计算机病毒概述

计算机病毒概述

2011年5月

1

内容

•计算机病毒概述

•网络蠕虫

2

相关法律法规

•《刑法》第286条第3款规定，制作、传播计算机病毒等破坏性程序

罪是指故意制作、传播计算机病毒等破坏性程序，影响计算机系统

正常运行，后果严重的行为。

•《中华人民共和国计算机信息系统安全保护条例》故意输入计算机

病毒以及其他有害数据危害计算机信息系统安全的，或未经许可销

售计算机信息系统安全专用产品的，由公安机关处以警告或者对个

人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法

所得的除予以没收外可以处以违法所得1至3倍的罚款。

•《互联网信息服务管理办法》（国务院292号令）第十四条从事新

闻出版以及电子公告等服务项目的、互联网信息服务提供者，应当

记录提互供的信息内容及其发布时间、互域名联地址；互联网接入

服务提供者应当记录上网用户的上网时间、用户帐号、联网地址或

者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接

入服务提供者的记录备份应当保存60日，并在国家有关机关依法查

询时，予以提供。

3

注意！！！

陟在校园网或因特网上故意输入计算机病毒的，

责任自负。

够与本课程学习相关的操作内容都应在特定环境

中进行，并采取安全措施。

4

、计算机病毒概述

•计算机病毒在信息安全中的地位

•计算机病毒的概念和起源

•计算机病毒的产生背景

•计算机病毒的分类

•计算机病毒的命名方法

•计算机病毒的生命周期

•计算机病毒的传播途径

5

LI计算机病毒在信息安全中地位

6

我国网络发展状况（CNNIC）

cruic关于CHNIC|下载中心|诚聃英才|

中国互联网络信息中心

ChinahteretNetworkInformationCenter

首页关于我们动态与公告基础资源服务发展研究科技创新交流与合作

C晚名|中文域名|IP/AS分配|可信服务器证书|通用网址|无线网址|可信网站验证

V动态与公告首页>动态与公告>动态公告［字号：大中小：母

动态公告

CNNIC发布《笫27次中国互联网络发展状况统计报告》

媒体报道

专题报道

出版物

网民规模已超4.5亿电子商务应用“领跑”网络安全形势严峻

服务运行报告

2。11年1月19日，中国互联网络信息中心（CHNIC）在京发布了《第27次中国互联网络发展状况统计报告》（以下简

称《报告》）.

《报告》显示，截至2010年12月底，我国网民规模达到4.57亿，较2009年底增加7330万人；我国手机网民规模达

3.03亿，侬然是拉动中国总体网民规模攀升的主要动力，但用尸手机网民增幅较2009年趋缓；最引人注目的是，网络购

物用户年增长48.6%,是用户增长最快的应用，预示着更多的经济活动步入互联网时代.

网民煤模突破4.5亿大关上网设备呈多元化发展

报告摘要

◊截至2010年12月，中国网民规模达到4.57亿，较2009年底增加7330万人：互联网

普及率攀升至34.3%,较2009年提高5.4

◊宽带网民规模为4.5亿，有线（固网）用

◊我国手机网民规模达393亿，较2009年

的比例进一步提高，从2009年末的60.82

◊农村网民规模达到1.25亿，占整体网民外

O30岁以上各年龄段网民占比继续上升，从

网民增加明显，占比从26.8%提升到328

下降到35.7%,降低了4.5个百分点。

图1中国网民规模与普及率

O网民在家上网的比例仍显著高「•其他地点,FJjr■♦71・r2。uu，一J-J、-v~uui

学校上网的网民分别有35.7%、33.7%和23.2%,还有16.1%的网民在公共场所上网。

O网民的上网工具更加多元，各类上网设备使用率普遍上升。使用台式电脑上网的网民

有78.4%,仍然居于首位.使用手机和第记本电脑上网的网民分别为66.2%和45.7%。

O我国网民平均每周上网时长为18.3个小时。

◊截至2010年12月，我国IPv4地址数量达到2.78亿，预计2011年2月IPv4地址将最

终分发完毕，IPv4向IPv6的全面转换更加紧迫。

O2010年，我国域名总数下降为866万，其中CN域名435万。网站数量下降到191万8

个，CN下网站为113万个，占网站整体的59.5%。

表13200912—2010.12各类网络应用使用率

2010年2009年

应用用户规模（万）使用率用户规模（万）使用率增长率

搜索引擎3745381.9%t2813473.3%33.1%

网络音乐3621879.2%13207483.5%12.9%

网络新闻3530477.2%13076980.1%14.7%

即时通信3525877.1%t2723370.9%29.5%

网络游戏3041066.5%I2645468.9%15.0%

博客应用2945064.4%t2214057.7%33.0%

网络视软2839862.1%I2404462.6%18.1%

电子邮件2496954.6%I2179756.8%14.6%

社交网站2350551.4%t1758745.8%33.7%

网络文学1948142.6%t1626142.3%19.8%

网络购物［

1605135.1%t1080028.1%48.6%

论坛/BBS1481732.4%f1170130.5%26.6%

网上银行1394830.5%t941224.5%48.2%

网上支付■13719.30.0%t.9406.24.5%45.9%

网络炒股708815.5%f567814.8%24.8%

微博客631113.8%一一一

施行颈订36137.9%-30247.9%19.5%

团购18754.10%———

随着政府对网络安全问题集中治理力度的不断加大，我国的基础网络安全问题有了明

显的改善。2010年，遇到过病毒或木马攻击的网民比例为45.8%,较2009年下降了108个

百分点，人数也从2.17亿减少为299亿人，减少了近800万人。

■遇到过■没彳1

图51半年内是否遇到病毒或木马攻击

10

总体而言，中小企业互联网安全防护总体水平较高。安装杀毒软件是中小企业互联网安

全保护最主要的措施，在接入互联网的中小企业中，有9L7%的中小企业安装了杀毒软件;

有76.5%的中小企业加装防火墙；仅54%中小企业未采取任何安全防范措施。

100%

91.7%

11

网络中面临安全威胁

恶意代码

垃圾邮件

蠕虫与病毒

WEBPAGETAMPER

I

网络钓鱼网页篡改网络嗅探

DDoS攻击12

计算机病毒传播的主要途径

■2001

■2002

□2003

■2004

□2005

■2006

■2007

■2008

□2009

我国2009年统计（国家计算机病毒应急处理中心）

13

计算机病毒造成破坏的后果

■2003

■2004

□2005

■2006

i2007

■2008

■2009

14

15

1.2计算机病毒的概念

人为的、恶意的代码

《中华人民共和国计算机信息系统安全保护条

例》中的定义为：

“计算机病毒是指编制或者在计算机程序

中插入的破坏计算机功能或者数据，影响计算

机使用并且能够自我复制的一组计算机指令或

者程序代码”

©计算机病毒是借用了生物病毒的概念。

在生物界，“病毒”是指那些能够侵入动物体

内并给动物带来疾病的“病原体”，其最大特

点为传染性和危害性。

㊁计算机病毒同生物病毒一样，它是能够侵入

计算机系统或网络，危害其正常工作的“病原

体”。

17

从广义上讲——凡能够引起计算机故障，破坏

计算机数据的程序统称为计算机病毒。依据此

定义，诸如恶意代码、蠕虫、木马等均可称为

计算机病毒。

在国内外，专家和研究者对计算机病毒也做过

不尽相同的定义，但一直没有公认的明确定

义。

18

几种有代表性病毒定义

®弗雷德・科恩博士在《计算机与安全》上的论

文中定义为：计算机病毒是一个能传染其他程

序的程序，病毒是依靠修改别的程序，并把自

身拷贝、嵌入其他程序而实现传染的。

㊁美国国家计算机安全中心出版的《计算机安全

术语汇编》定义为：计算机病毒是一种

殖的特洛伊木马，它由任务部分、触发部分、

自我繁殖部分组成。

19

计算机病毒的特征::

破坏性

传染性一►算机病毒，—隐霰（潜伏）性

/、

寄生性触发性

非法性、衍生性、不可预见性……

20

13计算机病毒的发展历史

®一种说法认为计算机病毒来源于早期的特洛伊

木马程序

@借用古希腊传说中特洛伊战役中木马计故事：

特洛伊王子在访问希腊时，诱走希腊王

后，因此希腊人远征特洛伊，9年围攻不下。

第十年，希腊将领献计，将一批精兵藏在一巨

大的木马腹中，放在城外，然后佯作撤兵，特

洛伊人以为敌人已退，将木马作为战利品推进

城去，当夜希腊伏兵出来，打开城门里应外合

攻占了特洛伊城。

21

《特洛伊木马》电影图片

22

现象1：QQ、MSN的异常登录提醒，你在登录

QQ时，系统提示上一次的登录IP和你完全不相

干。比如，你明明就只在上海的家里上过，QQ

却提醒你上一次登录地点在沈阳。

现象2:网络游戏登录时发现装备丢失或你上次

下线时的位置不符，甚至用正确的密码无法登

录。

现象3：有时会突然发现你的鼠标不听使唤，在

你不动鼠标的时候，鼠标也会移动，并且还会

点击有关按钮进行操作。

23

现象4:正常上网时，突然感觉很慢，硬盘

灯在闪烁，就象你平时在COPY文件。

・现象5:当你准备使用摄像头时，系统提示

■，该设备正在使用中。

」网卡灯在不停闪烁。如果你设定为连接后显

■示状态，你还会发现屏幕右下角的网卡图标

・在闪。

24

计算机病毒起源的另一种说法可追溯到科幻

小说。

®1975年，美国一位名叫约翰・布勒尔(JohnBrunei)

的科普作家写了一本名为«ShockWaveRider»

的科学幻想小说，作者在该书中第一次描写了

在未来的信息社会中，计算机作为正义与邪恶

双方斗争工具的故事。

25

⑥实际上在第一部商用电脑出现之前，冯・诺伊

曼在他的论文《复杂自动装置的理论及组识的

进行》里，就已经勾勒出了病毒程序的蓝图。

©美国贝尔实验室中的3个年轻程序员在业余时

间，为游戏而制作的“磁心大战(corewar)”,被公

认为计算机病毒的开始。

©1983年H月3日，FredCohen博士研制出第一个

计算机病毒(Unix)o

26

计算机病毒从科学幻想小说到现实社

会的大规模泛滥仅仅只有短短十多年的时

间。

®1987年12月，一份发给IBM公司的电子邮

件传送了一种能自我复制的圣诞程序。

®1988年3月2日，苹果公司的苹果计算机

在屏幕上显示出“向所有苹果计算机的用户

宣布世界和平的信息”后停机，以庆祝苹果

计算机的生日。

27

近几年，产生的冲击波、震荡波、爱情后

门等新的病毒越来越多，危害越来越大。

MSN、QQ等软件称为病毒新的媒介。

目前一种通过网上聊天程序“MSN

Messenger”传播的新型病毒正在迅速蔓延。

如果在网上聊天时打开对话内容附带的

“BR2002.exe”文件，就会染上该病毒，一旦

染上该病毒，将自动把这一病毒发到通讯簿

中所有的名单，扩散到更多的电脑中。

28

L4计算机病毒的产生背景：：

®计算机病毒的产生是计算机技术和以计算机为

核心的社会信息化进程发展到一定阶段的必然

产物。

®计算机软硬件产品的脆弱性是根本的计算原

因。

®计算机的普及应用是计算机病毒产生的必要环

O

29

®计算机病毒是计算机犯罪的一种新的衍化形

式。

一些有较丰富的计算机系统知识和编程经

验的恶作剧者、计算机狂及一些对社会、对工

作心怀不满的人，为了进行蓄意报复，往往有

意在计算机系统中加入一些计算机病毒程序。

一些电脑公司为了保护他们的软件不被非法复

制，在发行的软件中也加入病毒，以便打击非

法复制者。

30

•CIH病毒，又名“切尔诺贝利、

是一种可怕的电脑病毒。它是

由台湾大学生陈盈豪编制的，

九八年五月间，陈盈豪还在大

同工学院就读时，完成以他的

英文名字缩写“CIH”名的电脑病

毒起初据称只是为了“想纪念一

下1986的灾难”或“使反病毒软件

公司难堪工

31

•年仅18岁的高中生杰弗里・李・帕森

因为涉嫌是“冲击波”电脑病毒的制

造者于2003年8月29日被捕。对

此，他的邻居们表示不敢相信。在

他们的眼里，杰弗里・李・帕森是一

个电脑天才，而决不是什么黑客，

更不会去犯罪。

32

•李俊，大学本科毕业

•大于1000万用户染毒

•损失数亿元人民币

33

L5计算机病毒的命名方法：：

计算机病毒的命名方法可归纳为5类：

(1)按病毒发作的时间命名

这类病毒的表现或破坏部分一般象定时炸弹，例

如“黑色星期五”，其发作在某月的13日且又此

日为星期五。

(2)按病毒发作症状命名

例如“小球”病毒，是在发作时屏幕上出现不停运

动的小球而得名。

34

(3)按病毒自身包含得标志命名

以病毒中出现的字符串、病毒标识、存放位置

或发作时病毒自身宣布的名称来命名。如“大

麻”病毒中包含Marijuana字样，命名为

Marijuana病毒。

(4)按病毒发现地命名

如Vienna病毒是在维也纳首先发现的。

35

(5)按病毒的字节长度命名

以病毒传染文件时，文件的增加长度或病毒自身

代码的长度命名。如1575等。

36

CARO命名规贝Ij

CARO命名规则，每一种病毒的命名包括五个部分:

•病毒家族名

•病毒组名

•大变种

•小变种

•修改者

CARO规贝I］的一些附加规则包括：

•不用地点命名

•不用公司或商标命名

•如果已经有了名字就不再另起别名

•变种病毒是原病毒的子类

37

精灵(Cunning)病毒是瀑布(Cascade)病毒的变种，它在发作时

能奏乐，因此被命名为Cascade.l701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一(1701,1704,16毒等)，所以

用大小来表示组名。

A表示该病毒是某个组中的第一个变种。

业界补充：

反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类

型。比如，WM表示MSWord宏病毒；Win32指32位Windows病

毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一个变种的命名就

成了W97M.Melissa.AA,Happy99蠕虫就被称为

Win32.Happy99.Wormo

38

L6计算机病毒的生命周期

计算机病毒的产生过程分为：

开发、传播、潜伏、触发、运行、实施攻击。

相应的计算机病毒有一个生命周期，描述如下：

(1)开发期——今天有一点计算机编程知识的

人都可以制造一个病毒

(2)传染期——在一个病毒制造出来后，病毒

的编写者将其拷贝分发出去并确认其已被传播

出去。

39

(3)潜伏期——一个设计良好的病毒可以在它活化前

的很长时期里被复制。这就给了它充裕的传播时间。

(4)发作期——带有破坏机制的病毒会在满足某一特

定条件时发作。

(5)发现期——通常情况下，一个病毒被检测到并被

隔离出来后，它会被送到计算机安全协会或反病毒厂

家，在那里病毒被通报和描述给反病毒研究工作者。

(6)消化期——在这一阶段，反病毒开发人员修改他

们的软件以使其可以检测到新发现的病毒。

(7)消亡期有一些病毒在消失之前有一个很长的消亡

期。

40

1.7计算机病毒的传播途径

由ROM,耐等非移动介质

初帆的由软件盘等可移动的w介朕:

传兔*I机

班顺

由皿机网络:并使"成为

编制着为党酬

由*行口遇得"醐痛善作兔源

传奥舜

能够进行数据交换的介质都可能成为计

算机病毒传播途径。

41

主要途径：

(1)不可移动的计算机硬件设备

通过不可移动的计算机硬设备进行传染,这些

设备有装在计算机内的ROM芯片和硬盘等。新购

置的计算机中，硬盘内也可能带有计算机病毒，该病

毒可能在计算机的生产场地、销售环节的某一时

刻进入到硬盘中，跨越重洋来到一个新的地点开始

传染。

因此对购置的新、旧计算机均应进行病毒检

测,而不应放过这一病毒传染的可能途径。

42

(2)可移动的存储设备

通过可移动式存储设备，使病毒能够进行传

染。可移动式存储设备包括软盘、磁带及可移动

式硬盘等。在这几种移动式存储设备中U盘是使用

最广泛、最方便、携带最便利、移动最频繁的存

储介质。

因此U盘也成了计算机病毒的主要寄生地。携

带病毒的U盘在PC机上使用后，往往会使该PC机染

毒,带毒的PC机又会把病毒传染给此后在这台PC机

上使用过的其它U盘。

43

(3)网络服务：

•电子邮件：

•WWW浏览

•bbs

•FTP等

现代通信技术的进步，已使空间的距离不再成

为信息传递的障碍。数据、文件、电子邮件可以

方便地在各个网络工作站间通过电缆、光纤或电

话线路进行传送。计算机病毒可以附着在正常文

件中,当你从网络另一端得到一个被感染的程序，并

在你的计算机上未加任何防护措施的情况下运行

它,病毒就传染开来了。

这种病毒的传染方式在计算机网络连接很普

及的国家是很常见的。

44

(4)无线通讯系统

•病毒对手机的攻击有3个层

次：攻击WAP服务器，使手

机无法访问服务器；攻击网

关，向手机用户发送大量垃

圾信息；直接对手机本身进

行攻击，有针对性地对其操

作系统和运行程序进行攻

击，使手机无法提供服务。

45

触目惊心的计算卿斯汉

•如果：20分钟产生一种新病毒，通过因特网传

播（30万公里/秒）。联网电脑每20分钟感染

一次，每天开机联网2小时。

•结论：

•一年以内一台联网的电脑可能会被最新病毒

感染2190次。

•另一个数字：75%的电脑被感染。

46

1.8计算机病毒的分类：：

分类的标准不同，结果时不同的。

病毒的增加速度越来越迅速，分类是研究

和防护的要求。

47

1、按病毒存在的媒体分类

•网络病毒：通过计算机网络传播感染网络中的可执行

文件；

•文件病毒：感染计算机中的文件（如：COM,EX

E,DOC等）；

•引导型病毒：感染启动扇区（Boot）和硬盘的系统引

导扇区（MBR）;

•混合型病毒：是上述三种情况的混合。例如：多型病

毒（文件和引导型）感染文件和引导扇区两种目标，

这样的病毒通常都具有复杂的算法，它们使用非常规

的办法侵入系统，同时使用了加密和变形算法。

48

2、按病毒传染的方法分类

•引导扇区传染病毒：主要使用病毒的全部或部

分代码取代正常的引导记录，而将正常的引导

记录隐藏在其他地方。

•执行文件传染病毒：寄生在可执行程序中，一

旦程序执行，病毒就被激活，进行预定活动。

•网络传染病毒：这类病毒是当前病毒的主流，

特点是通过互联网络进行传播。例如，蠕虫病

毒就是通过主机的漏洞在网上传播。

49

3、按病毒破坏的能力分类

•无害型：除了传染时减少磁盘的可用空间外，

对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图

像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严

重的错误。

非常危险型：这类病毒删除程序、破坏数据、

清除系统内存区和操作系统中重要的信息。

50

4、按病毒攻击操作系统分类

病毒攻击的操作系统图例

•MicrosoftDOS（数据来源于瑞星病毒样本库）

•MicrosoftWindows

95/98/ME

•MicrosoftWindows

NT/2000/XP

•Unix（Linux）

•Macintosh（MacMag病

毒、Scores病毒）

•OS/2（AEP病毒）

DOSWindows■Unix■Other

51

1.9计算机病毒的危害

大致可归类为下面几种形式：

(I)破坏文件分配表FAT,使用户在磁盘上的信息造成

(2)加变磁盘分配，造成数据写错误。特别是将数据写

入RAM,引起系统的崩溃。

(3)删除磁盘(包括硬盘和软盘)上特定的可执行程序

或数据文件。

(4)修改或破坏文件中的数据，这对于金融系统的破坏

是致命性的。

(5)在磁盘上产生坏的扇区，从而破坏有关的程序或数

据文件。

52

(6)更改或重新写入磁盘的卷标。

(7)计算机病毒的再生机制，多次拷贝或发送所形

成的程序或数据文件，可以造成存储空间的减

少，并影响系统运行的效率。

(8)对整个磁盘或磁盘上的特定磁道进行格式化。

(9)改变磁盘上目标信息的存储状态。

(10)影响内存常驻程序的正常执行；系统空挂，

可以造成显示屏幕或键盘呈封锁状态。

(11)改写Flashmemory或CMOS中程序内容，造成

硬件故障。

53

(12)影响计算机允许速度

(13)不可预见性的危害

(14)给用户带来的心理压力

等等

54

病害的危害情况

口a数据部分丢失

□b系统无法使用

口c浏览器配置被修改

□d网络无法使用

□e使用受限

■f受到远程控制

■g数据全部丢失

□h不知道

55

•••

近几年来的重大损失••••

••••••（

年份攻击行为发起者受害PC数目损失金额（美元）

..

2006-今木马、恶意软件、网络钓鱼等——

2005木马——

Worm_Sasser

2004（震荡波）——

Worm_MSBLAST

2003（冲击裴）超过140万台—

2003SQLSlammer超过20万台9.5亿至12亿

2002Klez超过6百万台90亿

2001RedCode超过1百万台26亿

2001NIMDA超过8百万台60亿

2000LoveLetter—88亿

1999CIH超过6千万台近100亿56

1.10计算机病毒的症状

57

骇人听闻的女鬼病毒

我是个抹家，喜斯各种蝴的耦

我可成不皱眉的律律有味的咀嘻别人不藏的牺

一天,有人游说

'佛有T东西省定滤过,也不处

我不服气断％“什么东西我不敢脸快说"

“人肉!惨过吗？”

㈱舌瞰了，因为我确搬靛过,也不知耀能解到

晚上，我在玩电脑，我的好依属我的身边，

歌宽我的好的跳是那么的光溶那么的嫩滑，

我问好想碰玩一会儿啦？

妻禄解说好的

当好猫于电贬申味我鲍就鼠标线…

熟及我任凭场谕的断…

大用二十册过后，我的好租I了，我开始…

恐怖的图片和音乐

星然了了心愿但我每次毓时蜷见场

58

白雪公主病毒

Ib<erik«t

£x>l«r«r

巨大的黑白螺旋

占据了屏幕位

置，使计算机使

用者无法进行任

何操作！

HE

59

互联网时代的瘟疫—蠕虫病毒

60

背景介绍

蠕虫（Worm）

这个生物学名词于1982年由Xeror

PARC研究中心的JohnF.Shoch等人最

早引入计算机领域，根据《TheShock

waveRider》一书中的概念，并给出了

计算机蠕虫的两个最基本特征：“可以从

一台计算机移动到另一台计算机”和“可以

自我复制1

61

回顾

1988年冬天，正在康乃尔大学攻

读的莫里斯，把一个被称为“蠕虫”

的电脑病毒送进了美国互联网。

1988年11月2日下午5点，互联网

的管理人员首次发现网络有不明入

侵者。当晚，从美国东海岸到西海

岸，互联网用户陷入一片恐慌。

62

1988年"Morris蠕虫"爆发后，EugeneH.Spafford

为了区分蠕虫和病毒，给出蠕虫的技术角度的定

义：

——“计算机蠕虫可以独立运行，并能把自身的一

个包含所有功能的版本传播到另外的计算机上”。

63

□著名的蠕虫病毒：

□1988年，Moms,第一个蠕虫病毒

□2001年，“尼姆达”病毒（Nunda）

□2001年，“求职信”病毒（wan"ob）

□2003年，“2003蠕虫王”病毒

□特点：

□传播速度快，感染范围广

□反复感染，难以根除

□隐蔽性好，破坏性大

64

Stuxnet蠕虫危及国家全安

□据英国《每日邮报》9月25日（北京时间）报道，日前，世界上首个网络“超级武器”，一种名

为Stuxnet的计算机病毒已经感染了全球超过45000个网络，伊朗遭到的攻击最为严重，60%的个

人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒，其目的

可能是要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料，按照计划，它本应在今

年8月开始运行

□曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet目前已经侵入我国。瑞星9月25

日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且

由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。

□该病毒主要通过U盘和局域网进行传播。65

例：NimdaWorm

北美洲\/❷亚洲、

尼姆达蠕虫、

刊月日八

「2001年9月18|经过18日晚上919

首先在美国出现晚上的传播,在日本、超过15,0000的公司

香港、南巾、新加坡和受到感染，包括

hi130,000f?中国地区都收到「受到cinensAG（西子），

感染的报告，1811晚,卜使其在他的叫络受到

服务器和\滓透之后，不得不

个人电脑中国公司截获

\被迫美闭服务器《7

受到感染。病毒，并提供了解决方《

66

Nimda发作现象分析

尼姆达病毒是蠕虫类病毒中具有代表性的病

毒之一，它综合运用了当时流行的所有传播

方式，因此传播更快，破坏性更大。

尼姆达病毒有以下几种传播方式:NIMDA

1.感染文件OCD

2.乱发邮件Ml

3.WEB

4.局域网传播

1.感染文件

最为常见的病毒传播方式。尼姆达病毒会

找到本机系统中的EXE文件，并将代码置入

原文件体内，从而达到对文件的感染。当用

户执行这些文件的时候，就会传播病毒。

2.乱发邮件

利用MAPI从邮件的客户端及HTML文件中搜

索邮件地址，然后将病毒发送给这些地址。

这些邮件包含一人名为README.EXE的附

件，在某些系统中该文件能够自动执行，从

而感染整个系统。

3.WEB

扫描Internet,试图找到WWW主机。用已知

的系统漏洞来感染该服务器，若成功，蠕虫

将会随机修改该站点的WEB页，当用户浏览

该站点时会在不知不觉中被感染。

4.局域网传播

搜索本地网络的文件共享，无论是文件服务器还是终

端客户机，一旦找到，便把一个名为RICHED20.DLL

的隐藏文件安装到每一个包含DOC和EML文件的目i

中。当用户通过Word、写字板、Outlook打开DOC或

EML文档时，这些应用程序将执行RICHED20.DLL文

件，从而使计算机被感染。同时，该病毒还可以感染

远程服务器中的启动文件。

o

Ml

◊

a

病毒和蠕虫的主要区别

病毒蠕虫

存在形式寄存文件独立程序

复制机制插入到宿主程序（文自身的拷贝

件）中

传染机制宿主程序运行系统存在漏洞

传染目标本地文件网络上的其他计算机

触发传染计算机使用者程序自身

影响重点文件系统网络性能、系统性能

计算机使用者角色传播中的关键环节无关

防治措施从宿主中摘除为系统打补丁

蠕虫病毒的机理::

•蠕虫病毒由两部分组成：一个主程序和另一个

是引导程序。

•主程序收集与当前机器联网的其他机器的信息。利

用漏洞在远程机上建立引导程序。

•引导程序把“蠕虫”病毒带入了它所感染的每一台机

器中。

•当前流行的病毒主要采用一些已公开漏洞、脚

本、电子邮件等机制进行传播。例如，IRC,

RPC等漏洞。

73

蠕虫的工作方式

•蠕虫的工作方式一般是“扫描一攻击一复制”

•搜索扫描：

•由蠕虫的扫描功能模块负责探测存在漏洞的主机。4程

序向某个主机发送探测漏洞的信息并收到成功的反馈信

息后，就得到一个可传播（攻击）的对象。

•攻击

•攻击模块按漏洞攻击步骤自动攻击步骤（1）中找到的

对象，取得该主机的权限（一般为管理员权限），获得

一个shell,对Windows2000来说就是cmd.exe,得至U

这个shell后就拥有了对整个系统的控制权。

•复制

•繁殖模块通过原主机和新主机的交互将蠕虫程序复制到

新王机并启动O75

蠕虫与漏洞

网络蠕虫的最大特点就是利用各种漏洞进行自动传

播。

•根据网络蠕虫所利用漏洞的不同，又可以将其细

分为：

•邮件蠕虫

・网页蠕虫

•系统漏洞蠕虫

76

系统漏洞蠕虫

衅系统漏洞蠕虫一般具备一个小型的溢出系统，它

随机产生IP并尝试溢出，然后将自身复制过去。

杂网络中的客户端感染这一类病毒后，会不断自动

拨号上网，并利用文件中的地址或者网络共享传

播，从而导致网络服务遭到拒绝并发生死锁，最

终破坏数据。

77

邮件蠕虫

•邮件蠕虫主要是利用MIME（MultipurposeInternet

MailExtensionProtocol,多用途的网际邮件扩充

协议）漏洞

•MIME

•其实只是一小段用来描述信息类型的数据。

•浏览器通过读取它来得知接收到的数据该怎么处

理，如果是文本和图片就显示出来，是程序就弹

出下载确认，是音乐就直接播放。

•音乐文件和程序文件都是一样的二进制数据，都

需要解码还原数据到系统临时目录里，然后浏览

器通过一个简单的文件后缀名判断来决定该用哪

种方法处理它。78

MIME举例：

。如用户收到一个MP3文件，MIME把它描述成音乐文

件，所以浏览器解码保存这个文件到一个临时目录，而

后查找调用这个文件后缀MP3对应的执行程序，这就是

一次完整的工作过程

&但是如果攻击者给用户发送一个带有EXE后缀可执行文

件的邮件，并把它的MIME描述为音乐文件，这时候浏览

器会把它解到临时目录，然后根据它的后缀名调用一个

能打开它的应用程序，于是这个文件就被顺利执行了，用

户的机器也开始遭到破坏。正因为这样，邮件蠕虫才成

了如今世界“虫害”的主要来源。

79

靠邮件传播的蠕虫主要有SoBig、MyDoom、求

职信等。

豉一A

皤误的

・II星头聿

Cont。九t』Typ曦：*uxh3工・’廿塞";

m陋寿=w«r*tx*

C0mtent-Tr班£F弯r-Encodiike64

TVK口工AAAAAfAJM9耽MfhNVHJfmiBQD/Awi

T8ZBsgSy0r^AsdlJlQ5BTUkgAP8BD5XSi8

iBXori

keORvp^CgP/fwMiUOAfiApBKEISQAB/AEH

3AF9YBAQCGAgA/L.l€AMAyLEBBOQeggr/lJQ

MHUwCD

JTSRAwdiH4Mu/1IDB3F9gyT/ll^MK£RuDJF9

RAweQ/IMu/1EDB6EggyT/WIMsIqDJP9RAw

JS染机器

发作现象及处理方法

良搜索Outlook通讯簿中存储的邮件地址，生成病

毒邮件。

要病毒生成的邮件带有“自动启动漏洞”功能，即当

用户打开邮件的时候其附件就会自动启动，这种

具有漏洞的邮件用文本编辑器打开后会发现漏洞

代码。

81

当打开邮件时附件会自动启动

用文本编辑器打开邮件后会发现漏洞代码

13X-0riginalArrivalTime:16Jul200207:15:06.0620(UTC)FILETIME=[831D93C0:01

14Date:16Jul200215:15:06+0800

15

16—Lldb82sd319dm2ns0f4383dhG；

17Content-Type:text/html;

18Content-Transfer-Encoding:quoted-printab1e.

19

20<HTMLXHEAD></HEADXB0DY>

21<F0NTCOLOR=#FFOOOO>

22<b>ATTENTION!</b><br><br>

23Youcanaccess<br>

24<b>veryimportant</bxbr>

25informationby<br>

26thispassuord<br><br>

27<b>DONOTSAVE</bXbr>

28passwordtodisk<br>

29useyourmind<br><br>

30nowpress<br>

31<b>cance1</bxbrxbr>

：/font></BODY></HTML>

iframesrc=l；

33JDcid:W8dqwq8