蠕虫病毒

引导程序
•

主程序中最重要的是传播模块

实现了自动入侵的功能 分为扫描、攻击和复制三个步骤
13
6.4 蠕虫病毒的机理

扫描功能

主要负责探测远程主机的漏洞 模拟了攻防的Scan过程 当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后，就 得到了一个潜在的传播对象 按特定漏洞的攻击方法对潜在的传播对象进行自动攻击 取得该主机的合适权限，为后续步骤做准备 在特定权限下，复制功能实现蠕虫引导程序的远程建立工作 即把引导程序复制到攻击对象上
21

“灾飞”病毒


6.6 目前流行的蠕虫病毒

QQ消息机木马病毒、网游/网银盗号木马

QQ消息机利用IE漏洞传播 每一个病毒传播范围不广，但是其变种频出

网游盗号木马病毒泛滥，其变种繁多，针对各类网络游戏的木马 病毒每天都在增加
它们会伪装成工具欺骗用户运行，捆绑到网游外挂上 利用QQ消息机的传播特性等多种手段进入用户的系统，通过监视 用户系统的一举一动伺机盗取用户的网游账号、密码和网络银行 的账号、密码 给用户带来一定的经济损失
11
6.3 蠕虫病毒的特性
蠕虫病毒的特点

清除难度大
•
•
•
单机病毒可通过删除带毒文件、低级格式化硬盘等措施清除 而网络中只要有一台工作站未能杀毒干净就可能使整个网络重新 全部被病毒感染，甚至刚刚完成杀毒工作的一台工作站马上就能 被网上另一台工作站的带毒程序所传染 仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题 网络中蠕虫病毒将直接影响网络的工作状态 轻则降低速度，影响工作效率 重则造成网络系统的瘫痪，破坏服务器系统资源，使多年的工作 毁于一旦
7
6.2 蠕虫和其他病毒的关系

不采取利用PE格式插入文件的方法

蠕虫复制自身并在因特网中进行传播
普通病毒的传染主要针对计算机内的文件系统

蠕虫传染目标是因特网内所有计算机
•
局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量 存在着漏洞的服务器
蠕虫病毒和普通病毒的区别
8
6.2 蠕虫和其他病毒的关系

蠕虫与木马

共性
•
自我传播，不感染其他文件 木马需要用户上当受骗来进行传播 蠕虫包含自我复制程序，利用所在系统进行传播 蠕虫的破坏目的是纯粹的破坏 耗费网络资源、删除用户数据
传播特性上有微小差别
• •

破坏目的不同
•
•
木马的破坏目的是窃取用户的信息
9
6.3 蠕虫病毒的特性

蠕虫病毒具有自我复制能力 蠕虫病毒具有很强的传播性


蠕虫病毒具有一定的潜伏性
蠕虫病毒具有特定的触发性

蠕虫病毒具有很大的破坏性
10
6.3 蠕虫病毒的特性
蠕虫病毒的特点

传染方式多
•
蠕虫入侵网络的主要途径是通过工作站传播到服务器硬盘中，再 由服务器的共享目录传播到其他的工作站
但蠕虫病毒的传染方式比较复杂
•

传播速度快
• •
在单机上，病毒只能通过软盘从一台计算机传染到另一台计算机 在网络中则可以通过网络通信机制，借助高速电缆进行迅速扩散


22
6.6 目前流行的蠕虫病毒

“好大”病毒及变种

于2004年1月出现，随后多个变种开始传播 通过电子邮件传播，可以导致企业网络出现大规模终断 实际目的是为了控制被感染的计算机 一旦被感染，一台PC可能会与已经被蠕虫感染的20台网络服务器 相连，使得黑客可以下载PC中的文件

对振荡波来说，是通过5554端口的FTP服务来进行传播 最后通过传播文件的特征（123_up.exe）来进一步确认振荡 波的传播
17
•
6.5 蠕虫病毒的检测与防范

定期扫描系统

通常，防病毒软件都能够设置成在计算机每次启动时扫描系统或 定期运行扫描工作

一些程序还可以在连接到因特网上时在后台扫描系统
24

Байду номын сангаас
安哥Worm.Agobot变种



6.1 蠕虫的基本概念

根据攻击对象不同 面向企业用户和局域网
• • • •
利用系统漏洞，主动进行攻击，可以使整个因特网瘫痪 “红色代码”、“尼姆达”、“SQL蠕虫王” 具有很大的主动攻击性，爆发也具有一定的突然性 相对来说查杀较容易

针对个人用户
•
• • •
通过网络（主要是电子邮件、恶意网页）迅速传播 “爱虫”、“求职信” 传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞， 更多的利用社会工程学对用户进行欺骗和诱使 造成的损失非常大，同时很难根除
15
6.5 蠕虫病毒的检测与防范

对未知蠕虫的检测

通用的方法是对流量异常的统计分析 对TCP连接异常的分析 对ICMP数据异常的分析
•
• •
•
在蠕虫的扫描阶段，会随机地或伪随机地生成大量的IP地址进 行扫描，探测漏洞主机 这些被扫描的IP地址中会存在许多空的或者不可达的IP地址 从而在一段时间内蠕虫主机会接收到大量来自不同路由器的 ICMP-T3（目标不可达）数据包 通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发 现，然后隔离分析，并采取相应措施
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念

1982年，Shock和Hupp

根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想


蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播

传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误，进而造成 网络服务遭到拒绝并发生死锁
16
6.5 蠕虫病毒的检测与防范

对已知蠕虫的检测

以Worm.Sasser.b检测为例
•
首先通过对TCP半连接状态的检测发现病毒的扫描行为，发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口（445）的攻击行为，进一步确认感染了蠕虫的主机
•
•
第三步检测蠕虫的自我传播过程

有些电子邮件病毒是利用WSH进行破坏的

预防为主，利用工具进行保护
19
6.6 目前流行的蠕虫病毒

“震荡波”病毒

系统开启上百个线程去攻击其他网上的用户 造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启 其中毒现象非常类似于以前的“冲击波”病毒 病毒利用系统收信邮件地址，疯狂的乱发病毒邮件 大量浪费网络资源，使众多邮件服务器瘫痪 因此让受感染的系统速度变慢 利用邮件疯狂传播，开后门监听 可做为代理服务器或自动下载并执行任意程序
14

攻击



复制

6.4 蠕虫病毒的机理

蠕虫程序常驻于一台或多台计算机中

具有自动重新定位的能力 如果它检测到网络中的某台计算机未被占用，就把自 身的一个拷贝发送给那台计算机 每个程序段都能把自身的拷贝重新定位于另一台计算 机中，并且能够识别出它自己所占用的计算机


当前流行的病毒主要采用一些已公开的漏洞、脚 本以及电子邮件等进行传播
求职信及变种


一种电子邮件蠕虫病毒 它自动向外发送带毒邮件，病毒发作后会感染电脑中的Word文档 和Excel文档，且遭受感染的文档和数据根本无法恢复 同时，该病毒将终止反病毒软件的运行，并将其从电脑中删除
23
6.6 目前流行的蠕虫病毒

冲击波杀手及其变种

利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的 Windows用户 使他们的计算机无法工作并反复重启，大量企业用户也未能幸免 该病毒还引发了DOS攻击，使多个国家的互联网也受到相当影响 出现的故障如：电脑不能正常复制粘贴，系统网络连接数增大， 系统反应奇慢等 利用微软公布的两个漏洞进行传播 病毒运行后会生成病毒文件，修改注册表，终止一些防病毒软件 和防火墙的运行 另外，病毒可通过局域网共享进行传播，并具有后门功能

更新防病毒软件

确保它是最新的

限制邮件附件

禁止运行附件中的可执行文件（.COM、.EXE等），预防DOC、 XLS等附件文档，不要直接运行脚本文件（VBS、SHS）
18
6.5 蠕虫病毒的检测与防范

邮件程序设置

“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能

关闭WSH功能
计算机病毒原理－第六章
蠕虫病毒
2010年10月19
1
6.1 蠕虫的基本概念

1988年

美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数 千台计算机停机，蠕虫病毒开始现身网络 造成几十亿美元的损失 迅速传播并袭击了全球，致使互联网网路严重堵塞 作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览 互联网网页及收发电子邮件的速度大幅减缓 银行自动提款机的运作中断，机票等网络预订系统的运作中断， 信用卡等收付款系统出现故障 造成的直接经济损失至少在12亿美元以上
2

后来的红色代码，尼姆达病毒的疯狂

2003年1月26日，“2003蠕虫王”

Morris

90行程序代码 2小时：

6000台电脑（互联网的十分之一）瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动

病毒的萌芽：
没有企图用蠕虫去破坏数据或文件，但他企图让蠕虫广泛传播
• •
通过网络 电子邮件
5
6.1 蠕虫的基本概念

蠕虫是一种通过网络传播的恶性病毒 具有病毒的共性
•
传播性、隐蔽性和破坏性等 不利用文件寄生（有的只存在于内存中），对网络造 成拒绝服务，以及和黑客技术相结合等 在短短数小时内蔓延至整个因特网，并造成网络瘫痪
6

自己特有的特性
•

在破坏程度上高于普通病毒
12

破坏性强
• • •
6.4 蠕虫病毒的机理

从编程角度来看，蠕虫由两部分组成

主程序
•
• •
一旦在计算机中建立，就开始收集与当前计算机联网的其他计 算机的信息 能通过读取公共配置文件并检测当前计算机的联网状态信息 尝试利用系统的缺陷在远程计算机上建立引导程序 负责把“蠕虫”病毒带到它所感染的每一台计算机中
20

“网络天空”蠕虫病毒



“诺维格”蠕虫病毒

6.6 目前流行的蠕虫病毒

“恶鹰”蠕虫病毒

利用自带的邮件引擎大量发送病毒邮件 可利用局域网和“点对点文件共享工具”进行传播


病毒会在被感染的系统中开启后门，等待黑客连接
大量的病毒邮件不仅影响个人用户，更直接的危害企业的邮件服 务器，可能导致这些邮件服务器出现延迟发信、瘫痪等现象 该病毒可以阻碍网络畅通、使防病毒软件失效、并伪装成著名 MP3播放器的可执行文件使用户感染 中止大量反病毒软件，并用病毒文件替换反病毒软件的主程序， 导致反病毒软件无法使用