计算机病毒原理及防范技术-第6章 其他破坏性程序

计算机病毒原理及防范技术,第6章 其他破坏性程序,6.3 邮件炸弹,6.2 蠕虫,6.1 木马程序,教学要求：,理解：蠕虫的工作原理，邮件炸弹的原理 掌握：木马的定义、特性、基本原理、启动方式及检测方法,蠕虫的定义和工作方式,蠕虫与病毒的区别与联系,6.1 木马程序,木马的全称是“特洛伊木马（Trojan Horse）”，原指古希腊人把士兵藏在木马内进入了特洛伊城，从而占领敌方城市取得战争胜利的故事。 在Internet中，特洛伊木马（也叫黑客程序或后门）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，一旦侵入用户的计算机，就悄悄在宿主计算机上运行，在用户毫无觉察的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。,6.1 木马程序（续）,木马概述 木马是一种基于远程控制的黑客工具，是一种恶意程序，具备计算机病毒的特征，我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播，与计算机病毒相结合，因此，木马程序也可以看做一种伪装潜伏的网络病毒。,6.1 木马程序 （续）,木马的发展历程 世界上第一个计算机木马是出现于1986年的PC-Write木马。这种病毒通过伪装成一个合法性程序诱骗用户上当，故被称作第一代木马 ：伪装型木马。 它伪装成Quicksoft公司发布的共享软件PC-Write的2.72版本（事实上， Quicksoft公司从未发行过PC-Write的2.72版本），一旦用户运行，这个木马程序就会对用户的硬盘进行格式化。 1989年又出现了AIDS木马。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。 由于当时很少有人使用电子邮件， AIDS的制造者竟然利用现实生活中的邮政邮件进行传播。该木马运行后虽然不会破坏用户硬盘中的数据，但是会将用户的硬盘加密锁死，然后提示受感染用户花钱消灾。,6.1 木马程序 （续）,木马的发展历程 计算机网络的发展木马的传播带来了极大的便利。新一代的木马：网络传播性木马兼备伪装和传播两种特征，同时还具有了新的特征： 添加了“后门”功能 后门就是一种可以为计算机系统秘密开启访问入口的程序。后门是一种登录系统的方法，一旦被安装，这些程序就能够使攻击者绕过系统已有的安全设置进入系统。 添加了击键记录功能 该功能主要是记录用户所有的击键内容，并形成击键记录的日志文件发送给攻击者。,6.1 木马程序 （续）,木马的发展历程 该类型木马中比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们都是基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，用户计算机就完全成了黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不仅没有任何秘密可言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候被俘获的傀儡主机就成了黑客进行进一步攻击的挡箭牌和跳板。,6.1 木马程序 （续）,木马病毒的功能 通过木马，黑客可以通过网络从远程对用户电脑进行任意操作，比如删除程序、修改注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象，这对于网络用户来说是极其可怕的。,6.1 木马程序 （续）,木马病毒的功能 就目前出现的木马看，木马大致有以下一些功能： 查看文件系统，修改、删除、获取文件； 查看系统中的进程，启动和停止进程； 截取计算机的屏幕显示，并发给控制端； 控制计算机的键盘、鼠标或其他硬件设备的动作； 以本机为跳板，攻击网络中的其他计算机； 通过网络下载新的病毒文件。 使系统自毁。可以有很多种方法，如改变时钟频率、使芯片热崩溃而损坏、造成系统瘫痪等。,6.1 木马程序 （续）,木马病毒的功能 随着目前国内网络游戏和网上银行的兴起，以盗取网络游戏软件、OICQ、网上银行的登录密码和账号为目的的木马病毒越来越猖獗。 这些木马病毒利用操作系统提供的接口，在后台不停地查找这些软件的窗体，一旦发现登录窗体就会找到窗体中的用户名和密码的输入框，然后窃取输入的用户名和密码。还有的木马会拦截计算机的键盘和鼠标的动作，只要键盘和鼠标被点击，病毒就会判断当前正在进行输入的窗体是否是游戏的登录界面，如果是的话就将键盘输入的数据复制一份。另外，有的木马还会直接拦截网络数据包，窃取数据包中的用户名和密码，并将窃取到用户名和密码信息通过网络发送电子邮件到黑客的邮箱内，用以进行盗窃或网络诈骗。,6.1 木马程序 （续）,木马的特性 隐蔽性 隐蔽性是指木马的设计者为了防止木马被发现，会采用各种手段隐藏木马，使木马在用户不易觉察的情况下完成一些危害用户的操作。 隐蔽性是木马的首要特征，也是区分木马与合法远程控制软件的关键。 非授权性 非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限。,6.1 木马程序 （续）,木马的特性 欺骗性 攻击者通常利用工具软件将木马服务端程序绑定到某个合法软件上，诱使用户运行合法软件，只要用户运行该软件，木马服务端就在用户毫无觉察的情况下完成了安装过程。 自动运行性 木马为了控制服务端，必须在系统启动时跟随启动，所以它通过修改系统配置文件或注册表的方式，在目标计算机启动时即自动运行或加载。,6.1 木马程序 （续）,木马的特性 自动恢复性 现在很多木马程序的功能模块已不再由单一的文件组成，而是具有多重备份，可以相互恢复。计算机一旦感染木马程序，想靠单独删除某个文件来清除木马已经不太可能了。 功能特殊性 通常，木马的功能都是十分特殊的，除了普通的文件操作外，还有些木马具备搜索计算机中的口令、设置口令、扫描IP地址发现中招的计算机、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。,6.1 木马程序 （续）,木马的分类 按照木马程序对计算机的不同破坏方式，可以把现存的木马程序分为以下几类。 远程访问型木马 远程访问型木马是目前最广泛的特洛伊木马。这种木马使用起来非常简单，只需感染了木马程序的计算机运行木马服务端程序，同时获得他们的IP地址，就可以访问他们的计算机。 著名的BO（Back Orifice）、国产的冰河等就是这种类型的木马。,6.1 木马程序 （续）,木马的分类 密码发送型木马 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。 键盘记录型木马 键盘记录型木马记录受害者的键盘敲击，并且在日志文件里做完整的记录。这种木马程序随着操作系统的启动而启动，记录用户在线和离线状态下敲击键盘时的按键情况。,6.1 木马程序 （续）,木马的分类 毁坏型木马 毁坏型木马的惟一功能是毁坏并且删除文件，这使它们非常简单，并且很容易被使用。 FTP型木马 FTP型木马打开被控制计算机的21端口，使网络中的其他用户可以用一个FTP客户端程序而不用密码连接到你的计算机，并且可以进行最高权限的上传下载。,6.1 木马程序 （续）,木马的分类 从本质上讲，木马是一种基于远程控制的工具，类似于远端管理软件，但与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。,6.1 木马程序 （续）,木马原理 木马的结构 木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。如图6.1所示。,图6.1 特洛伊木马的结构,6.1 木马程序 （续）,木马的结构 木马程序 木马程序也被称为服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽。有时该配置功能被集成在控制程序菜单内，不单独作为一个程序。,6.1 木马程序 （续）,木马的结构 控制程序 控制程序控制远程木马服务器。有时，木马配置程序和控制程序集成在一起，统称为控制端（客户端）程序，负责配置服务器，给服务器发送指令，同时接收服务器传送来得数据。因此，一般的木马都是客户/服务器结构。,6.1 木马程序 （续）,值得注意的是，对于木马病毒而言，“服务端”和“客户端”的概念与我们平常所理解的有所不同。在一般的网络环境中，“服务器”往往是网络的核心，由服务器对“客户端”进行访问和控制，决定是否实施网络服务。而木马病毒则恰恰相反，木马病毒的客户端是控制端，扮演着“服务器”的角色，是使用各种命令的控制台，而服务端则是被控制端。,6.1 木马程序 （续）,木马的基本原理 配置木马 一般来说，一个设计成熟的木马都有木马配置程序，主要实现两个功能： 木马伪装，即让木马在服务端尽可能隐藏得更隐蔽； 信息反馈，即设置信息反馈的方式或地址。例如，设置信息反馈的邮件地址、QQ号等。,6.1 木马程序 （续）,木马的基本原理 传播木马 采用各种传播方式，将配置好的木马传播出去。 通过提供软件下载的网站（Web/FTP/BBS）进行传播。 通过OICQ文件发送。 以邮件附件的形式传播。 通过一般的病毒和蠕虫传播。 通过带木马的磁盘和光盘进行传播。,6.1 木马程序 （续）,木马的基本原理 安装和运行木马 受害主机在执行木马程序或携带木马的程序后，木马就自动进行安装。 安装完成后就可以启动木马了，木马程序被激活后，进入内存，开启并监听预先定义的木马端口，准备与控制端建立连接，具体过程如图6.2所示。,6.1 木马程序 （续）,木马的基本原理,图6.2 木马运行的基本过程,6.1 木马程序 （续）,木马的基本原理 信息反馈 信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-mail、QQ、OICQ等方式告知控制端攻击者。 建立连接 一个木马连接的建立必须满足两个条件：一是服务端已经安装了木马程序；二是控制端、服务端都在线。在此基础上，控制端可以通过木马端口与服务端建立连接，从而监控中了木马的计算机。,6.1 木马程序 （续）,木马的基本原理 控制端要与服务端建立连接必须知道服务端的木马端口和IP地址。 获得服务端的IP地址主要有两种方法： 端口扫描 信息反馈。,6.1 木马程序 （续）,木马的基本原理 远程控制 木马连接建立后，控制端端口和服务端端口之间将会建立一条通道，利用木马通道，客户端可以控制服务端的计算机，其功能包括： 远程操作服务端文件。 远程管理服务端进程。 窃取口令。,6.1 木马程序 （续）,木马的基本原理 跟踪服务端屏幕变化，同时模拟键盘及鼠标输入，即在同步服务端屏幕变化的同时，客户端的一切键盘及鼠标操作将反映在服务端屏幕上。 获取服务端的系统信息。 操作服务端的注册表。 发送信息。 点对点通信。,6.1 木马程序 （续）,木马的启动方式 木马驻留在受害者的系统中安装上之后，必须具备自启动功能，这样可以保证木马不会因为用户的一次关机操作而彻底失去作用。 为了能够在用户每次开机时自动加载，它们通常会对Windows系统注册表、win.ini文件、system.ini文件或启动组文件进行修改，常见的自动加载的方法有以下几种。 内置到注册表中 木马可以隐藏在注册表中用于系统启动时自动执行程序的键值中。,6.1 木马程序 （续）,木马的启动方式 潜伏在win.ini中 win.ini是比较重要的系统文件，它有两个重要的加载项：“run=”和“load=”，它们分别担负着系统启动时自动运行和加载程序的功能。一般情况下命令行load=和run=后面是空白的，有些木马会在此处添加其文件名 。 在system.ini中藏身 对system.ini内boot子项中的shell=文件名进行设置。一般情况该文件名是explorer.exe，有些木马会将此文件名改为木马程序名 。,6.1 木马程序 （续）,木马的启动方式 修改文件关联 修改文件关联键HKEY_LOCAL_MACHINESoftwareClasses文件类型shellopencommand和HKEY_CLASSES_ ROOT文件类型shellopencommand下的键值。 隐形于启动组中 启动组对应的文件夹为：C:windowsstartmenuprogramsstartup，在注册表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVerionExplorerShellFoldersStartup=“ C:windowsstartmenuprogramsstartup“。,6.1 木马程序 （续）,木马的启动方式 捆绑到其他程序中 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户利用一种称为文件捆绑机的工具（如exe-bingder）将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 在Autoexec.bat和Config.sys中加载运行 这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。,6.1 木马程序 （续）,木马的启动方式 在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。 隐藏在应用程序的启动配置文件中 木马控制端利用应用程序的启动配置文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的。 设置在超链接中 木马的主人在网页上放置恶意代码，诱使用户点击超链接安装木马。,6.1 木马程序 （续）,木马的隐藏性 为了获取未授权的服务，木马通常具有很强的隐蔽性。木马常用的隐藏手段有以下几种： 在任务栏里隐藏 在任务栏中隐藏自己，这是最基本的隐藏方。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。,6.1 木马程序 （续）,木马的隐藏性 进程隐蔽 为了能在任务管理器中隐形，木马通常将自己注册为系统服务。 将自己伪装成系统文件 木马程序会想方设法将自己伪装成“不起眼”的文件或“正规”的系统文件，并把自己隐藏在系统文件夹中，与系统文件混在一起。,6.1 木马程序 （续）,木马的隐藏性 冒充为图像文件 修改木马程序的图标为jpg等文件的图标，达到伪装迷惑的目的。 捆绑欺骗 很多入侵者利用文件捆绑工具将木马程序和其他程序捆绑在一起，运行时这两个文件可以同时运行，但前台只能看见一个程序。,6.1 木马程序 （续）,木马的隐藏性 利用端口隐藏 每台计算机都默认有65536个端口，其中常规端口在01023，由于占用常规端口会造成系统异常而引起用户警觉，因此，木马常将自己隐藏在1024以上的高端端口中。 “穿墙术” 病毒启动后会释放一个动态库文件，然后将这个动态库文件插入系统的进程体内运行，而病毒的绝大部分功能全部包括在这个动态库中，之后病毒的进程退出。这样在系统中就找不到病毒进程了，但实际上很多的系统进程内都有病毒模块在运行。这种病毒连防火墙都无法防范，这就是俗称的“穿墙术”。,6.1 木马程序 （续）,典型木马实例 本节以冰河为例，试图剖析木马的基本原理。 冰河简介 冰河属于远程控制类木马，由服务端和客户端两部分组成。服务端运行在网络中的某台主机上，等待与网络上的冰河客户端连接，然后根据客户端的命令对运行冰河服务端的计算机进行破坏。图6.5所示为“冰河”客户端的界面。,6.1 木马程序 （续）,冰河简介,图6.5 “冰河”客户端的界面,6.1 木马程序 （续）,冰河的分析 分析的基本工具 Regsnap：用户报告注册表及其他与文件系统有关项目的修改变化情况。 Fport：用于监视系统所开放的端口。 Pslist：用于监视系统中正在运行的进程。,6.1 木马程序 （续）,冰河的分析 分析过程 装冰河服务端之前： 用Regsnap保存当前的注册表为文件regbefore.rgs。 用Pslist记录当前系统中运行的进程为文件psbefore.txt。 用Fport记录当前系统中开的端口为文件fpbefore.txt。 装冰河服务端之后： 用Regsnap保存现在的注册表为文件regafter.rgs。 用Pslist记录现在系统中运行的进程为文件psafter.txt。 用Fport记录现在系统中开的端口为文件fpafter.txt。,6.1 木马程序 （续）,冰河的分析 比较regbefore.rgs和regafter.rgs发现注册表的修改情况如下： 修改键值三个： HKEY_CLASSES_ROOTtxtfile shellopencommand 旧值：C:WINDOWS Notepad.exe %1 新值：C:WINDOWSsystem32 Sysexplr.exe %1。 HKEY_LOCAL_ MACHINE softwaremicrosoftWindowsCurrent VersionRun 旧值： 新值：String：“C:Windowssystem32 Kernel32.exe” HKEY_LOCAL_ MACHINE softwaremicrosoftWindowsCurrent VersionRunservices 旧值： 新值：String：“C:Windowssystem32 Kernel32.exe”。,6.1 木马程序 （续）,冰河的分析 新增文件两个： 在目录C:Windowssystem32下新增两个文件：Kernel32.exe和Sysexplr.exe。 通过比较psbefore.txt和psafter.txt发现新增1个进程： Name Pid Pri Thd Hnd Priv Kernel32 1584 8 3 62 2052 通过比较fpbefore.txt和fpafter.txt发现新增1个端口： Pid Process Port Proto Path 1584 Kernel32 7626 TCP C:Windowssystem32 Kernel32.exe,6.1 木马程序 （续）,冰河的清除办法 清除HKEY_LOCAL_MACHINE software microsoft WindowsCurrentVersionRun和HKEY_LOCAL_ MACHINE softwaremicrosoftWindowsCurrent VersionRunservices的键值； 恢复注册表中的TXT文件关联功能。将注册表的HKEY_CLASSES_ROOTtxtfile shellopencommand下的默认值，由中木马后的C:WINDOWSsystem32 Sysexplr.exe %1改为正常情况下的C: WINDOWS Notepad.exe %1； 删除C:Windowssystem32下的Kernel32.exe和Sysexplr.exe文件。,6.1 木马程序 （续）,木马的预防和清除 中木马后常出现的状况 浏览网站时弹出一些广告窗口是很平常的事情，但是，如果用户根本没有打开浏览器，而浏览器突然自己打开，并且进入了某个网站，那么，就要怀疑是否中了木马。 Windows系统配置经常被莫名其妙地自动更改。 正在操作计算机，突然一个警告框或者询问框弹出来，问一些用户从未在计算机上接触过的问题。 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输。 拨号上网用户离线操作计算机时，突然弹出拨号对话框。,6.1 木马程序 （续）,木马的预防和清除 木马的预防 定期查杀木马 不要轻易打开不熟悉的邮件 不要轻信他人 将Windows资源管理器配置成始终显示扩展名 尽量少用共享文件夹 隐藏IP地址,6.1 木马程序 （续）,木马的检测 检查计算机是否中了木马的常用方法有以下几种： 端口扫描：端口扫描是检查远程计算机有无木马的最好办法。 查看连接：查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat-a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快。 查看进程/内存模块：为了能发现DLL木马，我们必须能查看内存中运行的DLL模块。 检查注册表 查找文件：查找木马特定的文件也是一种常用的方法。 杀病毒/木马软件：采用抗病毒软件，检测计算机中是否存在木马。,6.1 木马程序 （续）,木马的清除 如果发现感染上木马程序，最有效也是最安全的方法是马上断开网络连接，防止黑客通过网络对计算机进行探测或攻击。 然后，从木马自启动中寻找踪迹，如启动组、win.ini、system.ini、注册表等都是木马藏身的好地方。 其次，找到木马的启动方式后，从中提出木马运行的关键文件，并删除这些文件。对使用文件关联技术的木马，需特别小心，注意清除步骤。 最后，更改注册表中木马曾经修改过的键值。,6.2 蠕虫,蠕虫的定义 蠕虫（Worm）这个生物学名词于1982年由Xeror PARC的John F.Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。 1988年“Morris蠕虫”爆发后，Eugene H.Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上”。,6.2 蠕虫 （续）,蠕虫与病毒之间的区别与联系 1988年“Morris蠕虫”爆发后，Eugene H.Spafford为了区分蠕虫和病毒，将病毒的含义作了进一步的解释：“计算机病毒是一段代码，能把自身加到其他程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它” 。而蠕虫最大的特点就是利用各种安全漏洞进行自动传播。因此，蠕虫在严格意义上不是计算机病毒，蠕虫与狭义的计算机病毒存在本质上的差别，这种差别在早期尤为明显。但现如今，两种技术的融合，使二者之间的界限越来越模糊。,6.2 蠕虫 （续）,蠕虫与病毒之间的区别与联系,表6.5病毒和蠕虫的主要区别,6.2 蠕虫 （续）,蠕虫的分类 根据蠕虫的传播、运作方式，可以将蠕虫分为两类：主机蠕虫与网络蠕虫。 主机蠕虫 主机蠕虫的所有部分均包含在其所运行的计算机中，它们利用网络连接仅仅是为了将其自身拷贝到其他计算机中。对主机蠕虫而言，将自己拷贝到另外一台计算机后，原来的主机蠕虫就自行终止。因此，在某一时刻，只有一个蠕虫的拷贝在运行。这种蠕虫有时也称作“兔子（Rabbit）” 网络蠕虫 网络蠕虫由许多部分（Segment，也称为段）组成，每一个部分运行在不同的计算机中（可能执行不同的动作），并且使用网络的目的是为了进行各部分之间的通信以及传播。将一个segment从一台计算机传播到另一台计算机，只是这些目的中的一个。网络蠕虫具有一个主segment，该主segment用于协助其他segment的运行。这些蠕虫有时也称作“章鱼（Octopus）”。,6.2 蠕虫 （续）,蠕虫与漏洞 网络蠕虫的最大特点就是利用各种漏洞进行自动传播。根据网络蠕虫所利用漏洞的不同，又可以将其细分为邮件蠕虫、网页蠕虫和系统漏洞蠕虫。 邮件蠕虫 邮件蠕虫主要是利用MIME（Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议）漏洞。,6.2 蠕虫 （续）,蠕虫与漏洞 网页蠕虫 网页蠕虫主要利用IFrame漏洞和MIME漏洞。 系统漏洞蠕虫,6.2 蠕虫 （续）,蠕虫的工作原理 蠕虫的实体结构 通过对多个蠕虫程序的分析，可以粗略的把蠕虫程序的实体结构分为如下的六个部分，具体的某个蠕虫可能是由其中的几部分组成。 未编译的源代码 已编译的链接模块 可运行代码 脚本 受感染系统上的可执行程序 信息数据,6.2 蠕虫 （续）,蠕虫的工作原理 蠕虫的功能结构 蠕虫程序在功能上可分为基本功能模块和扩展功能模块。 基本功能模块 扫描模块：寻找下一个要传染的计算机。 攻击模块：在被感染的计算机上建立传输通道（传染途径）。 传输模块：计算机之间的蠕虫程序复制。 信息搜集模块：搜集和建立被传染计算机上的信息。 繁殖模块：建立自身的多个副本。在同一台计算机上提高传输效率、判断避免重复传输。,6.2 蠕虫 （续）,蠕虫的工作方式 蠕虫的工作方式一般是“扫描攻击复制”，如图6.8 所示。,图6.8 蠕虫的工作方式,6.2 蠕虫 （续）,蠕虫的工作方式 搜索扫描 由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播（攻击）的对象。 攻击 攻击模块按漏洞攻击步骤自动攻击步骤（1）中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell，对Windows 2000来说就是cmd.exe，得到这个shell后就拥有了对整个系统的控制权。 复制 繁殖模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。,6.2 蠕虫 （续）,蠕虫的扫描策略 现在流行的蠕虫采用的传播技术目标一般是：尽快地传播到尽量多的计算机中。因此扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机逐一进行扫描。 改进的扫描策略一般是：（1）在IP地址段的选择上，主要针对当前主机所在的网段扫描，对外网段则随机选择几个小的IP地址段进行扫描；（2）对扫描次数进行限制，只进行有限次扫描；（3）把扫描分散在不同的时间段进行。,6.2 蠕虫 （续）,蠕虫的扫描策略 扫描策略设计的原则有三点： 尽量减少重复的扫描，使扫描发送的数据包总量减少到最小； 保证扫描覆盖到尽量大的范围； 处理好扫描的时间分布，使得扫描不要集中在某一时间内发生。怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析，甚至需要试验验证。,6.2 蠕虫 （续）,蠕虫的行为特征 利用系统、网络应用服务漏洞主动攻击 由于不受宿主程序的限制，蠕虫病毒可以利用操作系统和网络应用服务的各种漏洞进行主动攻击。 行踪隐蔽 由于在蠕虫的传播过程中，不像病毒那样需要计算机使用者的辅助工作（如执行文件、打开文件、阅读信件、浏览网页等），所以在蠕虫传播的过程中，计算机使用者基本上不可察觉。,6.2 蠕虫 （续）,蠕虫的行为特征 造成网络拥塞 蠕虫进行传播的第一步就是找到网络上其他存在漏洞的计算机系统，这需要通过大面积的搜索来完成。 同时，蠕虫副本在不同机器之间传递，或者向随机目标发出的攻击数据都不可避免地会产生大量的网络数据流量。 消耗系统资源 蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降，这对网络服务器的影响尤其明显。,6.2 蠕虫 （续）,蠕虫的行为特征 产生安全隐患 大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等)，并在系统中留下后门。这些都会导致未来的安全隐患。 与黑客技术相结合 与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。,6.2 蠕虫 （续）,蠕虫实例 本节以“冲击波清除者”为例，试图分析蠕虫的的基本原理。 “冲击波清除者”简介 2003年，持续时间最长、传播范围最广的是“冲击波（Worm.MSBlast）”及其变种“冲击波清除者（MSBlast.Remove.Worm/W32）”蠕虫。 8月11日，“冲击波”蠕虫一出现就在全球迅速传播，并且由于遭受该蠕虫感染会严重影响用户的一些基本应用，所以产生了很大的社会影响。 但是，8月18日爆发的“冲击波清除者”蠕虫，却给互联网带来更大的冲击。该蠕虫利用Windows RPC DCOM漏洞（MS03-026）及Windows IIS WEBDAV（MS03-07）作为感染攻击手段，并通过TFTP（UDP69简单文件传输协议）下载病毒体到被感染计算机中。,6.2 蠕虫 （续）,“冲击波清除者”概述 其感染目的是清除冲击波蠕虫并分别为Windows 2000、Windows XP的韩文系统、繁文中文系统、简体中文系统、英文系统下载和安全Windows RPC DCOM（MS03-026）安全补丁，而且该蠕虫还具有定时自毁功能。 显然作者的目的还是有一定的善意因素的，但正是这个蠕虫，导致互联网持续三个多月的性能下降。由于该蠕虫为了探测其传播的目标机器是否处于活动状态，发送大量ICMP回应请求报文，造成这种短小的ICMP报文流量剧增，从而对网络设备的性能造成比较严重的影响，使得大量互联网用户上网速度下降。,6.2 蠕虫 （续）,“冲击波清除者”概述 感染途径 蠕虫体被运行后，蠕虫会在%System%wins文件夹中复制一个蠕虫体拷贝（DLLHOST.EXE），然后蠕虫会新建一个服务，服务名为“RpcPatch”，显示名称为“WINS Client”，可执行文件的路径为%System%wins DLLHOST.EXE，大小为10KB，服务启动属性为自动运行（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有6KB）。随后，蠕虫会把TFTPD.EXE拷贝到%System%wins目录下面取名为SVCHOST.EXE，建立一个服务，服务名称为“RpcTftpd”，显示名称为“Network Connections Sharing”，可执行文件的路径为%System%winsSVCHOST.EXE，服务启动属性为自动运行（注意：系统目录里也有一个SVCHOST.EXE文件，但它是正常文件，大小为7952B）。 当系统重新启动的时候，以上两个服务启动触发蠕虫运行。该蠕虫以系统服务形式启动，这与MSBlast病毒所使用的注册表RUN键值启动有所不同。,6.2 蠕虫 （续）,“冲击波清除者”概述 蠕虫的特点 杀除冲击波蠕虫 这个蠕虫的一个重要特点是会在系统中寻找冲击波蠕虫的进程，如果找到就会把冲击波的进程停掉，Sleep 5秒后查找系统目录下是否有冲击波病毒体，如果发现立即删除。 下载补丁 从微软网站上下载相应的PRC DCOM（MS03-026）的补丁程序并且安装 。 会删除自身 蠕虫会在删除完冲击波后开始检查系统时间，当系统设置的年份为2004年时，把自己从系统中删除掉，也对应了这个作者在代码中的一句留言“Notice:2004 will remove myself:-)”。,6.2 蠕虫 （续）,“冲击波清除者”概述 清除方法 安装补丁。 首先暂时禁用DCOM 。 连上网络下载安装补丁，但是在安装完补丁之后，最好再启用DCOM 。 点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。这样就启动了命令提示符。在其中键入： net stop RpcPatch net stop RpcTftpd,6.2 蠕虫 （续）,“冲击波清除者”概述 删除%systemroot%system32winssvchost.exe和%systemroot%system32winsdllhost.exe。 点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中删除键： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcTftpd HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcPatch 重新启动系统。,6.2 蠕虫 （续）,蠕虫的防治 计算机蠕虫防治的方案可以从两个角度来考虑： 一是从它的实体结构来考虑，如果破坏了它的实体组成的一个部分，则破坏了它的完整性，使其不能正常工作，从而达到阻止它传播的目的； 二是从它的功能组来考虑，如果使其某个功能组成部分不能正常工作，也同样达到了阻止它传播的目的。,6.2 蠕虫 （续）,蠕虫的防治 修补系统漏洞 分析蠕虫行为 重命名或删除命令解释器（Interpreter） 防火墙（Firewall） 公告 更深入的研究,6.3 邮件炸弹,邮件炸弹的概述 邮件炸弹指的是邮件发送者利用特殊的电子邮件软件，在很短的时间内连续不断地将邮件发送给同一个收信人，在这些数以千万计的大容量信件面前，收件箱最终会不堪重负而 “爆炸身亡”。 我们往往会把邮件炸弹与邮件Spaming混淆，其实这两者实质不尽相同。Spaming指的是发件者在同一时间内将同一电子邮件寄出给千万个不同的用户（或寄到新闻组），主要是一些公司用来宣传其产品的广告方式，这种方式一般不会对收件人造成太大的伤害。,6.3 邮件炸弹（续）,邮件炸弹的原理 邮件炸弹的原理比较简单，在一定时间内给某一个用户或某一邮件服务器发送大量的邮件，其中，邮件的长度可能较大，从而使得用户的邮箱被炸掉，或者降低邮件服务器的效率，最终使得邮件服务器瘫痪。 邮件炸掉可以分为两类：一类是仅炸邮件服务器上的某个用户的邮箱，使得该用户邮箱被关闭，以后发生给该用户的邮件便成了垃圾；另一类是炸邮件服务器，使得服务器在短时间内无法处理大量的邮件，轻则导致服务器的性能下降，并可能产生轻度的拒绝服务，重则导致死机或关机。,6.3 邮件炸弹（续）,邮件炸弹的原理 邮件炸弹本质上是一种拒绝服务攻击，拒绝服务的原因有几种： 网络连接过载； 系统资源耗尽； 大量邮件和系统