自身復制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲,2 蠕蟲的分類,3.1 蠕蟲的基本結構,蠕蟲程序的實體結構

13、蠕蟲程序的功能結構,3 蠕蟲的基本原理,3.2 蠕蟲的工作方式與掃描策略,蠕蟲的工作方式一般是“掃描→攻擊→復制”,3 蠕蟲的基本原理,“沖擊波(Blaster)”,爆發(fā)年限:2003年夏季,5.1 “沖擊波清除者”概述,2003年8月18日，互聯(lián)網中出現(xiàn)一種清除“沖擊波”(Worm.MSBlast) 的蠕蟲(MSBlast.Remove.Worm/ W32)該蠕蟲利用Windows RPC DCOM漏洞(MS03-02

14、6)及Windows IIS WEBDAV(MS03-07)作為感染攻擊手段，并通過TFTP(UDP69簡單文件傳輸協(xié)議)下載病毒體到被感染機器中該蠕蟲不在被感染系統(tǒng)留后門，也不會進行有目的的拒絕服務攻擊。其感染目的是清除MSBlast.Worm/W32病毒體及分別為Win2000、Win XP的韓文系統(tǒng)、繁體中文系統(tǒng)、簡體中文系統(tǒng)、英文系統(tǒng)下載和安裝Windows RPC DCOM(MS03-26)安全補丁，而且該蠕蟲還具有定時自毀

15、功能該蠕蟲也稱作“Chian”蠕蟲，因其體內有“~~~ Welcome Chian~~~”字樣。據(jù)蠕蟲作者在某安全網站發(fā)表的聲明，“Chian”是“China”的筆誤,5 “沖擊波”清除者分析,紅色代碼（Code Red，2001年）,“紅色代碼”病毒是2001年一種新型網絡病毒，其傳播所使用的技術可以充分體現(xiàn)網絡時代網絡安全與病毒的巧妙結合，將網絡蠕蟲、計算機病毒、木馬程序合為一體，開創(chuàng)了網絡病毒傳播的新路，可稱之為劃時代的病毒。如

16、果稍加改造，將是非常致命的病毒，可以完全取得所攻破計算機的所有權限并為所欲為，可以盜走機密數(shù)據(jù)，嚴重威脅網絡安全。,紅色代碼,“紅色代碼”蠕蟲是通過微軟公司 IIS系統(tǒng)漏洞進行感染，它使IIS服務程序處理請求數(shù)據(jù)包時溢出，導致把此“數(shù)據(jù)包”當作代碼運行，蠕蟲駐留后再次通過此漏洞感染其它服務器。 　　“紅色代碼”蠕蟲采用了一種叫做"緩存區(qū)溢出"（ 可以導致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。更為嚴重的是，可以利用它

17、執(zhí)行非授權指令，甚至可以取得系統(tǒng)特權，進而進行各種非法操作。 ）的黑客技術，利用網絡上使用微軟IIS系統(tǒng)的服務器來進行蠕蟲傳播。這個蠕蟲使用服務器的端口80進行傳播，而這個端口正是Web服務器與瀏覽器進行信息交流的渠道。,紅色代碼,“紅色代碼II”蠕蟲代碼首先會判斷內存中是否已經注冊了一個名為CodeRedII的Atom(系統(tǒng)用于對象識別)，如果已存在此對象，表示此機器已被感染，蠕蟲進入無限休眠狀態(tài)，未感染則注冊Atom并創(chuàng)建300個惡

18、意線程，當判斷到系統(tǒng)默認的語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個，創(chuàng)建完畢后初始化蠕蟲體內的一個隨機數(shù)生成器(Rundom Number Generator)，此生成器隨機產生IP地址讓被蠕蟲去發(fā)現(xiàn)這些IP地址對應的機器的漏洞并感染之。每個蠕蟲線程每100毫秒就會向一隨機地址的80端口發(fā)送一長度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的蠕蟲數(shù)據(jù)包使網絡陷于癱瘓。,紅色代碼病毒,紅色代碼(2001年)是一種計算機蠕蟲病毒，

19、能夠通過網絡服務器和互聯(lián)網進行傳播。2001年7月13日，紅色代碼從網絡服務器上傳播開來。它是專門針對運行微軟互聯(lián)網信息服務軟件的網絡服務器來進行攻擊。極具諷刺意味的是，在此之前的六月中旬，微軟曾經發(fā)布了一個補丁，來修補這個漏洞。被它感染后，遭受攻擊的主機所控制的網絡站點上會顯示這樣的信息：“你好！歡迎光臨www.worm.com！”。隨后病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續(xù)大約20天，之后它便對某些特定IP地址發(fā)