第7-2讲 解析计算机蠕虫病毒

null信息安全技术信息安全技术第 7 讲 病毒防范技术第 7 讲 病毒防范技术7.1 病毒防范技术与杀病毒软件 7.2 解析计算机蠕虫病毒第 7 -2讲 解析计算机蠕虫病毒第 7 -2讲 解析计算机蠕虫病毒凡是能够引起计算机故障，破坏计算机数据的程序我们都统称为计算机病毒。所以，从这个意义上说，蠕虫也是一种病毒。但与传统的计算机病毒不同，网络蠕虫病毒以计算机为载体，以网络为攻击对象，其破坏力和传染性不容忽视。第 7 讲 病毒防范技术第 7 讲 病毒防范技术1. 蠕虫病毒的定义 蠕虫病毒和普通病毒有很大区别。一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生 (有的只存在于内存中) ，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。第 7 讲 病毒防范技术第 7 讲 病毒防范技术根据其发作机制，蠕虫病毒一般可分为两类 一类是利用系统级别漏洞 (主动传播) ，主动攻击企业用户和局域网的蠕虫病毒，这种病毒以“红色代码”、“尼姆达”以及“SQL蠕虫王”为代，可以对整个因特网造成瘫痪性的后果； 另一类是针对个人用户，利用社会学 (欺骗传播) ，通过网络电子邮件和恶意网页等形式迅速传播的蠕虫病毒，以爱虫、求职信病毒为例。第 7 讲 病毒防范技术第 7 讲 病毒防范技术在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难；第二种病毒的传播方式比较复杂和多样，少数利用了应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失非常大，同时也很难根除。比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位。第 7 讲 病毒防范技术第 7 讲 病毒防范技术(1) 蠕虫病毒与普通病毒的异同 普通病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就称为“宿主”。例如，当病毒感染Windows可执行文件时，就在宿主程序中建立一个新节，将病毒代码写到新节中，并修改程序的入口点等，这样，宿主程序执行的时候就可以先执行病毒程序，然后再把控制权交给原来的宿主程序指令。第 7 讲 病毒防范技术第 7 讲 病毒防范技术可见，普通病毒主要是感染文件，当然也有像DIR II这样的链接型病毒和引导区病毒等。 蠕虫一般不采取插入文件的方法，而是在因特网环境下通过复制自身进行传播，普通病毒的传染主要针对计算机内的文件系统。第 7 讲 病毒防范技术第 7 讲 病毒防范技术而蠕虫病毒的传染目标是因特网内的所有计算机、局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等，这些都成为蠕虫传播的良好途径。 网络的普及与发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且其主动攻击性和突然爆发性将使人们手足无策。参见表7.5。第 7 讲 病毒防范技术第 7 讲 病毒防范技术(2) 蠕虫的破坏和变化 1988年，一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络；而后来的红色代码和尼姆达病毒疯狂的时候曾造成几十亿美元的损失。第 7 讲 病毒防范技术第 7 讲 病毒防范技术2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使因特网严重堵塞，作为因特网主要基础的域名服务器 (DNS) 的瘫痪造成网民浏览因特网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此病毒造成的直接经济损失至少在12亿美元以上。第 7 讲 病毒防范技术第 7 讲 病毒防范技术通过对蠕虫病毒的分析，可以知道蠕虫发作的一些特点和变化。 1) 利用操作系统和应用程序的漏洞主动进行攻击。例如，由于IE浏览器的漏洞，使得感染了“尼姆达”病毒的邮件在不打开附件的情况下就能激活病毒；“红色代码”是利用了微软IIS服务器软件的漏洞 (idq.dll远程缓存区溢出) 来传播的；SQL蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行大肆攻击。第 7 讲 病毒防范技术第 7 讲 病毒防范技术2) 传播方式多样。如“尼姆达”和“求职信”等病毒，其可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。第 7 讲 病毒防范技术第 7 讲 病毒防范技术3) 病毒制作技术与传统的病毒不同。许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。第 7 讲 病毒防范技术第 7 讲 病毒防范技术4) 与黑客技术相结合，潜在的威胁和损失更大。以红色代码为例，感染后，机器web目录下的 \scripts子目录将生成一个root.exe文件，可以远程执行任何命令，从而使黑客能够再次进入。第 7 讲 病毒防范技术第 7 讲 病毒防范技术2. 网络蠕虫病毒分析和防范 蠕虫病毒往往能够利用的漏洞或者说是缺陷分为两种，即软件缺陷和人为缺陷。软件缺陷，如远程溢出，微软IE和Outlook的自动执行漏洞等，需要软件厂商和用户共同配合，不断升级和改进软件；而人为缺陷，主要是指计算机用户的疏忽，这就属于所谓的社会工程学范畴。对企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而对个人用户而言，则主要是防范第二种缺陷。第 7 讲 病毒防范技术第 7 讲 病毒防范技术1) 企业防范蠕虫病毒的措施。 企业网络主要应用在文件和打印服务共享、办公自动化系统、管理信息系统 (MIS) 、因特网应用等领域。网络具有便利信息交换的特性，蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络的目的。企业在充分利用网络进行业务处理时，就不得不考虑病毒防范问题，以保证关乎企业命运的业务数据完整不被破坏。第 7 讲 病毒防范技术第 7 讲 病毒防范技术以2003年1月26日爆发的SQL蠕虫为例，该病毒在爆发数小时内就席卷了全球网络，造成网络大塞车。SQL蠕虫攻击的是Microsoft SQL Server 2000，而其所利用的漏洞在2002年7月份微软公司的一份安全公告中就有详细说明，微软也提供了安全补丁下载，然而在时隔半年之后，因特网上还有相当大的一部分服务器没有安装最新的补丁，从而被蠕虫病毒所利用。网络管理员的安全防范意识由此可见一斑。第 7 讲 病毒防范技术第 7 讲 病毒防范技术企业防治蠕虫病毒的时候需要考虑几个问题：病毒的查杀能力，病毒的监控能力，新病毒的反应能力，而企业防毒的一个重要方面就是管理和策略。第 7 讲 病毒防范技术第 7 讲 病毒防范技术2) 就个人而言，威胁较大的蠕虫病毒采取的传播方式一般为电子邮件和恶意网页等。 恶意网页确切地讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂，常常采取VB Script和Java Script编程形式，由于编程方式十分简单，所以在网上非常流行，这也使得此类病毒的变种繁多，破坏力极大，同时也非常难以根除，会被某些怀有不良企图者利用。