萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 用戶角度探討病毒:解析並防范蠕蟲病毒

用戶角度探討病毒:解析並防范蠕蟲病毒

要:凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!網絡蠕蟲病毒,作為對互聯網危害嚴重的 一種計算機程序,其破壞力和傳染性不容忽視。與傳統的病毒不同,蠕蟲病毒以計算機為載體,以網絡為攻擊對象!本文中將蠕蟲病毒分為針對企業網絡和個人用戶2類,並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

  本文根據蠕蟲病毒的發作機制,將其分為利用系統級別漏洞(主動傳播)和利用社會工程學(欺騙傳播)兩種,並從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類,從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

  一、蠕蟲病毒的定義

  1.蠕蟲病毒的定義

  計算機病毒自出現之日起,就成為計算機的一個巨大威脅,而當網絡迅速發展的時候,蠕蟲病毒引起的危害開始顯現!從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是一種病毒!但是蠕蟲病毒和一般的病毒有著很大的區別。對於蠕蟲,現在還沒有一個成套的理論體系,一般認為,蠕蟲是一種通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征,如不利用文件寄生(有的只存在於內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓!

  根據使用者情況可將蠕蟲病毒分為2類,一種是面向企業用戶和局域網而言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網可造成癱瘓性的後果!以“紅色代碼”,“尼姆達”,以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第一類具有很大的主動攻擊性,而且爆發也有一定的突然性,但相對來說,查殺這種病毒並不是很難。第二種病毒的傳播方式比較復雜和多樣,少數利用了微軟的應用程序的漏洞,更多的是利用社會工程學()對用戶進行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時也是很難根除的,比如求職信病毒,在2001年就已經被各大殺毒廠商發現,但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內容中,將分別分析這兩種病毒的一些特征及防范措施!

  2.蠕蟲病毒與一般病毒的異同

  蠕蟲也是一種病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,windows下可執行文件的格式為pe格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立一個新節,將病毒代碼寫到新節中,修改的程序入口點等,這樣,宿主程序執行的時候,就可以先執行病毒程序,病毒程序運行完之後,在把控制權交給宿主原來的程序指令。可見,病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區病毒。引導區病毒他是感染磁盤的引導區,如果是軟盤被感染,這張軟盤用在其他機器上後,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。

  蠕蟲一般不采取利用pe格式插入文件的方法,而是復制自身在互聯網環境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統而言,而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾,電子郵件email,網絡中的惡意網頁,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!

   普通病毒 蠕蟲病毒 存在形式 寄存文件 獨立程序 傳染機制 宿主程序運行 主動攻擊 傳染目標 本地文件 網絡計算機  可以預見,未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!

  3.蠕蟲的破壞和發展趨勢

  1988年一個由美國CORNELL大學研究生莫裡斯編寫的蠕蟲病毒蔓延造成了數千台計算機停機,蠕蟲病毒開始現身網絡;而後來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;北京時間2003年1月26日, 一種名為“2003蠕蟲王”的電腦病毒迅速傳播並襲擊了全球,致使互聯網網路嚴重堵塞,作為互聯網主要基礎的域名服務器(DNS)的癱瘓造成網民浏覽互聯網網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!

  

病毒名稱

持續時間

造成損失

莫裡斯蠕蟲 1988年 6000多台計算機停機,直接經濟損失達9600萬美元! 美麗殺手 1999年 政府部門和一些大公司緊急關閉了網絡服務器,經濟損失超過12億美元! 愛蟲病毒 2000年5月至今 眾多用戶電腦被感染,損失超過100億美元以上 紅色代碼 2001年7月 網絡癱瘓,直接經濟損失超過26億美元 求職信 2001年12月至今 大量病毒郵件堵塞服務器,損失達數百億美元 蠕蟲王 2003年1月 網絡大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元

  由表可以知道,蠕蟲病毒對網絡產生堵塞作用,並造成了巨大的經濟損失!

  通過對以上蠕蟲病毒的分析,可以知道,蠕蟲發作的一些特點和發展趨勢:

  1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等.由於IE浏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!

  2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

  3.病毒制作技術與傳統的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易於修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術,可以潛伏在HTML頁面裡,在上網浏覽時觸發。

  4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例,感染後的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入!


  二、網絡蠕蟲病毒分析和防范

  蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠程溢出,微軟ie和outlook的自動執行漏洞等等,需要軟件廠商和用戶共同配合,不斷的升級軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會報著好奇去點擊的。對於企業用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而個人用戶而言,主要是防范第二種缺陷。

  1.利用系統漏洞的惡性蠕蟲病毒分析

  在這種病毒中,以紅色代碼,尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊,由於網上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對象大都為服務器,所以造成的網絡堵塞現象嚴重!

  以2003年1月26號爆發的sql蠕蟲為例,爆發數小時內席卷了全球網絡,造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及南韓電訊公司,系統都陷入了癱瘓,其它的網絡用戶也被迫斷線,更為嚴重的是許多銀行的自動取款機都無法正常工作, 美國許美國銀行統計,該行的13000台自動櫃員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!

  這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口,客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴重漏洞,當客戶端發送超長數據包時,將導致緩沖區溢出,黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。

  微軟在200年7月份的時候就為這個漏洞發布了一個安全公告,但當sql蠕蟲爆發的時候,依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過一段376個字節的惡意代碼,遠程獲得對方主機的系統控制權限, 取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然後將自身代碼發送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255台可能存在機器。由於這是一個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。該蠕蟲對被感染機器本身並沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內存中。對於感染的系統,重新啟動後就可以清除蠕蟲,但是仍然會重復感染。由於發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,自學教程,感染了該蠕蟲的網絡性能會極度下

copyright © 萬盛學電腦網 all rights reserved