袜子飞了
目录第一章 计算机病毒的概述 计算机病毒的定义 计算机病毒的起源 计算机病毒的历史 计算机病毒的分类 2第二章 计算机病毒的特性 3第三章 计算机病毒的传播方式 通过网络传播 通过不可移动的计算机硬件设备传播 通过移动存储设备传播 通过无线设备传播 6第四章 计算机病毒的触发机制 6第五章 计算机病毒的破坏行为 7第六章 计算机病毒的防与治 预防计算机病毒 消除计算机病毒 9参考文献 10第一章 计算机病毒的概述计算机病毒的定义计算机病毒是一种人为制作的,通过非授权入侵而隐藏在可执行程序或数据文件中的特殊计算机程序,它占用系统空间,降低计算机运行速度,甚至破坏计算机系统的程序和数据,造成极大损失,当计算机系统运行时,源病毒能把自身精确地拷贝到其他程序体内,在一定条件下,通过外界的刺激可将隐蔽的计算机病毒激活,破坏计算机系统。Internet的盛行造就了信息的大量流通,但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说,网络不折不扣正好提供了一个绝佳的渠道。也因为,我们这些一般的使用者,虽然享受到因特网带来的方便,同时却也陷入另一个恐惧之中。计算机病毒的起源计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚,因为他们发现病毒比加密对付非法拷贝更有效且更有威胁,这种情况助长了病毒的传播。还有一种情况就是蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为,而政府行为则是有组织的战略战术手段(据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪)。另外有的病毒还是用于研究或实验而设计的“有用”程序,由于某种原因失去控制扩散出实验室或研究所,从而成为危害四方的计算机病毒。计算机病毒的历史自从80年代中期发现第一例计算机病毒以来,计算机病毒的数量急剧增长。目前,世界上发现的病毒数量已超过15000种,国内发现的种类也达600多种。1998年流行的CIH病毒更使计算机用户感到极大恐慌。2000年以来出现了不少通过网络传播的诸如“爱丽沙”、“尼姆达”等新病毒,但是不管计算机病毒多猖狂,总有办法对付的,即使象CIH这样的病毒,现在已经有了好几种查杀它的反病毒软件。 计算机病毒的分类(1)引导型病毒:主要通过感染软盘、硬盘上的引导扇区,或改写磁盘分区表(FAT)来感染系统,引导型病毒是一种开机即可启动的病毒,优先于操作系统而存在。该病毒几乎常驻内存,激活时即可发作,破坏性大,早期的计算机病毒大多数属于这类病毒。(2)文件型病毒:它主要是以感染COM、EXE等可执行文件为主,被感染的可执行文件在执行的同时,病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体,当运行可执行文件时就可以激活病毒。(3)宏病毒:宏病毒是一种寄存于文档或模板的宏中的计算机病毒,是利用宏语言编写的。 (4)蠕虫病毒:蠕虫病毒与一般的计算机病毒不同,蠕虫病毒不需要将其自身附着到宿主程序上。蠕虫病毒主要通过网络传播,具有极强的自我复制能力、传播性和破坏性。(5)特洛伊木马型病毒:特洛伊木马型病毒实际上就是黑客程序。黑客程序一般不对计算机系统进行直接破坏,而是通过网络窃取国家、部门或个人宝贵的秘密信息,占用其它计算机系统资源等现象。(6)网页病毒:网页病毒一般也是使用脚本语言将有害代码直接写在网页上,当浏览网页时会立即破坏本地计算机系统,轻者修改或锁定主页,重者格式化硬盘,使你防不胜防。(7)混合型病毒:兼有上述计算机病毒特点的病毒统称为混合型病毒,所以它的破坏性更大,传染的机会也更多,杀毒也更加困难。 第二章 计算机病毒的特性计算机病毒一般具有非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性等。(1) 非授权可执行性:用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。(2) 隐蔽性:计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 (3)传染性:传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。 (4)潜伏性:计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 (5)表现性或破坏性:无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 (6)可触发性:计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。以上总结了计算机病毒的基本特性,下面列举计算机病毒的工作方式,达到病毒制造者的预期目的,有必要了解计算机病毒的破坏方式: 1.禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障。 2.破坏安全模式,致使用户根本无法进入安全模式清除病毒。 3.强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。 4.在各磁盘根目录创建可自动运行的exe程序和文件,一般用户重装系统后,会习惯性的双击访问其他盘符,病毒将再次被运行。 5.进入系统后修改注册表,让几乎所有安全软件不能正常使用。 6.在用户无法察觉的情况下连接网络,自动在用户的电脑里下载大量木马、病毒、恶意软件、插件等。这些木马病毒能够窃取用户的帐号密码、私密文件等各种隐私资料。 7.通过第三方软件漏洞、下载U盘病毒和Arp攻击病毒的方式进行疯狂扩散传播,造成整个局域网瘫痪。 8.将恶意代码向真实的磁盘中执行修改覆盖目标文件,导致被修改覆盖的真实磁盘文件无法被还原,系统重新启动后,会再次下载安装运行之前的恶意程序,很难一次彻底清除。 9.修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具。 10.修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。 11.自动下载最新版本和其它的一些病毒木马到本地运行。 12.不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。 13.病毒并不主动添加启动项,而是通过重启重命名方式。这种方式自启动极为隐蔽,现有的安全工具很难检测出来。 14.病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件。 15.除开可以在网络上利用邮件进行传播外,这些变种病毒还可以利用局域网上的共享文件夹进行传染,其传播特点类似“尼姆达”病毒,因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件,这将意味着在网络环境下,根本无法彻底清除病毒。第三章 计算机病毒的传播方式 通过网络传播就当前病毒特点分析,传播途径有两种,一种是通过网络传播,一种是通过硬件设备传播。网络传播又分为因特网传播和局域网传播两种。网络信息时代,因特网和局域网已经融入了人们的生活、工作和学习中,成为了社会活动中不可或缺的组成部分。特别是因特网,已经越来越多地被用于获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序。随着因特网的高速发展,计算机病毒也走上了高速传播之路,已经成为计算机病毒的第一传播途径。 通过不可移动的计算机硬件设备传播通过不可移动的计算机硬件设备传播,其中计算机的专用集成电路芯片(ASIC)和硬盘为病毒的重要传播媒介。 通过移动存储设备传播移动存储设备包括我们常见的软盘、磁盘、光盘、移动硬盘、U盘(含数码相机、MP3等)、ZIP和JAZ磁盘,后两者仅仅是存储容量比较大的特殊磁盘。 通过无线设备传播目前,这种传播途径随着手机功能性的开放和增值服务的拓展,已经成为有必要加以防范的一种病毒传播途径。随着智能手机的普及,通过彩信、上网浏览与下载到手机中的程序越来越多,不可避免的会对手机安全产生隐患,手机病毒会成为新一轮电脑病毒危害的“源头”。病毒的种类繁多,特性不一,但是只要掌握了其流通传播方式,便不难地监控和查杀。第四章 计算机病毒的触发机制 感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病毒的杀伤力。目前病毒采用的触发条件主要有以下几种:1. 日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。2. 时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。3. 键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键时,病毒被激活,进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。4. 感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。5. 启动触发:病毒对机器的启动次数计数,并将些值作炎触发条件称为启动触发。6. 访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发。7. 调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件,被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间 的,再辅以读、写盘操作,按键操作以及其他条件。第五章 计算机病毒的破坏行为计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能力。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为。根据病毒资料大致可以把病毒的破坏目标和攻击部位归纳如下:1.攻击系统数据区:攻击部位包括硬盘主引导扇区、Boot扇区、Fat表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。2.攻击文件:病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。3.攻击内存:内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存容量、禁止分配内存、蚕食内存。4.干扰系统运行的:病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。5.速度下降:病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。6攻击磁盘:攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。7.扰乱屏幕显示:病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、光标下跌、滚屏、抖动、乱写、吃字符。8.键盘:病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。第六章 计算机病毒的防与治电脑病毒的防治包括两个方面,一是预防,二是治毒。病毒的侵入必将对系统资源构成威胁,即使是良性病毒,至少也要占用少量的系统空间,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。因为没有病毒的入侵,也就没有病毒的传播,更不需要消除病毒。另一方面,现有病毒已有万种,并且还在不断增多。而杀毒是被动的,只有在发现病毒后,对其剖析、选取特征串,才能设计出该“已知”病毒的杀毒软件。它不能检测和消除研制者未曾见过的“未知”病毒,甚至对已知病毒的特征串稍作改动,就可能无法检测出这种变种病毒或者在杀毒时出错。这样,发现病毒时,可能该病毒已经流行起来或者已经造成破坏。 预防计算机病毒主动防御病毒,防毒是主动的,主要表现在监测行为的动态性和防范方法的广谱性。防毒是从病毒的寄生对象、内存驻留方式、传染途径等病毒行为入手进行动态监测和防范。一方面防止外界病毒向机内传染,另上方面抑制现有病毒向外传染。防毒是以病毒的机理为基础,防范的目标不权是已知的病毒,而是以现在的病毒机理设计的一类病毒,包括按现有机理设计的未来新病毒或变种病毒。 消除计算机病毒消除计算机病毒的方式:杀毒是被动的,只有发现病毒后,对其剖析、选取特征串,才能设计出该“已知”病毒的杀毒软件。它不能检测和消除研制者未曾见过的“未知”病毒,甚至对已知病毒的特征串稍作改动,就可能无法检测出这种变种病毒或者在杀毒时出错。一方面,发现病毒时,可能该病毒已经流行起来或者已经造成破坏。另一方面,就是管理上的问题,许多人并不是警钟长鸣,也不可能随时随地去执行杀毒软件,只有发现病毒问题时,才用工具检查,这就难免一时疏忽而带来灾难。如几乎没有一个杀毒软件不能消除“黑色星期五”,但该病毒却仍在流行、发作。养成正确安全的电脑使用习惯,如我们熟悉的软盘使用习惯。软件作为计算机之间交换信息和个人保存信息的媒介,使用很广泛,因此也成为病毒设计者攻击的主要目标。许多病毒在活动时一旦检测到有软件插入了驱动器,就会立即活动起来,设法把自己的代码复制上去。为降低这种危险,我们应该注意使用软盘的“防写入”功能,一般情况下,总把“防写拨块”拨动禁止写的位置。如果只是需要从软盘里把信息复制出来,那么就让它保持这种防写的状态。这样,即使所使用的计算机里有活动的病毒,它也无法进入软盘。当我们要把个人的文件复制到公用的计算机里时,一定要注意到这个问题。有时我们必须从其他计算机复制文件,拿到自己的计算机里使用。这时就应该警惕,因为所用的软盘可能已经被感染了,在自己的系统上使用之前应该注意检查,就像从公共场所回到家后应该洗洗手再吃东西一样。有时我们会发现,在把禁止写的软盘插入某计算机后,软盘老是在动,这种情况多半说明该计算机里有病毒存在,正在努力想把自己复制到我们的软盘上。谨慎进行网络的软件下载活动。随着计算机网络的发展,信息在计算机间传递的方式逐渐发生了变化,许多信息,包括程序代码和软件系统,是通过网络传输的,在这种信息交流活动中如何防止病毒是需要考虑的问题。今天,许多网站存储着大量共享软件和自由软件,人们都在使用这些软件,使用之前要通过网络把有关程序文件下载到自己的计算机中,做程序的下载应该选择可靠的有实力的网站,因为他们的管理可能更完善,对所存储信息做过更仔细的检查。随意下载程序目前已经成为受病毒伤害的一个主要原因。常用杀毒软件推荐:目前全球以发现几十万种病毒,并且还在以每天10余种的速度增长。有资料显示病毒威胁所造成的损失占用网络经济损失的76%,计算机病毒已经与我们的生活紧密的联系在一起,所以为计算机安装杀毒软件已经是必不可少的选择,现在市面上供选择的杀毒软件产品也比较丰富,如:瑞星、卡巴斯基、NOD32、江民杀毒软件、金山毒霸等杀毒产品。参考文献1.《计算机病毒揭密》[美]David Harley 朱代祥 贾建勋 史西斌 译 人民邮电出版社2.《计算机病毒防治与网络安全手册》廖凯生 等编 海洋出版社3.《计算机病毒原理及防治》卓新建 主编 北京邮电出版社
cindydaniel
网络蠕虫病毒分析和防范措施[转自赛迪网] 2003-12-13 10:20:33 赛迪网 NetCenter_Lzg 阅读1775次 凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施! 本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传播)和利用社会工程学(欺传播)两种,并从用户角度中将蠕虫病毒分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施! 目录 一、蠕虫病毒定义 1、蠕虫病毒的定义 2、蠕虫病毒与一般病毒的异同 3、蠕虫病毒的危害和趋势 二、蠕虫病毒的分析和防范 1、利用系统漏洞的恶性蠕虫病毒分析 2、企业防范蠕虫病毒措施 3、对个人用户产生直接威胁的蠕虫病毒 4、个人用户对蠕虫病毒的防范措施 三、研究蠕虫的现实意义 一、 蠕虫病毒的定义 1、蠕虫病毒的定义 计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪! 在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学()对用户进行欺和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施! 2、蠕虫病毒与一般病毒的异同 蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策! 可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫! 3、蠕虫的破坏和发展趋势 1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上! 由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损失! 通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势: 1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(Iframe ExecCommand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击! 2.传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等. 3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。 4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个,可以远程执行任何命令,从而使黑客能够再次进入! 二、网络蠕虫病毒分析和防范 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。 1、利用系统漏洞的恶性蠕虫病毒分析 在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重! 以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响! 这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。 微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。 通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想! 2、企业防范蠕虫病毒措施 此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其网络管理员的安全防范意识可见一斑! 当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。 企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下: 1.加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高! 2.建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。 3.建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间即能提供解决方案。 4.建立灾难备份系统。对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失! 5.对于局域网而言,可以采用以下一些主要手段:(1)在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等! 3、对个人用户产生直接威胁的蠕虫病毒 在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒! 对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等! 对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺手段那诱惑用户点击的方式进行传播! 恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。 对于恶意网页,常常采取vb script和java script编程的形式!由于编程方式十分的简单!所以在网上非常的流行! Vb script和java script是由微软操作系统的wsh(Windows Scripting HostWindows脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。 下面以一个简单的脚本为例: Set objFs=CreateObject (“”)(创建一个文件系统对象) ("C:\", 1)(通过文件系统对象的方法创建了TXT文件) 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。 倘若我们把第二句改为: ().Copy ("C:\")就可以将自身复制到C盘这个文件。本句前面是打开这个脚本文件,指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。 此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如下: Set objOA= ("")(创建一个OUTLOOK应用的对象)Set objMapi= ("MAPI")(取得MAPI名字空间)For i=1 to (遍历地址簿) Set objAddList= (i) For j=1 To objAddList. Set objMail= (0) (objAddList. AddressEntries (j))(取得收件人邮件地址 )"你好!" (设置邮件主题,这个往往具有很大的诱惑性质)"这次给你的附件,是我的新文档!" (设置信件内容) (“c:\")(把自己作为附件扩散出去 ) (发送邮件)NextNext Set objMapi=Nothing (清空objMapi变量,释放资源)set objOA=Nothing (清空objOA变量)这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。 由此可以看出,利用vb script编写病毒是非常容易的,这就使得此类病毒的变种繁多,破坏力极大,同时也是非常难以根除的! 4、个人用户对蠕虫病毒的防范措施 通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点: 1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功能,从而对蠕虫兼木马程序有很大克制作用. 2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒! 3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有恶意代码! 当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序! 三、研究蠕虫的现实意义 网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系! 蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!
简单已逝
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其 他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。 形成原因利用漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及至今依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 传播方式多样如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。 病毒制作技术新与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
“勒索”病毒的消息,这种病毒致使许多高校毕业生的毕业论文(设计)被锁,支付赎金后才能解密。全球许多国家的医院及科研机构等也都遭受了攻击。 国内高校是这次攻击的重
李哈尼尼 2人参与回答 2023-12-10 为你推荐一篇相关文献,希望对你有所帮助,更多cang.baidu.com/= 犬细小病毒是世界上其中一种最小的病菌,由3个蛋白质组成,是极度简单的病菌。正是由于
啾啾大神 4人参与回答 2023-12-11 网络蠕虫病毒分析和防范措施[转自赛迪网] 2003-12-13 10:20:33 赛迪网 NetCenter_Lzg 阅读1775次 凡能够引起计
大灌篮2 3人参与回答 2023-12-11 我的QQ空间里面有 164714116 自己看吧
招妹0916 5人参与回答 2023-12-07 伴随着科技日新月异的发展推动着社会在不断的进步,人们的生活水平也逐渐提高,所有的事物都是有两面性的。计算机带给我们带来方便的同时,也给我们带来了安全问题。下面是
viki000000 4人参与回答 2023-12-11 
