3-4-1Red code 蠕虫病毒剖析

资料范本本资料为word版本，可以直接编辑和打印，感谢您的下载蠕虫病毒的特征与防治地点：__________________时间：__________________说明：本资料适用于约定双方经过谈判，协商而共同承认，共同遵守的责任与义务，仅供参考，文档可直接下载或修改，不需要的部分可直接删除，使用时请详细阅读内容研究生课程论文(2008-2009学年第二学期)蠕虫病毒的特征与防治摘要随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。

采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。

本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。

关键词: 蠕虫，病毒特征，病毒防治1引言“蠕虫”这个生物学名词于1982年由Xerox PARC的John F. Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。

最初，他们编写蠕虫的目的是做分布式计算的模型试验。

1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。

“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。

”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。

近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。

因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。

2蠕虫病毒的特征及传播1、一般特征:(1)独立个体，单独运行;(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;(3)传播方式多样;(4)造成网络拥塞，消耗系统资源;(5)制作技术与传统的病毒不同，与黑客技术相结合。

蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。

近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

4、原理它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。

5、传播途径蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。

与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

蠕虫病毒原理
蠕虫病毒是一种网络安全威胁，利用计算机网络的漏洞和弱点，通过自我复制和传播的方式攻击其他主机。

蠕虫病毒的原理主要包括以下几个步骤：
1.潜入主机：蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。

一旦进入主机，它会尽可能隐藏自己以避免被发现。

2.自我复制：一旦成功潜入一个主机，蠕虫病毒会尝试自我复
制并传播到其他主机。

它会扫描网络上的其他计算机，并利用各种方式（如远程执行命令、文件传输协议等）将自身复制到目标主机上。

3.利用漏洞：蠕虫病毒利用已知的漏洞来传播自己。

它会扫描
目标计算机上的漏洞，并尝试使用这些漏洞入侵目标系统并复制自己。

这些漏洞可能存在于操作系统、应用程序或网络设备中。

4.创建后门：蠕虫病毒有时会在成功复制到目标主机后创建一
个后门，以便将来能够远程访问和控制被感染的主机。

这样，黑客可以利用这个后门，进一步滥用被感染主机的资源。

5.传播到其他网络：蠕虫病毒通过互联网或局域网传播，并试
图感染更多的主机。

它会扫描相邻的IP地址，尝试连接到其
他计算机，并重复上述的复制和传播过程。

蠕虫病毒的攻击行为通常是自动完成的，它可以在短时间内感
染大量主机，并对网络安全造成巨大的威胁。

为了保护计算机和网络免受蠕虫病毒的攻击，用户和管理员应该定期更新操作系统和应用程序，使用强密码，并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。

详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁。

下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站，谢谢!详细的蠕虫病毒介绍：“蠕虫”病毒由两部分组成：一个主程序和另一个是引导程序。

主程序一旦在计算机中得到建立，就可以去收集与当前机器联网的其他机器的信息，它能通过读取公共配置文件并检测当前机器的联网状态信息，尝试利用系统的缺陷在远程机器上建立引导程序。

就是这个一般被称作是引导程序或类似于“钓鱼”的小程序，把“蠕虫”病毒带入了它所感染的每一台机器中。

“蠕虫”病毒程序能够常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。

假如它能够检测到网络中的某台机器没有被占用，它就把自身的一个拷贝(一个程序段)发送到那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器上，并且能够识别出它自己所占用的哪台机器。

计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。

在网络环境下，蠕虫病毒可以按指数增长模式进行传染。

蠕虫病毒侵入计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。

因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。

在网络环境中，蠕虫病毒具有一些新的特性：(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中，再由服务器的共享目录传播到其他的工作站。

但蠕虫病毒的传染方式比较复杂。

(2)传播速度快在单机上，病毒只能通过软盘从一台计算机传染到另一台计算机，而在网络中则可以通过网络通信机制，借助高速电缆进行迅速扩散。

由于蠕虫病毒在网络中传染速度非常快，使其扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。

(3)清除难度大在单机中，再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除，而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染，甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染，因此，仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。

网络蠕虫基本知识所谓网络蠕虫是一种能够独立运行，并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。

他不同于病毒。

具有它们自己独特的传播方式和巨大的破坏力。

1 网络蠕虫的特性1）单一性：大量相同的数据包在蠕虫爆发初期出现，这是由于蠕虫发出的扫描包大多数是相同的，另外蠕虫在进行复制时传输的文件也是相同的；2）自主性：网络上感染规模不断增大这是由于蠕虫是自主传播，不受管理员的干涉，被感染主机数量以及扫描都呈指数级迅速增长。

这个可以有上边的模型看出；3）随机性：被感染主机会随机探测某个地址的固定端口，网络上会出现大量目标地址不可达或连接请求失败；4）利用软件漏洞，造成网络拥塞，系统消耗资源，留下安全隐患的特性。

2 蠕虫的运行技术介绍2.1 红色代码（CODE RED）2001年8月爆发的Code Red 利用IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。

这个蠕虫病毒使用服务器的端口80 进行传播，而这个端口正是Web 服务器与浏览器进行信息交流的渠道。

Code Red 主要有如下特征：入侵IIS 服务器，code red 会将WWW 英文站点改为："Hello! Welcome to ! Hacked by Chinese! "；与其它病毒不同的是，Code Red 并不将病毒信息写入被攻击服务器的硬盘。

它只是驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其它的服务器。

这也正是蠕虫与计算机病毒之间最大的区别。

红色代码根据上述漏洞将自己作为一个TCP/IP 流直接发送到染毒系统的缓冲区，蠕虫依次扫描WEB，以便能够感染其他的系统。

一旦感染了当前的系统，蠕虫会检测硬盘中是否存在c:\notworm，如果该文件存在，蠕虫将停止感染其他主机。

在被感染主机上蠕虫将进行如下操作感染其他主机：1）起初始蠕虫环境，进行自我复制。

并开始获得控制权。

2）建立起n 个蠕虫线程。

(n 一般取100)。

最危险的五种电脑病毒电脑病毒的类型多种多样，它们中有的只会给电脑带来一些小麻烦，而还有一些更加危险的则有可能致使系统瘫痪或硬件受损。

下面给大家分享最危险的五种电脑病毒，欢迎阅读：史上最危险的五种电脑病毒：最危险电脑病毒1：I LOVE YOUILOVEYOU也许是计算机历史当中最危险的病毒。

在当年，它感染了将近10%的可联网计算机，造成的经济损失高达100亿美元。

这种病毒是通过电子邮件所传播的，其邮件标题就是“ILOVEYOU。

为了进一步增加诱惑力，又见当中还附带着一个题为“Love-Letter-For-You.TXT.vbs(给你的情书)。

如果你打开该文件，病毒会自动向Windows地址簿当中保存的前50个联系人发送相同的邮件。

最危险电脑病毒2：MelissaMelissa计算机病毒在1999年3月26日登上了新闻头条。

这种病毒同样通过邮件传播，并会包含一个名为“list.doc的附件。

点开附件之后，病毒会寻找到微软Outlook地址簿当中的前50个联系人，然后向他们发送一封题为“这是你要的文件……不要给其他人看的邮件。

随后，FBI逮捕了病毒的制作者David L Smith，此人声称自己编写这条病毒是是为了纪念一位一见倾心的脱衣舞女郎，她的名字就叫Melissa。

最危险的电脑病毒最危险电脑病毒3：My DoomMy Doom是2004年爆发的病毒，它通过电子邮件传播，发件人地址和邮件主题完全随机，它所感染的计算机数量约为200万部。

这种病毒的行为方式非常狡诈，收件人在收到邮件之后会看到一个类似于错误弹窗的窗口，当中写着“邮件处理失败。

而在点击该信息之后，其附件中的蠕虫病毒便会开始工作，向电脑地址簿内保存的地址继续发送邮件。

外界认为，My Doom所造成的经济损失可能达到了380亿美元。

最危险电脑病毒4：Code Red通过利用微软Internet Information Server的漏洞，2001年出现的Code Red病毒开始将网络服务器作为攻击目标。

1998年11月9一个名为Morris的蠕虫爆发9该蠕虫利用UNIX系统的finger和sendmail程序的漏洞9导致当时Internet上10!的邮件服务器受到严重的影响9无法提供正常的服务0Morris可以被认为是第一个具有影响力的蠕虫病毒0从此之后9越来越多的蠕虫病毒相继出现9对整个Internet造成了巨大的冲击0在过去的两年中9对Inter" net造成巨大影响的蠕虫病毒有sadmind/IIS worm\ Codered worm\NIMDA\SOL slammer\MS Blaster0这些蠕虫病毒爆发的时候9严重影响了网络的正常运作9甚至导致部分网络彻底瘫痪0不同的蠕虫实现攻击的方法都不一样9但是防御蠕虫的策略方法却是相同的9所以这些防御策略和方法具有通用性9是具有研究和实用价值的0本文即旨在研究通过Cisco路由器的配置来防御蠕虫攻击的通用策略和方法0本文首先阐述了蠕虫的结构特点9然后针对其特点提出了防御的策略9以及将策略应用到Cisco路由器上的具体配置方法9最后阐述了如何在蠕虫病毒爆发的时候分析攻击数据和追溯感染者01蠕虫的特点蠕虫是完全独立的程序9它自己可以扫描网络上的主机系统漏洞9并可以利用系统漏洞入侵目标系统9如果入侵成功9便将自己复制到新系统中9之后又以新系统为起点9开始新一轮的扫描和入侵9如此循环0通常所说的病毒与蠕虫是不同的9病毒需要携带者9例如邮件\word文档\exe文件等9并且需要人为的干预9例如打开邮件\执行exe文件等0但因为很多蠕虫同时携带病毒9所以本文中有时也将蠕虫称为蠕虫病毒0 2蠕虫的结构通常9蠕虫病毒包括三个部分入侵代码\传播机制和负载0入侵代码用于扫描漏洞9入侵新的系统传播机制用于复制传送自己9例如tftp\ftp等负载可以没有9也可以是一些病毒代码9例如Nimda就携带病毒03蠕虫的危害包括两个方面一是对主机服务器系统造成破坏9导致它们不能够提供正常的服务二是对网络的Dos攻击9造成网络瘫痪0对于蠕虫的防御可以分为两个部分主机上的防御和网络上的防御0主机的防御包括对主机打补丁和病毒清除而网络的防御包括控制蠕虫病毒蔓延以及对攻击数据进行分析和追溯0本文仅研究网络上的防御9关于主机上的防御请参考其它资料0以下内容将以Codered红色代码和MS Blaster 微软冲击波为例9详细分析蠕虫攻击特点9并提出防御策略和Cisco路由器上的配置方法0这些防御的策略和方法同样适用于其它的蠕虫9也可以用于防御将来可能出现的蠕虫病毒04控制蠕虫病毒蔓延4.1"code Red"!红色代码"的防御最初发作时间2001年7月攻击特点及危害利用IIS indexing service的漏洞进行感染9替换被攻击IIS服务器的主页9并对www.进行Dos攻击9在网络上产生大量的非法http请求9导致网络阻塞甚至瘫痪0防御策略针对红色代码9要做的第一件事情就是给IISServer 打补丁0但在打了补丁之后9网络上仍然还有大量的苏丹广东出入境检验检疫局,广东广州510623使用路由器防御蠕虫病毒摘要#过去的几年中!蠕虫病毒曾经给网络造成了很大的危害"本文所讨论的策略和方法不仅可以减轻蠕虫对网络的冲击!也可以用来防御未来出现的蠕虫病毒"关键词#路由器#蠕虫中图分类号#TP309文献标识码#A!"HTTP攻击请求9所以第二步则是阻止这些非法的攻击请求在网络上传播0阻止攻击数据传播的思路是先将非法的请求数据分类出来9再将其删除0要将这些非法的http请求数据分类出来9我们必须了解这些非法数据的特征9再利用这些特征作为分类标准进行数据分类0在红色代码攻击中9http uri中会请求一个defauit. ida文件9我们就可以以此特征为分类标准9让路由器分析http uri请求的内容9查找该特征字符串9然后将包含该特征字符串的数据流分类出来0Cisco的IOS提供了基于类的标记特征(ciass-based marking feature)9我们可以利用它将包含de! fauit.ida请求的数据归为一类9然后建立一个策略图(poiicy map)9将分类出来的数据删除9注意defauit.ida默认安装在IIS服务器上9red code就是利用该文件进行入侵0该文件一般并不使用9这也是该防御方法是基于的前提0如果该文件被使用的话9删除对defauit.ida的请求9可能会阻止正常的访问请求0配置方法注在该范例中9使用了基于类的策略9关于这些配置命令的使用方法9请参考本文最后的参考资料栏目0配置如下步骤一\使用ciass-based marking feature分类进入的"Code Red"攻击数据Router(config)#ciass-map match-any http-hacksRouter(config-cmap)#match protocoi http uri"*de! fauit.ida*"步骤二\建立一个策略图9将分类出来的数据删除.Router(config)#poiicy-map drop-inbound-http-hacks Router(config-pmap)#ciass http-hacksRouter(config-pmap-c)#poiice100000031250 31250conform-action drop exceed-action drop vioiate-action drop步骤三\在入口处加载策略9删除攻击数据.Router(config)#interface seriai0/0Router(config-if)#service-poiicy input drop-in! bound-http-hacks步骤四\验证结果Router#show poiicy-map interface seriai0/0Seriai0/0Service-poiicy input:drop-inbound-http-hacksCiass-map:http-hacks(match-any)5packets,300bytes5minute offered rate0bps,drop rate0bpsMatch:protocoi http uri"*defauit.ida*"5packets,300bytes5minute rate0bpsMatch:protocoi http uri"*cmd.exe*"0packets,0bytes5minute rate0bpsMatch:protocoi http uri"*root.exe*"0packets,0bytes5minute rate0bpspoiice:1000000bps,31250iimit,31250extended iimitconformed5packets,300bytesg action:dropexceeded0packets,0bytesg action:dropvioiated0packets,0bytesg action:dropconformed0bps,exceed0bps,vioiate0bpsCiass-map:ciass-defauit(match-any)5packets,300bytes5minute offered rate0bps,drop rate0bpsMatch:any4.2MS Blaster!微软冲击波"的防御最初发作时间2003年8月9攻击特点及危害利用Windows操作系统的RPC 漏洞9获得在主机运行本地命令的权限9在侵入主机之后9使用tftp传送副本9同时将cmd.exe绑定到TCP端口44449然后通过teinet到该端口9运行本地命令9修改注册表9以使主机重启动之后蠕虫自动运行9蠕虫中包含有Dos攻击代码9在特定的时间对Windowsupdate. com进行攻击9Dos攻击的数据是50个40字节大小的http数据包9目标是的80端口9如果蠕虫无法解析9它将把目标地址设为255.255.255.2559即向本地广播0该蠕虫病毒会导致主机和网络不可用0涉及的端口RPC监听的端口是135\139\445\593 9cmd.exe绑定端口是44449tftp端口号是690防御策略!"防御RPC DCOM攻击的最有效方法就是对主机打补丁O可以采用安全稽核工具来扫描具有RPC DCOM 漏洞的主机之后对其进行修补O而对于网络阻止蠕虫蔓延的最有效方法就是使用ACL阻止对于135139445(TCP和UDP)端口的访问特别是阻止这些端口向Internet开放O配置方法注1在该范例中使用了模块化的Oos命令行接口配置即基于类的策略关于这些配置命令的使用方法请参考本文最后的参考资料栏目O如上图所示配置如下1步骤一生成一个ACL(访问控制列表)!access-iist101deny udp any any eg135access-iist101deny tcp any any eg135access-iist101deny udp any any eg137access-iist101deny tcp any any eg137access-iist101deny udp any any eg139access-iist101deny tcp any any eg139access-iist101deny udp any any eg445access-iist101deny tcp any any eg445access-iist101deny tcp any any eg593access-iist101deny udp any any eg69access-iist101deny tcp any any eg4444access-iist101permit ip any any!步骤二建立ciass-map!ciass-map match-aii rpc_dcommatch access-group101!步骤三在入口使用基于类的策略删除匹配的包!poiicy-map drop-rpc-dcomciass rpc_dcompoiice800010001000conform-action drop ex! ceed-action drop vioiate-action drop!也可以使用NBAR(Network-Based Appiication Recognition)使用基于网络的应用程序识别来进行数据分类再使用Oos命令来对分类后的数据做处理1步骤一使用NBAR生成ciass-map!ciass-map match-aii msbiaster-nbarmatch protocoi netbiosmatch packet iength min404max404!步骤二在入口使用基于类的策略删除匹配的包!poiicy-map drop-msbiaster-wormciass msbiaster_wormpoiice10000003125031250conform-action drop exceed-action drop vioiate-action drop!数据分析和追溯Netfiow简介NetFiow是Cisco路由器上的一个日志工具它提供一些应用程序帮助网络管理员跟踪识别IP数据流包括数据流记帐网路监控Dos(拒绝服务)监控和数据挖掘O所收集的信息可以用于追踪受感染的主机和监控蠕虫在网络中的传播过程O在识别受感染主机之后网络管理员可以实施ACL(访问控制列表)来限制这一部分主机O运行平台1只能在7200和7500系列的路由器上运行O使用Netfiow记录数据Netfiow可以记录多种网络统计数据例如用户协议端口和服务信息3所谓一个流包括这些特性1源和目标IP地址源和目标端口协议类型服务类型输入端口O在启用Netfiow之后统计数据被缓存在Cache中默认可以缓存64k个记录每个记录大约64bytes3也可以配置将缓存的记录发送到管理主机O启用Netfiow1在接口配置模式中使用ip route-cache fiow;将缓存的记录发送到管理主机:ip fiow-export;修改缓存大小1ip fiow-cache entries;使用Netfiow分析数据例如在分析MS Biaster的通信数据的时候我们可以查看端口135,139,445的数据统计命令如下1 Router#show ip cache fiow I inciude0087!"L 网络游戏安全背景近几年来 随着互联网技术的快速发展 网络游戏在国内的游戏市场占据了越来越大的比重:在网络游戏日益盛行的今天 随着网络精品游戏不断推出 更多的玩家进入到网络虚幻世界:但是既然是网络游戏 就一定离不开网络相关的一些问题:一个拥有很高级数和极品装备的帐号不仅仅是玩家时间精力的堆积 同时也是大笔资金的投入:尤其有许多人用现实社会中的货币去购买网络世界中的装备与物品 获得一个高等级的帐号:或者用自己游戏中的物品或者高等级帐号去换现实社会的货币:这更增加了人们对游戏的重视:现在互联网上存在的最普遍的一个问题就是网络信息的安全问题:而现在许多游戏玩家最关心的正是其帐号的安全性的问题:根据一项报告的显示 每年我国有将近60%的玩家经历过装备和虚拟物品被盗 被盗号的占32% 被黑客攻击的占8% 而且90%以上被盗玩家都是受到了木马等相关程序的攻击:帐号密码被盗 根源在哪里?除摘要!本文通过对网络游戏的信息安全问题的分析和目前流行认证技术的介绍!用最新的USB KEY 认证技术设计一个保护网络游戏用户信息的解决方案"关键字!网络游戏!数据加密!USB KEY 中图分类号!TP309文献标识码!AA Solution to the lnformation Security of Online GameAbstract:According to the information security of online game and introduction of the recent certificated technology,the paper puts forward a new USB KEY to design a solution to protect the game user informationKeyword:online game,data encrypt,USB KEY徐永亮同济大学"上海200082网络游戏的信息安全解决方案Router#show ip cache flow I include 0089Router#show ip cache flow I include 0lBD我们也可以将记录的数据倒出到远程主机上再作分析:例如 假设接收主机为l92.l68.l.l 接收端口为0 配置如下:configure terminal interface serial 3/0/0ip route-cache flow exitip flow-export l92.l68.l.l 0version 5peer-as exitclear ip flow stats结束语:在过去的几年中 蠕虫病毒曾经给网络造成了很大的危害:本文所讨论的策略和方法不仅可以减轻蠕虫对网络的冲击 也可以用来防御未来出现的蠕虫病毒:参考文献:[l]<Using Network -Based Application Recognition and ACLs for Blocking the "Code Red"Worm http:// ,Document ID:27842;[2]<Configuring NetFlow ;[3]<Network-Based Application Recognition ;[4]<How to Protect Your Network Against the NimdaVirus Document ID:46l5收稿日期:2004年l2月!"。

IIS红色蠕虫病毒CodeRed介绍病毒特征红色蠕虫病毒利用微软web服务器IIS 4.0或5.0中index服务的安全缺陷，攻破目的机器，并通过自动扫描感染方式传播蠕虫。

由于很多Windows NT系统和Windows 2000系统都缺省提供Web服务，因此该蠕虫的传播速度极快，大大地加重网络的通信负担,常常造成网络瘫痪。

该病毒发作的典型现象是：（1）网络上发现大量字节长度很小的HTTP数据包；（2）网络性能急剧下降，路由器、交换机等网络设备负载加重，甚至崩溃；（3） Web Server上的访问日志出现大量类似如下的HTTP请求："GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9 090%u8190%u00c3%u000 3%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0"受影响的系统红色蠕虫病毒影响以下的计算机系统：安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0、Windows 2000；Cisco Call Manager, Unity Server, uOne, ICS7750, Building Broadband Service Manager；没有打过补丁的Cisco 600 series DSL路由器。

"Code Red" 蠕虫攻击方式分析作者：unknown 更新时间： 2005-05-12详细：CODE RED 利用 IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。

如果它感染了一个主机，将会在受影响机器上作如下活动：1、建立起初始蠕虫环境2、建立起100个蠕虫线程3、前99个线程会传播感染其它主机4、第100个线程会检查自身是否运行于一个英文版本的 Windows NT/2000 如果是，它将会替换该主机页面Welcome to/ !, Hacked By Chinese!该信息会在10小时后自动消失,除非再次受到感染。

如果不是英文版本，它也会被用作感染其它主机。

5、每个线程会检查当地时间如果时间位于 20:00 UTC 和 23:59 UTC 间，该线程会往 发送 100K 字节数据。

如果小于 20:00 UTC，它会继续传播感染其它主机在下面的详细分析中，将要用到IDA(Interactive Disassembler) ，它来自。

MS VC++ 调试环境我将该蠕虫分为三个部分以便研究：核心功能模块，hack web 页面模块，攻击 模块。

一、核心功能模块1、起始感染容器（已被感染并将传播蠕虫的主机）当被感染时，系统内存将会呈现如下信息：<MORE 4E 00>4E 00 4E 00 4E 00 4E 004E 00 4E 00 4E 00 4E 004E 00 4E 00 4E 00 4E 0092 90 58 68 4E 00 4E 004E 00 4E 00 4E 00 4E 00FA 00 00 00 90 90 58 68D3 CB 01 78 90 90 58 68D3 CB 01 78 90 90 58 68D3 CB 01 78 90 90 90 9090 81 C3 00 03 00 00 8B1B 53 FF 53 78EIP 会被 0x7801CBD3 重写。

可怕的十大电脑病毒在你打开某个页面某张图片时，就有某种病毒悄悄进入了，当然，它只是静待时机。

下面是店铺收集整理的可怕的十大电脑病毒，希望对大家有帮助~~可怕的十大电脑病毒1、梅丽莎病毒1998年春天，大卫•L•史密斯(David L. Smith)运用Word软件里的宏运算编写了一个电脑病毒，这种病毒可以通过邮件进行传播。

史密斯把它命名为梅丽莎(Melissa)，佛罗里达州的一位舞女的名字[资料来源：CNN]。

梅丽莎病毒一般通过邮件传播，邮件的标题通常为“这是给你的资料，不要让任何人看见”。

一旦收件人打开邮件，病毒就会自动向用户通讯录的前50位好友复制发送同样的邮件。

梅丽莎的制造者，大卫•L•史密斯在法庭受审时的照片2、CIH病毒CIH病毒1998年6月爆发于中国，是公认的有史以来危险程度最高、破坏强度最大的病毒之一。

CIH感染Windows 95/98/ME等操作系统的可执行文件，能够驻留在计算机内存中，并据此继续感染其他可执行文件。

CIH的危险之处在于，一旦被激活，它可以覆盖主机硬盘上的数据并导致硬盘失效。

它还具备覆盖主机BIOS芯片的能力，从而使计算机引导失败。

CIH一些变种的触发日期恰好是切尔诺贝利核电站事故发生之日，因此它也被称为切尔诺贝利病毒。

3 .我爱你(I LOVE YOU)又称情书或爱虫，是一个VB脚本，2000年5月3日，“我爱你”蠕虫病毒首次在香港被发现。

“我爱你”蠕虫病毒病毒通过一封标题为“我爱你(ILOVEYOU)”、附件名称为“Love-Letter-For-You.TXT.vbs”的邮件进行传输。

和梅利莎类似，病毒也向Outlook通讯簿中的联系人发送自身。

它还大肆复制自身覆盖音乐和图片文件。

它还会在受到感染的机器上搜索用户的账号和密码，并发送给病毒作者。

由于当时菲律宾并无制裁编写病毒程序的法律，“我爱你”病毒的作者因此逃过一劫。

4.红色代码(Code Red)“红色代码”是一种蠕虫病毒，能够通过网络进行传播。

目录摘要 (2)Abstract (3)第一章蠕虫病毒概述及发展历史 (4)1.1蠕虫病毒概述及发展历史 (4)1.2网络蠕虫研究分析 (5)第二章蠕虫病毒原理 (7)2.1蠕虫病毒攻击原理 (7)2.2蠕虫病毒与一般病毒的异同 (8)第三章蠕虫病毒实例 (10)3.1蠕虫病毒造成的破坏 (10)3.2蠕虫病毒实例 (10)第四章蠕虫病毒的防范 (14)4.1蠕虫的特点及发展趋势 (14)4.2如何对蠕虫病毒攻击进行防范 (14)结束语 (16)致谢 (17)参考文献 (17)摘要随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。

特别是在网络环境下，多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加，传播速度更快，覆盖面也更广。

蠕虫病毒侵入计算机网络，可以导致计算机网络的效率急剧下降，系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。

为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度，提高网络的安全性能，减少不必要的经济损失，保障用户的个人资料及隐私安全，我们将对蠕虫病毒进行检测与防范。

本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。

阐述网络安全现状、蠕虫病毒背景及发展历史等，通过蠕虫病毒的原理与传统病毒的区别，功能、工作机制等，对蠕虫病毒对网络安全的威胁，检测与防范做出了相对的研究。

关键词：网络安全；病毒原理；检测；防范AbstractAs the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.Keywords: network security; virus principle; detection; prevent第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。