局域网蠕虫病毒的传播方式和保护方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

局域网蠕虫病毒的传播方式和保护方法

近来,威金(w32.looked系列)、熊猫烧香(w32.fujacks系列)等局域网蠕虫病毒大肆流行,这种病毒具有传播速度快,覆盖面广,破坏性大,自我恢复功能强等特点,并且还会自动连接到Internet升级变种并下载其它木马和恶意软件,给广大计算机用户带来了很大的麻烦。良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件,能够最大限度地保护您的电脑不受此类蠕虫病毒的影响,以及重复感染。了解蠕虫病毒的在局域网内传播机制,能让我们采用更有针对性的防护,下面就介绍这种局域网蠕虫的传播机制和保护方法:局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。假设您局域网中有一台电脑感染了蠕虫,而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧,没有办法检测出这个蠕虫病毒,那么它就会成为一个局域网内的攻击源。

第一步:扫描的过程就是用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。这一过程中,扫描的范围一般是随机选取某一段IP地址,然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程,就会造成发送大量的数据包,造成网络拥塞,影响网络通信速度等危害。但是这样,管理员也会很快找出感染源所在的地址,因此有些蠕虫会有意的减少数据发送量,包括不重复扫描几次以上,随机选择扫描时间段,随机选择小段IP地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步:攻击的过程一般分为两种类型。一种是利用漏洞的攻击,如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本,那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用windows的MS04-011漏洞的震荡波(w32.sasser系列)病毒,利用MS06-040漏洞的魔鬼波

(w32.ircbot系列)等。另外一种就是基于文件共享和弱密钥的功击,这种攻击需要根据搜集的信息试探猜测用户密码,一般的蠕虫都有试探空密码,简单密码,与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。

第三步:复制的实际上就是一个文件传输的过程,就是用相应的文件传输的协议和端口进行网络传输。

为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒,赛门铁克现建议用户采取以下基本安全措施:1)开启个人防火墙:无论是SCS的防火墙,还是其它安全厂商的个人防火墙,还是windows系统自带的防火

墙,都可以对扫描、攻击、复制三个过程起到保护的

作用。例如,在一般的默认规则下,供击者扫描后不

会得到返回结果;攻击代码不会到达被防火墙保护的

电脑;无法向被防火墙保护的电脑复制病毒文件等。

如果管理员根据公司的应用情况和针对某类病毒,设

定诸如一些协议、端口、程序、入侵检测等的防护规

则,其防护效果就会更佳。

2)尽量关闭不需要的文件共享。除了用户自行设定的共享文件windows操作系统一般都有C$, D$,ADMIN$,

IPC$等默认的共享,而一般情况下普通用户不一定需

要用到这些共享。如果把这些共享属性去掉,或者只开放只读权限,那么病毒文件就无法复制到本地。3)强制执行密码策略。检查本机所使用的账户,删除不需要的账户。对于必需的账户使用复杂的密码,不要使用与它人相同的密码。尤其是域用户,需要对本机的管理员账户设定强密码。

4)及时打上所有操作系统的安全补丁,以及其它软件的安全补丁,例如打上微软的针对震荡波(w32.sasser)的 MS04-011补丁,以阻止基于漏洞的攻击。

5)对于一些比较重要的电脑,有必要经常作一些维护工作。例如定期检查服务、进程、注册表中是否有可疑项。并关闭或删除不需要的服务或者启动项。默认情况下,许多操作系统会安装不危险的辅助服务,如

FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了蠕虫用于攻击的途径,并且在补丁程序更新时也减少了需要维护的服务。

6)对于已经受到感染,并确认是感染源的电脑,有必要把它从网络中隔离,以防止其进一步感染其它的电

脑。进行杀毒以后,再放到局域网中。

7)教育员工不要打开来路不明的邮件附件,也不要执行从 Internet 下载后未经病毒扫描的软件,或者访问可

疑的网页,对于移动硬盘等,需要先进型病毒扫描后打开。事实上,局域网内的第一台受感染的电脑往往是通过这些渠道感染病毒的。例如,熊猫烧香的病毒就可以通过受感染Internet网页和移动硬盘的自动播

放属性来传染电脑。

8)针对主机和关健的应用系统,提供深层次的保护。例如主机入侵检测和关键系统的实时防护。

相关文档
最新文档