第六章蠕虫病毒的防治.ppt

第六章 计算机蠕虫病毒介绍 蠕虫病毒基础 蠕虫病毒的定义 蠕虫是一种通过网络传播恶性病毒它具有病毒的一些共性（传播性、隐蔽性、破坏性）等等 蠕虫病毒的独特的特性：不利用文件寄生（有的只存在内存中），对网络造成拒绝服务，以及和黑客技术相结合等等 蠕虫可以在网络中短短的时间内蔓延整个网络，造成网络瘫痪 蠕虫病毒基础 蠕虫病毒的分类 面向企业用户和局域网 利用系统漏洞，主动进行攻击，对整个互联网造成瘫痪性的后果（红色代码、尼姆达 SQL蠕虫王） 针对个人用户 通过网络（电子邮件，恶意网页形式）迅速传播的蠕虫病毒（爱虫病毒、求职信病毒） 爱虫病毒；具有很大的主动攻击性，而且爆也有一定的突然性，查杀这种病毒并不是很难 求职信病毒；传播方式比较复杂和多样，利用微软的应用程序漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，造成的损失非常大，很难根除 蠕虫病毒与一般病毒异同 蠕虫一般不采取利用PE格式插入文件的方法，而复制自身在互联网环境下进行传播 病毒传染能力主要针对计算机内的文件系统而言 蠕虫病毒的传染目标是互联网内的所有计算机，局域网条件下的共享文件夹，电子邮件，网络中的恶意网页，大量存在漏洞的服务器等都成为蠕虫传播的良好途径 蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主机攻击性和突然爆发性很强 蠕虫的破坏和发展趋势 蠕虫发作的特点和发展趋势 利用操作系统和应用程序的漏洞主机进行攻击（红色代码、尼姆达、求职信） IE浏览器漏洞,使得感染了”尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害 红色代码是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播. SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击 传播方式多样如尼姆达病毒和求职信病毒,可利用的传播途径包括文件,电子邮件,WEB服务器,网络共享等等 病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索.另外,新病毒利用java\activex\vbscript等技术,可以替伏在HTML页面里,在上网浏览时触发. 与黑客技术相结合!潜在的威胁和损失更大!以红色代码为例,感染后的机器的WEB目录的scripts下将生成一个root.exe可以远程执行任何命令,从而使黑客能够再次进入 蠕虫的基本程序结构和传播过程 蠕虫的基本程序结构为： 传播模块 隐藏模块 目的功能模块：实现对计算机的控制，监视或破坏等 传播模块 扫描模块（蠕虫的扫描功能模块负责探测存在的漏洞主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象） 攻击模块（取得该主机的权限，获得一个SHELL） 复制模块（通过原主机和新主机的交互将蠕虫程序复制到新主机并启动） 传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的传播技术，也就谈不上什么蠕虫技术 入侵过程的分析 第一步：用利各种方法收集目标主机的信息，找到可利用的漏洞或弱点 第二步针：对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限 第三步：利用获得的权限在主机上安装后门，跳板、控制端、监视器等，清除日志 手动入侵过程的步骤分析 第一步：搜集信息，有很多方法 技术 扫描器扫描主机，探测主机的操作系统类型、版本、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等 非技术 和主机的管理员关系套口风，骗取信任，威逼利诱 第二步：对搜索来的信息进行分析，找到可以有效利用的信息 如果有现成的漏洞可以利用，上网找到该漏洞的攻击方法，如果攻击代码就址执着COPY下来，然后用该代码得权限 如果没有现成的漏洞可以利用，根据搜集的信息试探猜测用户密码，另一方面试探研究分析所其使用的系统争取分析出一个可利用的漏洞 如果最后能找到一个办法获得该系统权限，那么就进入第三步，否则，放弃 第三步：有了主机的权限，你想干什么就干什么 蠕虫传播的一般模式分析 1、模式：扫描---攻击----复制 现在蠕虫病毒采用的扫描方式不可避免会引起大量的网络拥塞，这是蠕虫技术发展的一个瓶颈，如果能突破这个难关，蠕虫的发展就地进入一个新阶段 现在流行的蠕虫采用的传播技术目标一般是尽快地传播到尽量多的电脑中 笨点的扫描程序的扫描方式： 随机选取某一段IP地址，对这一地址段的主机扫描，笨点的扫描程序可能不断重复上面这一过程，这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描，这些扫描程序不知道哪些地址已经被扫描过，它只是简单的随机扫描互联网，于是蠕虫传播的越广，网络上的扫描就越多。即使扫描程序