解析计算机蠕虫病毒
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 网络的普及与发展也使得蠕虫病毒可以在几个小时内蔓延全球,而且其主动 攻击性和突然爆发性将使人们手足无策。参见表7.5。
第 7 讲 病毒防范技术
• (2) 蠕虫的破坏和变化 • 1988年,一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了
数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码和尼姆达病 毒疯狂的时候曾造成几十亿美元的损失。
第 7 讲 病毒防范技术
– 以2003年1月26日爆发的SQL蠕虫为例,该病毒在爆发 数小时内就席卷了全球网络,造成网络大塞车。SQL蠕 虫攻击的是Microsoft SQL Server 2000,而其所利用 的漏洞在2002年7月份微软公司的一份安全公告中就有 详细说明,微软也提供了安全补丁下载,然而在时隔 半年之后,因特网上还有相当大的一部分服务器没有 安装最新的补丁,从而被蠕虫病毒所利用。网络管理 员的安全防范意识由此可见一斑。
第 7 讲 病毒防范技术
– 4) 与黑客技术相结合,潜在的威胁和损失更大。以红色代码为例,感染 后,机器web目录下的 \scripts子目录将生成一个root.exe文件,可以 远程执行任何命令,从而使黑客能够再次进入。
第 7 讲 病毒防范技术
• 2. 网络蠕虫病毒分析和防范
– 蠕虫病毒往往能够利用的漏洞或者说是缺陷分为两 种,即软件缺陷和人为缺陷。软件缺陷,如远程溢 出,微软IE和Outlook的自动执行漏洞等,需要软 件厂商和用户共同配合,不断升级和改进软件;而 人为缺陷,主要是指计算机用户的疏忽,这就属于 所谓的社会工程学范畴。对企业用户来说,威胁主 要集中在服务器和大型应用软件的安全上,而对个 人用户而言,则主要是防范第二种缺陷。
第 7 讲 病毒防范技术
• 1) 企业防范蠕虫病毒的措施。
– 企业网络主要应用在文件和打印服务共享、办公自动 化系统、管理信息系统 (MIS) 、因特网应用等领域。 网络具有便利信息交换的特性,蠕虫病毒也可以充分 利用网络快速传播达到其阻塞网络的目的。企业在充 分利用网络进行业务处理时,就不得不考虑病毒防范 问题,以保证关乎企业命运的业务数据完整不被破坏。
第 7 讲 病毒防范技术
• 根据其发作机制,蠕虫病毒一般可分为两类
– 一类是利用系统级别漏洞 (主动传播) ,主动攻击 企业用户和局域网的蠕虫病毒,这种病毒以“红色 代码”、“尼姆达”以及“SQL蠕虫王”为代表, 可以对整个因特网造成瘫痪性的后果;
– 另一类是针对个人用户,利用社会工程学 (欺骗传 播) ,通过网络电子邮件和恶意网页等形式迅速百度文库 播的蠕虫病毒,以爱虫、求职信病毒为例。
第 7 讲 病毒防范技术
• 可见,普通病毒主要是感染文件,当然也有像DIR II这样的链接型病毒和引 导区病毒等。
• 蠕虫一般不采取插入文件的方法,而是在因特网环境下通过复制自身进行传 播,普通病毒的传染主要针对计算机内的文件系统。
第 7 讲 病毒防范技术
• 而蠕虫病毒的传染目标是因特网内的所有计算机、局域网条件下的共享文件 夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等,这些都成 为蠕虫传播的良好途径。
第 7 讲 病毒防范技术
• 在这两类中,第一类具有很大的主动攻击性,而且爆 发也有一定的突然性,但相对来说,查杀这种病毒并 不是很难;第二种病毒的传播方式比较复杂和多样, 少数利用了应用程序的漏洞,更多的是利用社会工程 学对用户进行欺骗和诱使,这样的病毒造成的损失非 常大,同时也很难根除。比如求职信病毒,在2001年 就已经被各大杀毒厂商发现,但直到2002年底依然排 在病毒危害排行榜的首位。
第 7 讲 病毒防范技术
• 1. 蠕虫病毒的定义
– 蠕虫病毒和普通病毒有很大区别。一般认为,蠕虫 是一种通过网络传播的恶性病毒,它具有病毒的一 些共性,如传播性,隐蔽性,破坏性等等,同时具 有自己的一些特征,如不利用文件寄生 (有的只存 在于内存中) ,对网络造成拒绝服务,以及和黑客 技术相结合等等。在产生的破坏性上,蠕虫病毒也 不是普通病毒所能比拟的,网络的发展使得蠕虫可 以在短短的时间内蔓延整个网络,造成网络瘫痪。
第 7 讲 病毒防范技术
• (1) 蠕虫病毒与普通病毒的异同 • 普通病毒是需要寄生的,它可以通过自己指令的执行,将自己的指令代码写到其
他程序的体内,而被感染的文件就称为“宿主”。例如,当病毒感染Windows可 执行文件时,就在宿主程序中建立一个新节,将病毒代码写到新节中,并修改程 序的入口点等,这样,宿主程序执行的时候就可以先执行病毒程序,然后再把控 制权交给原来的宿主程序指令。
信息安全技术
第 7 讲 病毒防范技术
• 7.1 病毒防范技术与杀病毒软件 • 7.2 解析计算机蠕虫病毒
第 7 -2讲 解析计算机蠕虫病毒
• 凡是能够引起计算机故障,破坏计算机数据的程序我们都统称为计算机 病毒。所以,从这个意义上说,蠕虫也是一种病毒。但与传统的计算机 病毒不同,网络蠕虫病毒以计算机为载体,以网络为攻击对象,其破坏 力和传染性不容忽视。
第 7 讲 病毒防范技术
• 通过对蠕虫病毒的分析,可以知道蠕虫发作的一些特点和变化。
– 1) 利用操作系统和应用程序的漏洞主动进行攻击。例 如,由于IE浏览器的漏洞,使得感染了“尼姆达”病 毒的邮件在不打开附件的情况下就能激活病毒;“红 色代码”是利用了微软IIS服务器软件的漏洞 (idq.dll远程缓存区溢出) 来传播的;SQL蠕虫王病毒 则是利用了微软数据库系统的一个漏洞进行大肆攻击。
第 7 讲 病毒防范技术
• 2) 传播方式多样。如“尼姆达”和“求职信”等病毒,其可利用的传播途 径包括文件、电子邮件、Web服务器、网络共享等。
第 7 讲 病毒防范技术
– 3) 病毒制作技术与传统的病毒不同。许多新病毒是利用当前最新的编程 语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软 件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以 潜伏在HTML页面里,在上网浏览时触发。
第 7 讲 病毒防范技术
• 2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使 因特网严重堵塞,作为因特网主要基础的域名服务器 (DNS) 的瘫痪造成网民浏览因 特网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断,机票 等网络预订系统的运作中断,信用卡等收付款系统出现故障。专家估计,此病毒造 成的直接经济损失至少在12亿美元以上。
第 7 讲 病毒防范技术
• (2) 蠕虫的破坏和变化 • 1988年,一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了
数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码和尼姆达病 毒疯狂的时候曾造成几十亿美元的损失。
第 7 讲 病毒防范技术
– 以2003年1月26日爆发的SQL蠕虫为例,该病毒在爆发 数小时内就席卷了全球网络,造成网络大塞车。SQL蠕 虫攻击的是Microsoft SQL Server 2000,而其所利用 的漏洞在2002年7月份微软公司的一份安全公告中就有 详细说明,微软也提供了安全补丁下载,然而在时隔 半年之后,因特网上还有相当大的一部分服务器没有 安装最新的补丁,从而被蠕虫病毒所利用。网络管理 员的安全防范意识由此可见一斑。
第 7 讲 病毒防范技术
– 4) 与黑客技术相结合,潜在的威胁和损失更大。以红色代码为例,感染 后,机器web目录下的 \scripts子目录将生成一个root.exe文件,可以 远程执行任何命令,从而使黑客能够再次进入。
第 7 讲 病毒防范技术
• 2. 网络蠕虫病毒分析和防范
– 蠕虫病毒往往能够利用的漏洞或者说是缺陷分为两 种,即软件缺陷和人为缺陷。软件缺陷,如远程溢 出,微软IE和Outlook的自动执行漏洞等,需要软 件厂商和用户共同配合,不断升级和改进软件;而 人为缺陷,主要是指计算机用户的疏忽,这就属于 所谓的社会工程学范畴。对企业用户来说,威胁主 要集中在服务器和大型应用软件的安全上,而对个 人用户而言,则主要是防范第二种缺陷。
第 7 讲 病毒防范技术
• 1) 企业防范蠕虫病毒的措施。
– 企业网络主要应用在文件和打印服务共享、办公自动 化系统、管理信息系统 (MIS) 、因特网应用等领域。 网络具有便利信息交换的特性,蠕虫病毒也可以充分 利用网络快速传播达到其阻塞网络的目的。企业在充 分利用网络进行业务处理时,就不得不考虑病毒防范 问题,以保证关乎企业命运的业务数据完整不被破坏。
第 7 讲 病毒防范技术
• 根据其发作机制,蠕虫病毒一般可分为两类
– 一类是利用系统级别漏洞 (主动传播) ,主动攻击 企业用户和局域网的蠕虫病毒,这种病毒以“红色 代码”、“尼姆达”以及“SQL蠕虫王”为代表, 可以对整个因特网造成瘫痪性的后果;
– 另一类是针对个人用户,利用社会工程学 (欺骗传 播) ,通过网络电子邮件和恶意网页等形式迅速百度文库 播的蠕虫病毒,以爱虫、求职信病毒为例。
第 7 讲 病毒防范技术
• 可见,普通病毒主要是感染文件,当然也有像DIR II这样的链接型病毒和引 导区病毒等。
• 蠕虫一般不采取插入文件的方法,而是在因特网环境下通过复制自身进行传 播,普通病毒的传染主要针对计算机内的文件系统。
第 7 讲 病毒防范技术
• 而蠕虫病毒的传染目标是因特网内的所有计算机、局域网条件下的共享文件 夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等,这些都成 为蠕虫传播的良好途径。
第 7 讲 病毒防范技术
• 在这两类中,第一类具有很大的主动攻击性,而且爆 发也有一定的突然性,但相对来说,查杀这种病毒并 不是很难;第二种病毒的传播方式比较复杂和多样, 少数利用了应用程序的漏洞,更多的是利用社会工程 学对用户进行欺骗和诱使,这样的病毒造成的损失非 常大,同时也很难根除。比如求职信病毒,在2001年 就已经被各大杀毒厂商发现,但直到2002年底依然排 在病毒危害排行榜的首位。
第 7 讲 病毒防范技术
• 1. 蠕虫病毒的定义
– 蠕虫病毒和普通病毒有很大区别。一般认为,蠕虫 是一种通过网络传播的恶性病毒,它具有病毒的一 些共性,如传播性,隐蔽性,破坏性等等,同时具 有自己的一些特征,如不利用文件寄生 (有的只存 在于内存中) ,对网络造成拒绝服务,以及和黑客 技术相结合等等。在产生的破坏性上,蠕虫病毒也 不是普通病毒所能比拟的,网络的发展使得蠕虫可 以在短短的时间内蔓延整个网络,造成网络瘫痪。
第 7 讲 病毒防范技术
• (1) 蠕虫病毒与普通病毒的异同 • 普通病毒是需要寄生的,它可以通过自己指令的执行,将自己的指令代码写到其
他程序的体内,而被感染的文件就称为“宿主”。例如,当病毒感染Windows可 执行文件时,就在宿主程序中建立一个新节,将病毒代码写到新节中,并修改程 序的入口点等,这样,宿主程序执行的时候就可以先执行病毒程序,然后再把控 制权交给原来的宿主程序指令。
信息安全技术
第 7 讲 病毒防范技术
• 7.1 病毒防范技术与杀病毒软件 • 7.2 解析计算机蠕虫病毒
第 7 -2讲 解析计算机蠕虫病毒
• 凡是能够引起计算机故障,破坏计算机数据的程序我们都统称为计算机 病毒。所以,从这个意义上说,蠕虫也是一种病毒。但与传统的计算机 病毒不同,网络蠕虫病毒以计算机为载体,以网络为攻击对象,其破坏 力和传染性不容忽视。
第 7 讲 病毒防范技术
• 通过对蠕虫病毒的分析,可以知道蠕虫发作的一些特点和变化。
– 1) 利用操作系统和应用程序的漏洞主动进行攻击。例 如,由于IE浏览器的漏洞,使得感染了“尼姆达”病 毒的邮件在不打开附件的情况下就能激活病毒;“红 色代码”是利用了微软IIS服务器软件的漏洞 (idq.dll远程缓存区溢出) 来传播的;SQL蠕虫王病毒 则是利用了微软数据库系统的一个漏洞进行大肆攻击。
第 7 讲 病毒防范技术
• 2) 传播方式多样。如“尼姆达”和“求职信”等病毒,其可利用的传播途 径包括文件、电子邮件、Web服务器、网络共享等。
第 7 讲 病毒防范技术
– 3) 病毒制作技术与传统的病毒不同。许多新病毒是利用当前最新的编程 语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软 件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以 潜伏在HTML页面里,在上网浏览时触发。
第 7 讲 病毒防范技术
• 2003年1月26日,一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使 因特网严重堵塞,作为因特网主要基础的域名服务器 (DNS) 的瘫痪造成网民浏览因 特网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断,机票 等网络预订系统的运作中断,信用卡等收付款系统出现故障。专家估计,此病毒造 成的直接经济损失至少在12亿美元以上。