蠕虫病毒原理

邮件蠕虫

主要是利用 MIME(Multipurpose Internet Mail Extension Protocol， 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞

网页蠕虫（木马）

主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种


用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫， 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它， 完成蠕虫传播
蠕虫与漏洞


网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同，又可以 将其细分

包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw


独立病毒分析的准备工作




对于网络安全企业的高手们来说，剖析几个蠕虫， 提取特征码，没有问题，但要注意这是系统的工 作： 建立自己的病毒捕获网络，第一时间获得新病毒 样本； 建立完善的样本库 建立自己的特征码分析体制，保证特征码的科学 性，避免漏报和误报的可能。 警告：对于firewall或者IDS开发部门来说，维持 一个专门的Virus Cert小组可能是得不偿失的。
从传播模式进行安全防御

对蠕虫在网络中产生的异常，有多种的的方法 可以对未知的蠕虫进行检测，比较通用的方法 是对流量异常的统计分析，主要包括对TCP连 接异常的分析和ICMP数据异常分析的方法。
从传播模式进行安全防御


在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成 大量的IP地址进行扫描，探测漏洞主机。这些被扫描 主机中会存在许多空的或者不可达的IP地址，从而在 一段时间里，蠕虫主机会接收到大量的来自不同路由 器的ICMP不可达数据包。流量分析系统通过对这些 数据包进行检测和统计，在蠕虫的扫描阶段将其发现， 然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而 采取防御措施。 将ICMP不可达数据包进行收集、解析，并根据源和 目的地址进行分类，如果一个IP在一定时间（T）内 对超过一定数量（N）的其它主机的同一端口（P） 进行了扫描，则产生一个发现蠕虫的报警（同时还会 产生其它的一些报警）。



现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到 尽量多的计算机中 扫描模块采用的扫描策略是：随机选取某一段IP地址，然后 对这一地址段上的主机进行扫描 没有优化的扫描程序可能会不断重复上面这一过程，大量蠕 虫程序的扫描引起严重的网络拥塞 在IP地址段的选择上，可以主要针对当前主机所在的网段进 行扫描，对外网段则随机选择几个小的IP地址段进行扫描 对扫描次数进行限制，只进行几次扫描 把扫描分散在不同的时间段进行
粗糙的文件名检测法
content: "filename=\"THEOBBQ.EXE\""; content: "filename=\"COOLER3.EXE\""; content: "filename=\"PARTY.EXE\""; content: "filename=\"HOG.EXE\""; content: "filename=\"GOAL1.EXE\""; content: "filename=\"PIRATE.EXE\""; content: "filename=\"VIDEO.EXE\""; content: "filename=\"BABY.EXE\""; content: "filename=\"COOLER1.EXE\""; content: "filename=\"BOSS.EXE\""; content: "filename=\"G-ZILLA.EXE\""; content: "filename=\"COYPER..EXE\"";

蠕虫的工作方式一般是“扫描→攻击→复制”
随机生成 IP地址 有些蠕虫给出确定的地址范围， 还有一些给出倾向性策略，用于 产生某个范围内的IP地址 虚线框内的所有工作 可以在一个数据包内完成
地址探测 是
主机是否 存在? 否
漏洞是否 存在? 否
是
攻击、传染 现场处理
蠕虫的工作方式与扫描策略

蠕虫的扫描策略

对扫描策略的改进


蠕虫的工作方式与扫描策略

蠕虫常用的扫描策略

选择性随机扫描(包括本地优先扫描) 可路由地址扫描(Routable Scan) 地址分组扫描(Divide-Conquer Scan) 组合扫描(Hybrid Scan) 极端扫描(Extreme Scan)



细粒度检测

站 在 基 于 文 件 系 统 的 病 毒 分 析 来 看 ， Iworm.NewApt完全可以靠文件体中如下的特征 串 来 检 测 ： |680401000056FF152CC04000568B7510688 4F7400056E8CC0800005903C650E83B070 00083C40C6880F7400056E8B50800005903 C650„„|
同样，我们可以发现，如下IP地址存 在同样的问题
首先我们对IP地址为22.163.0.9的主机 产生的网络流量进行过滤
蠕虫病毒流量分析
发出的数据包的内容
一、两种检测粒度的比较

在早期的snort在其virus.rules中，用了多达24 条规则来检测名为NewApt的蠕虫，占了全部 VX规则的28%。
蠕虫病毒原理
蠕虫病毒



蠕虫病毒是一种常见的计算机病毒。它是利用网络进 行复制和传播，传染途径是通过网络和电子邮件。 蠕虫病毒是自包含的程序(或是一套程序)，它能传播 自身功能的拷贝或自身（蠕虫病毒）的某些部分到其 他的计算机系统中(通常是经过网络连接)。 蠕虫病毒的传染目标是互联网内的所有计算机.局域网 条件下的共享文件夹，电子邮件email，网络中的恶 意网页，大量存在着漏洞的服务器等都成为蠕虫传播 的良好途径 。网络的发展也使得蠕虫病毒可以在几个小时内蔓延 全球!而且蠕虫的主动攻击性和突然爆发性会使得人们 手足无策

系统漏洞蠕虫


利用RPC溢出漏洞的冲击波、冲击波杀手 利用LSASS溢出漏洞的震荡波、震荡波杀手 系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并 尝试溢出，然后将自身复制过去 它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃， 属于最不受欢迎的一类蠕虫
蠕虫的工作方式与扫描策略
问题（二）特征码质量
特征码不能任意选取，而要 求能够准确无误报的实现检 测。
•长度要求
•复杂度要求 •其他要求
问题（三）如何面对更多层面的需求
IDS的规则问题只是我们问题的出发点。 能否实现御毒于内网之外 Firewall、Gap能否扩充反病毒能力 骨干网络能否建立病毒疫情监控机制，甚至直 接切断蠕虫传播
content: "filename=\"GADGET.EXE\""; content: "filename=\"IRNGLANT.EXE\""; content: "filename=\"CASPER.EXE\""; content: "filename=\"FBORFW.EXE\""; content: "filename=\"SADDAM.EXE\""; content: "filename=\"BBOY.EXE\""; content: "filename=\"MONICA.EXE\""; content: "filename=\"GOAL.EXE\""; content: "filename=\"PANTHER.EXE\""; content: "filename=\"CHESTBURST.EXE\""; content: "filename=\"FARTER.EXE\""; content: "filename=\"CUPID2.EXE\"";
用Sniffer进行蠕虫检测

一般进行流量分析时，首先关注的是产生网络 流量最大的那些计算机。利用Sniffer的Host Table功能，将所有计算机按照发出数据包的 包数多少进行排序
发包数量前列的IP地址为22.163.0.9的主机，其从网络 收到的数据包数是0，但其向网络发出的数据包是445 个； 这对HTTP协议来说显然是不正常的，HTTP协议是基 于TCP的协议，是有连接的，不可能是光发不收的，一 般来说光发包不收包是种类似于广播的
问题（一）网络检测与文件检测的 不同


蠕虫在网络传输中的形态，不是2进制文件，而是 经过编码后的，下面就是病毒特征码所对应的 base64编码： GgEAQAAVv8VLMBAAFaLdRBohPdAAFbozAg AAFkDxlDoOwcAAIPEDGiA90AAVui1CAAAWQ PGUOgkBwAAoeQBQQBZWUBQVuidCAAAWQ PGUGjo90AA/9ej5AFBA„„ 同时新的问题产生：|0d 0a|如何处理？
粗检测粒度的表现
通过对病毒的分析来看， Worm.NewApt附件文件清单是 26个，而不是24个。 Rule(s) from C&D没有错误，但 Capture&Decode之外，希望能 补充进，Code&Disassemblers
附件文件名检测方式弊端


对于那些随机选择附件名文件名或者提取本机 文件的文件名作为自身名字的蠕虫无能为力。 一个同名的正常附件，带来误报造成用户的恐 慌。同时，修改文件名对于修改蠕虫是最容易 的。
第二章、结合文件级别反病毒技术
反病毒技术是一个积累性技术。有一定难以逾越 的基础，因此，结合传统反病毒企业的技术是安 全厂商的一种选择。 一些二线反病毒厂商也把向其他网络安全安全厂 商、其他厂商和服务商和提供AV SDK作为新的热 点。 另一方面，更多的反病毒厂商正在积极扩展自己 的网络安全产品线，从而构筑全面地解决方案。