第2章典型恶意代码 恶意代码防范课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全工程学院
School of Information Security Engineering
蠕虫病毒实例
MSN蠕虫病毒 1. 基本特征:
• 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等
。
信息安全工程学院
School of Information Security Engineering
2.行为分析:
• (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到C 盘根目录,并将它拷贝到%system%目录下,文件名为 winhost.exe。然后,将文件属性设置为隐藏、只读 、系统,同时将该文件创建时间改成同系统文件日期 一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随机 生成一个文件,扩展名为PIF或EXE等,该文件用来向 MSN好友传播。此外,病毒还会在%system%目录下生 成msnus.exe,该文件为蠕虫自身拷贝。
Infected disk (replaced boot/MBR)
0
1
2
XXXXX
……(sector No) …… XXXXX ……
病毒的首部
BS or MBR 病毒的尾部
Infected disk (modified address of active boot sector)
0
1
2
……(sector No)
……X
XXXXX XXXX ……
病毒地址
病毒
信息安全工程学院
School of Information Security Engineering
文件型病毒
主要以感染可执行文件为主
• EXE、COM等 • 修改可执行文件的头部信息
实例:CIH、DIRII等病毒
DOS-COM
DOS-EXE
JMP Program code/data Virus
启动
无毒文件.doc
Normal.dot
激活病毒
Normal.dot
信息安全工程学院
School of Information Security Engineering
2 蠕虫
提出:蠕虫这个名字的由来已久。在1982年, Shock和Hupp根据《The Shockwave Rider》一书 中的概念提出了一种“蠕虫(Worm)”程序的思想 。
蠕虫的工作机理
蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。
• 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。
• 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。
当前流行的病毒主要采用一些已公开漏洞、脚本 、电子邮件等机制进行传播。例如,IRC, RPC 等漏洞。
• Word.concept 自95年8月起荣登传染冠军
实例:美丽莎 (Melissa)、台湾(TaiWan NO.1)、 O97M.Tristate.C等宏病毒。 流行的原因
• 感染的对象主要为Microsoft Word和Execl等日常工作中应用频 繁的office文档
• 容易编写,易学,功能强大 • 不受操作系统的限制
大家留下了不可磨灭的印记。
信息安全工程学院
School of Information Security Engineering
蠕虫的特征
蠕虫(Worm)是恶意代码的一种,它Hale Waihona Puke Baidu传播通常不 需要所谓的激活。 共性:传播性、隐蔽性、破坏性 独特之处:
• 不利用文件寄生 • 对网络造成拒绝服务 • 黑客技术相结合
• Mac,Win3.x,Win9X, WinNT, Win2K, WinXP • 传统观念以为“只有可执行文件才会被病毒感染”,通常不交换
程序,而只交换数据
信息安全工程学院
School of Information Security Engineering
宏病毒工作机理
有毒文件.doc
激活autoopen宏 写入
1896
1920
1987
2006
典型恶意代码
刘功申 上海交通大学信息安全工程学院
本章学习目标 熟悉各种类别的恶意代码 了解世界前沿的恶意代码
信息安全工程学院
School of Information Security Engineering
主要内容
普通计算机病毒 蠕虫 特洛伊木马 恶意脚本 流氓软件 逻辑炸弹 后门 僵尸网络
Header Program code/data 病毒入口 Virus
病毒感染文件
New EXE
DOS stub NE-Header Program code/data Virus 病毒入口
信息安全工程学院
School of Information Security Engineering
宏病毒
宏病毒是在网络蠕虫出现之前,最广为流行的病毒
实现:1988年,康乃尔大学的莫里斯实现了“蠕 虫”并送进了美国最大的电脑网络——互联网。 1988年11月2日下午5点,互联网的管理人员首次 发现网络有不明入侵者。当晚,从美国东海岸到 西海岸,互联网用户陷入一片恐慌。
爆发:2000年后,蠕虫进入爆发期。“冲击波”
、“震荡波”、“红色代码”、“尼姆达”等给
引导区病毒
通过感染磁盘上的引导扇区(BR)或改写磁盘分区表 (FAT)来感染系统。开机即可启动的病毒,先于操作系统 而加载。
实例:Stone、Brain、Pingpang、Monkey等。
uninfected disk
0
1
2
……(sector No)
……
……
Boot sector or Master Boot Record
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
蠕虫和普通病毒的区别及联系
存在形式 传染机制 传染目标
普通病毒 寄存文件 宿主程序运行 本地文件
蠕虫病毒 独立程序 主动攻击 网络计算机
信息安全工程学院
School of Information Security Engineering
School of Information Security Engineering
蠕虫病毒实例
MSN蠕虫病毒 1. 基本特征:
• 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等
。
信息安全工程学院
School of Information Security Engineering
2.行为分析:
• (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到C 盘根目录,并将它拷贝到%system%目录下,文件名为 winhost.exe。然后,将文件属性设置为隐藏、只读 、系统,同时将该文件创建时间改成同系统文件日期 一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随机 生成一个文件,扩展名为PIF或EXE等,该文件用来向 MSN好友传播。此外,病毒还会在%system%目录下生 成msnus.exe,该文件为蠕虫自身拷贝。
Infected disk (replaced boot/MBR)
0
1
2
XXXXX
……(sector No) …… XXXXX ……
病毒的首部
BS or MBR 病毒的尾部
Infected disk (modified address of active boot sector)
0
1
2
……(sector No)
……X
XXXXX XXXX ……
病毒地址
病毒
信息安全工程学院
School of Information Security Engineering
文件型病毒
主要以感染可执行文件为主
• EXE、COM等 • 修改可执行文件的头部信息
实例:CIH、DIRII等病毒
DOS-COM
DOS-EXE
JMP Program code/data Virus
启动
无毒文件.doc
Normal.dot
激活病毒
Normal.dot
信息安全工程学院
School of Information Security Engineering
2 蠕虫
提出:蠕虫这个名字的由来已久。在1982年, Shock和Hupp根据《The Shockwave Rider》一书 中的概念提出了一种“蠕虫(Worm)”程序的思想 。
蠕虫的工作机理
蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。
• 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。
• 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。
当前流行的病毒主要采用一些已公开漏洞、脚本 、电子邮件等机制进行传播。例如,IRC, RPC 等漏洞。
• Word.concept 自95年8月起荣登传染冠军
实例:美丽莎 (Melissa)、台湾(TaiWan NO.1)、 O97M.Tristate.C等宏病毒。 流行的原因
• 感染的对象主要为Microsoft Word和Execl等日常工作中应用频 繁的office文档
• 容易编写,易学,功能强大 • 不受操作系统的限制
大家留下了不可磨灭的印记。
信息安全工程学院
School of Information Security Engineering
蠕虫的特征
蠕虫(Worm)是恶意代码的一种,它Hale Waihona Puke Baidu传播通常不 需要所谓的激活。 共性:传播性、隐蔽性、破坏性 独特之处:
• 不利用文件寄生 • 对网络造成拒绝服务 • 黑客技术相结合
• Mac,Win3.x,Win9X, WinNT, Win2K, WinXP • 传统观念以为“只有可执行文件才会被病毒感染”,通常不交换
程序,而只交换数据
信息安全工程学院
School of Information Security Engineering
宏病毒工作机理
有毒文件.doc
激活autoopen宏 写入
1896
1920
1987
2006
典型恶意代码
刘功申 上海交通大学信息安全工程学院
本章学习目标 熟悉各种类别的恶意代码 了解世界前沿的恶意代码
信息安全工程学院
School of Information Security Engineering
主要内容
普通计算机病毒 蠕虫 特洛伊木马 恶意脚本 流氓软件 逻辑炸弹 后门 僵尸网络
Header Program code/data 病毒入口 Virus
病毒感染文件
New EXE
DOS stub NE-Header Program code/data Virus 病毒入口
信息安全工程学院
School of Information Security Engineering
宏病毒
宏病毒是在网络蠕虫出现之前,最广为流行的病毒
实现:1988年,康乃尔大学的莫里斯实现了“蠕 虫”并送进了美国最大的电脑网络——互联网。 1988年11月2日下午5点,互联网的管理人员首次 发现网络有不明入侵者。当晚,从美国东海岸到 西海岸,互联网用户陷入一片恐慌。
爆发:2000年后,蠕虫进入爆发期。“冲击波”
、“震荡波”、“红色代码”、“尼姆达”等给
引导区病毒
通过感染磁盘上的引导扇区(BR)或改写磁盘分区表 (FAT)来感染系统。开机即可启动的病毒,先于操作系统 而加载。
实例:Stone、Brain、Pingpang、Monkey等。
uninfected disk
0
1
2
……(sector No)
……
……
Boot sector or Master Boot Record
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
信息安全工程学院
School of Information Security Engineering
蠕虫和普通病毒的区别及联系
存在形式 传染机制 传染目标
普通病毒 寄存文件 宿主程序运行 本地文件
蠕虫病毒 独立程序 主动攻击 网络计算机
信息安全工程学院
School of Information Security Engineering