计算机病毒及防范技术

网络平安教学目的：〔1〕了解计算机病毒的定义、由来、特征、分类传播及工作方式、破坏行为、作用机制；〔2〕理解病毒预防、检测、去除等原理。〔3〕了解病毒的开展趋势。重点、难点：工作方式、作用机制教学课时：2课时教学方法：讲授和探讨2/6/20251病毒演示2/6/20252病毒演示—CIH病毒CIH将硬盘

FORMAT!CIH将BIOS给毁了

!2/6/20253病毒演示—彩带病毒2/6/20254病毒演示—女鬼病毒2/6/20255病毒演示—千年老妖2/6/20256病毒演示—圣诞节病毒2/6/20257病毒演示—白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！2/6/20258红色代码1()

2/6/202595.1计算机病毒概念

计算机病毒定义2/6/202510时间名称特点1949年诺依曼《复杂自动机器的理论与结构》程序可以在内存进行自我复制和变异的理论20世纪60年代初CoreWar通过复制自身来摆脱对方控制1981年ElkCloner通过磁盘进行感染1986年底Brain首次使用了伪装手段1987年Casade自我加解密1987年12月ChristmasTree在VM/CMS操作系统下传播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕虫程序造成6000多台机子瘫痪

5.5计算机病毒概念

5.1.2计算机病毒产生和开展2/6/202511首例能够破坏硬件的病毒CHI1998年6月第一个使用FTP进行传播Homer1997年4月第一个Linux环境下的病毒Bliss1997年2月攻击Windows操作系统病毒大规模出现宏病毒Concept1995年8月9日感染C语言和Pascal语言感染OBJ文件SrcVirShifter1993、1994年第一个多态病毒Chameleon1990年标志着计算机病毒开始入侵我国“小球〞1989年4月格式化硬盘Yankee1989年特点名称时间

5.1计算机病毒概念

5.1.2计算机病毒产生和开展2/6/202512时间名称特点1999年美丽杀宏病毒和蠕虫的混合物，通过电子邮件传播2000年VBS/KAK使用脚本技术2001年红色代码利用微软操作系统的缓冲区溢出的漏洞传播2001年Nimda利用电子邮件传播2001年网络神偷木马/黑客病毒，对本地及远程驱动器的文件进行任何操作2002年6月Perrum第一个从程序感染转变为数据文件感染的病毒2003年“2003蠕虫王”多元混合化，数小时内使全球主干网陷入瘫痪2004年震荡波频繁的变种病毒大量出现

5.1计算机病毒概念

5.1.2计算机病毒产生和开展2/6/2025132006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者〞病毒。2006年11月，我国又连续出现“熊猫烧香〞、“仇英〞、“艾妮〞等盗取网上用户密码帐号的病毒和木马。2007年以盗取网络游戏帐号为目的编写的“网游盗号木马〞病毒成为新的毒王，“QQ通行证〞病毒和“灰鸽子〞分列第二、第三位。2021年机器狗系列病毒AV终结者病毒系列。2021年上半年，计算机病毒、木马的传播方式以网页挂马为主。挂马者主要通过微软以及其它应用普遍的第三方软件漏洞为攻击目标。2/6/202514我国最流行的十种计算机病毒

时间排名2001,52002,52003,52004，52005，52006，62007，62008，61CIHExploitRedlofNetskyTrojan.PSW.LMirTrojan.DL.Agent（木马代理）Trojan.DL.Agent（木马代理）Gamepass（网游大盗）2FunloveNimdaSpageRedlofQqpassPhel（下载助手）Gamepass（网游大盗）AutoRun3BingheBingheNimdaHomepageNetskyGpigeon（灰鸽子）ANI/RIFF（艾妮）JS.Agent4W.markerJS.SeekerTrojan.QQKiller6.8.serUnknownmailBlasterexploitLmir/Lemir（传奇木马）熊猫烧香Delf（德芙）5MTXHappytimeKlezLovegateGaobotQQHelper（QQ助手）Mnless（梅勒斯）KillAV（AV终结者）6Troj.eraseFunloveFunloveFunloveMhtexploitDelf（德芙）Delf（德芙）Gpigeon（灰鸽子）7BOKlezJS.AppletAcxhtadropperRedlofSDBotGpigeon（灰鸽子）Small及其变种8YAICIHMail.virusWebimportBackDoor.RbotStartPageSmall及其变种JS.RealPlr9WyxGopScript.exploit.htm.pageactiveXComponentBeagleLovgate（爱之门）Qqpass（QQ木马）JS.Psyme10Troj.gdoorTthiefHack.crack.foxmailWyxLovegateQqpass（QQ木马）Lmir/Lemir（传奇木马）HTML.IFrame2/6/2025152/6/2025162/6/2025172/6/2025182/6/2025195.1.3计算机病毒的产生原因计算机病毒的产生原因主要有4个方面：〔1〕恶作剧型〔2〕报复心理型〔3〕版权保护型〔4〕特殊目的型2/6/2025205.1.4计算机病毒的命名方式病毒的命名并无统一的规定，根本都是采用前后缀法来进行命名。一般格式为：[前缀].[病毒名].[后缀]。以振荡波蠕虫病毒的变种c“Worm.Sasser.c〞为例，Worm指病毒的种类为蠕虫，Sasser是病毒名，c指该病毒的变种。〔1〕病毒前缀〔2〕病毒名〔3〕病毒后缀2/6/2025215.2计算机病毒原理1。破坏性：(体系设计者的意图〕无论何种病毒一旦进入系统对OS的运行就会造成不同程度的影响，小到占用资源〔石头、小球〕，大到删除数据和使系统崩溃，使之无法恢复，造成补课挽回的损失。2.传染性:(最重要的特征〕计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。3.隐蔽性:病毒是一种具有很高编程技巧，短小精悍的可执行程序，他通常粘附在正常程序或磁盘引导扇区中，以及一些空闲概率比较大的扇区中，目的就是不让用户发现。计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。5.2.1计算机病毒特征2/6/2025225.2计算机病毒原理5.2.1计算机病毒特征4.潜伏性：计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。大局部病毒感染系统以后，一般不会马上发作，他可长期的隐藏，只有条件满足才会启动。因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。5.可触发性：病毒的可触发性是指当病毒触发条件满足时，病毒才在感染了的计算机上开始发作，表现出一定的病症和破坏性。6.不可预见性：从对病毒的检测来看，病毒具有不可预见性。病毒永远超前于反病毒软件。2/6/202523

5.2计算机病毒原理5.2.2计算机病毒的分类病毒可以分别按照破坏性、传染性、连接方式、病毒特有算法4种方式进行分类。分类表现及影响良性病毒只是显示信息、凑乐、发出声响、自我复制。除了减少磁盘空间外，对系统没有其他影响恶性病毒封锁、干扰、中断输入输出、使用户无法打印，甚至终止计算机的运行，使系统造成严重的错误（Azsua、Typo—COM）极恶性病毒删除普通程序或系统文件，破坏系统配置，导致死机、崩溃等灾难性病毒破坏分区信息。主引导区信息、FAT，删除数据文件，甚至格式硬盘按破坏性分类的病毒2/6/202524

5.2计算机病毒原理2.按感染形式分类文件病毒：通过在执行文件中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。如“耶路撒冷〞、“百年病毒〞引导区病毒：潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录〔分区扇区〕中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。〔小球、石头〕混合型病毒：具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。5.2.2计算机病毒的分类2/6/202525

5.2计算机病毒原理3。按连接方式分类源码型病毒：较少见，也难以编写。因为他要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译。连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒：可用自身代替正常程序中的局部模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强，一般难以发现，去除也较困难。操作系统型病毒：可用其自身局部参加或替代操作系统的局部功能。由于其直接感染操作系统，这类病毒的危害性也较大。〔小球，大麻〕外壳型病毒：将自身依附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大局部文件型病毒属于此类5.2.2计算机病毒的分类2/6/202526

5.2计算机病毒原理4．按病毒特有的算法分类1〕伴随型病毒：这类病毒不改变文件本身，他根据算法产生EXE文件的伴随体，具有同样的名字和不同扩展名〔COM〕。2〕蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。他们在系统中存在，一般除了占用内存以外不会占用其他资源。3〕寄生型病毒：除了伴随和蠕虫，其他的都可以成为寄生型病毒，他们依附在系统的引导区或文件，通过系统的功能进行传播4〕练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒处于调试阶段5〕变形病毒：这病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容与长度。5.2.2计算机病毒的分类2/6/2025275.2.3计算机病毒的传播途径：1〕通过不可移动的设备进行传播较少见，但破坏力很强。2〕通过移动存储设备进行传播最广泛的传播途径3〕通过网络进行传播反病毒所面临的新课题4〕通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道2/6/2025282/6/202529

5.2计算机病毒原理1〕平时运行正常的计算机突然经常性无故死机。可能病毒修改了中断处理程序等。2〕操作系统无法正常启动。关机后重启，操作系统报告缺少必要的启动文件或文件破坏，系统无法启动。可能病毒感染系统文件使文件结构发生变化。3〕运行速度明显变慢。4〕以前能正常运行的软件经常发生内存缺乏的错误，或使用程序中的某个功能时报说内存缺乏。可能病毒占用了内存。2/6/202530

5.2计算机病毒原理5.2.4病毒的表现形式：5〕打印和通信发生错误。打印出来的是乱码，调制解调器不能拨号。可能是病毒驻留内存占用打印端口、串行通信端口的中断效劳程序。6〕无意中要求对软盘进行读写操作。如操作系统提示软驱中没有插软盘等。7〕系统文件的时间、日期、大小发生变化。这是最明显计算机病毒迹象。8〕运行Word，翻开Word文档后，该文档另存为时只能以模板方式保存。无法存为另一DOC文档。中了宏病毒的缘故。2/6/202531

5.2计算机病毒原理5.2.4病毒的表现形式：9〕磁盘空间迅速减少。10〕陌生人发来的电子邮件。尤其是那些很具有诱惑力的，如笑话或情书等，又带有附件的邮件。11〕自动链接到一些陌生的网站。计算机没有上网，但他自己拨号并连接到一个陌生的站点，有可能被远程控制了。12〕提示一些不相干的话。宏病毒，在满足发作的条件就会弹出对话框显示某句话，并要求用户确定。13〕发出一段美妙的音乐。“杨基〞和“浏阳河〞。14〕产生特定的图像。“小球〞2/6/202532

5.2计算机病毒原理病毒的表现形式：15〕进行游戏算法。“传奇病毒〞16〕Windows桌面图标发生变化。17〕自动发送电子邮件。在某一特定的时刻向同一个效劳器发送无用的信件。18〕鼠标自己动。受到黑客的控制。2/6/202533

5.2计算机病毒原理

虽然不同类型的计算机病毒的机制和表现手法不尽相同，但计算机病毒的结构基相似，一般说来是由以下三个程序模块组成。

1.引导模块

2.传染模块

3.破坏与表现模块

5.2.5计算机病毒的结构2/6/202534

5.2计算机病毒原理1.引导模块

当被感染的软硬盘，应用程序开始工作时，病毒的引导模块将病毒由外存引入存，并使病毒程序成为相对独立于宿主程序的局部，从而使病毒的传染模块和破坏模块进入待机状态。5.2.5计算机病毒的结构2/6/202535

5.2计算机病毒原理2．传染模块传染模块包括三局部内容：〔1〕传染控制局部。病毒一般都有一个控制条件，一旦满足这个条件就开始感染。例如，病毒先判断某个文件是否是.EXE文件，如果是再进行传染，否那么再寻找下一个文件；〔2〕传染判断局部。每个病毒程序都有一个标记，在传染时将判断这个标记，如果磁盘或者文件已经被传染就不再传染，否那么就要传染了；〔3〕传染操作局部。在满足传染条件时进行传染操作。2/6/202536

5.2计算机病毒原理3.破坏与表现模块

破坏与表现模块是病毒程序的核心局部，也是病毒设计者意图的表达局部。这局部程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数据的工作，甚至可以毁掉包括自己在内的系统资源。计算机病毒的结构2/6/2025371.计算机病毒的触发机制〔2〕目前病毒采用的触发条件主要有以下几种。〔1〕时间触发〔2〕键盘触发如AIDS病毒Invader病毒〔3〕感染触发BlackMonday病毒在运行第240个染毒程序时被激活〔4〕启动触发Anti-Tei和Telecom病毒当系统第400次启动时被激活〔5〕访问磁盘次数触发〔6〕CPU型号/主板型号触发5.2.6计算机病毒的触发与生存2/6/202538计算机病毒的产生过程可分为程序设计—传播—潜伏—触发—运行—实行攻击。计算机病毒拥有一个完整的生命周期，从产生到彻底铲除，病毒生命周期包括：〔1〕开发期〔2〕传播期〔3〕潜伏期〔4〕发作期〔5〕发现期〔6〕消化期〔7〕消亡期2.计算机病毒的生存周期2/6/202539计算机病毒的开展趋势21世纪是计算机病毒与反病毒剧烈角逐的时代，而智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪计算机病毒的开展趋势。智能化人性化隐蔽化多样化2/6/202540网络环境下的病毒防治原那么与策略2/6/202541防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中去除病毒；恢复功能2/6/202542计算机病毒的预防计算机病毒防治，要采取预防为主的方针。下面是一些行之有效的措施。2/6/202543网关级防毒Internet企业內部网络STOP!效劳器端防毒客户端防毒防毒集中管理器STOP!STOP!MailServerSTOP!全方位的网络病毒防护体系STOP!MebServer

FileServerSTOP!2/6/202544一个典型的客户端/效劳器病毒防护步骤如下：2/6/202545企业构建整体防病毒系统的根本思路1、防病毒系统一定要实现全方位、多层次防病毒。2、网关防病毒是整体防病毒的首要防线。3、没有集中管理的防病毒系统是无效的防病毒系统。4、效劳是整体防病毒系统中极为重要的一环。2/6/202546

检测病毒主要是基于四种方法：

5.3.2检测病毒比较法特征代码扫描法校验和法检测原理观察比较用程序比较用专用软件用通用软件分析法2/6/2025471.比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单〔比方DEBUG的D命令输出格式〕进行比较，或用程序来进行比较〔如DOS的DISKCOMP、COMP或PCTOOLS等其它软件〕。而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。因为病毒传播得很快，新病毒层出不穷，还没有做出通用的能查出一切病毒，发现新病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作。5.3.2检测病毒2/6/202548检测病毒原理2/6/2025493.校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现病毒又可发现未知病毒。在SCAN工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。5.3.2检测病毒原理2/6/2025505.3.2检测病毒原理2/6/202551一般计算机病毒感染后，修复前尽可能再次备份重要的数据文件。发现计算机病毒后，一般应利用防杀计算机病毒软件去除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被去除，一般应将其删除，然后重新安装相应的应用程序。杀毒完后重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。5.3.3去除病毒2/6/202552

5.4防病毒产品介绍5.防病毒软件功能预防，预防病毒对系统的感染、对可执行文件〔.COM和.EXE〕的改变并在文件分配表或引导扇区被改变或硬盘将被重新格式化时发出声音警告。检测，在磁盘和系统的其它局部寻找病毒。包括将文件与预先设定的算法或特征进行比照，或计算每个文件的检查摘要。消除，包括将病毒代码从文件和磁盘上去除出去。免疫，在可执行文件〔.COM和.EXE〕中参加特殊的代码，在程序运行时检查特征的改变或其它的不正常情况。破坏控制，减少病毒导致的破坏。2/6/2025535.4防病毒产品介绍2/6/2025544.4防病毒产品介绍4.3.4防病毒软件2/6/2025554.5

小结2/6/202556网络防病毒作业参考题目：木马熊猫烧香冲击波ARP病毒蠕虫灰鸽子2/6/202557网络防病毒作业〔续〕要求：社会背景，经济损失现象原理传播途径传播机制破坏机制去除方法〔自动/手动〕工程组人员分工情况2/6/2025585.6

习题

一．填空题1.

计算机病毒的特征是：、、。2.

计算机病毒的复制过程是发生在时候。3.恶意程序根本存在形式有、、、、。4

蠕虫是通过进行传播的。5.

计算机病毒有那些工作方式有：、、。6.去除计算机病毒完全是建立在正确的根底之上的。2/6/2025594.6

习题二．选择题1.

计算机病毒是指___。A.

带细菌的磁盘B.以损坏的磁盘C.具有破坏性的特制程序D.被破坏了的程序2.

计算机病毒传播的根本媒质是____。A.

人手接触B.软磁盘C.内部存储器D.电源3.

当用各种清病毒软件都不能去除系统病毒时，那么应该对此软盘____。A.

丢弃不用B.删除所有文件C.重新进行格式化D.删除COMMAND.COM文件4.

以下说法正确的选项是。A.一张软盘经反病毒软件检测和去除后，该软盘就成为没有病毒的干净盘B.

假设发现软盘带有病毒，那么应立即将软盘上的所有文件复制到一张干净软盘上，然后将原来的有病毒软盘进行格式化C.假设软盘上存放有文件和数据，且没有病毒，那么只要将该软盘写保护就不会感染上病毒D.

如果一张软盘上没有可执行文件，那么不会感染上病毒2/6/2025604.6

习题三．简答题1.什么是计算机病毒?计算机病毒的特征是什么?2.什么是特洛伊木马程序？它与病毒程序有何不同？3.引导扇区病毒是如何传染的？4.什么是“病毒的特征代码〞?它都有什么作用?5.病毒传播方式有哪几种?6.什么是网络蠕虫?它的传播途径是什么?7.表达计算机病毒的一般构成、各个功能模块的作用。8.简述计算机病毒破坏性的主要表现。9.简述计算机病毒攻击的对象及所造成的危害。10.

病毒的防治主要策略什么？11.

简述检测计算机病毒的常用方法。12.

选购杀毒软件的指标有哪些?常用哪些防，杀毒软件有哪些?2/6/202561蠕虫

返回2/6/202562一蠕虫的定义与特征1982年，XeroxPARC的JohnF.Shoch等人为了进行分布式计算的模型实验，编写了称为蠕虫的程序。但是他们没有想到，这种“可以自我复制〞，并可以“从一台计算机移动到另一台计算机〞的程序，后来不断给计算机界带来灾难。1988年被RobertMorris释放的Morris蠕虫，在Internet上爆发，在几个小时之内迅速感染了所能找到的、存在漏洞的计算机。人们通常也将蠕虫称为蠕虫病毒。但是严格地讲，它们并不是病毒。2/6/202563下面讨论蠕虫与病毒之间的异同。1.存在的独立性病毒具有寄生性，寄生在宿主文件中；而蠕虫是独立存在的程序个体。2.传染的反复性病毒与蠕虫都具有传染性，它们都可以自我复制。但是，病毒与蠕虫的传染机制有三点不同：·病毒传染是一个将病毒代码嵌入到宿主程序的过程，而蠕虫的传染是自身的拷贝；·病毒的传染目标针对本地程序〔文件〕，而蠕虫是针对网络上的其他计算机；·病毒是在宿主程序运行时被触发进行传染，而蠕虫是通过系统漏洞进行传染。2/6/202564此外，由于蠕虫是一种独立程序，所以它们也可以作为病毒的寄生体，携带病毒，并在发作时释放病毒，进行双重感染。病毒防治的关键是将病毒代码从宿主文件中摘除，蠕虫防治的关键是为系统打补丁〔patch〕，而不是简单地摘除。只要漏洞没有完全修补，就会重复感染。2/6/2025653.攻击的主动性计算机使用者病毒的传染的触发者，而蠕虫的传染与操作者是否进行操作无关，它搜索到计算机的漏洞后即可主动攻击进行传染。4.破坏的严重性病毒虽然对系统性能有影响，但破坏的主要是文件系统。而蠕虫主要是利用系统及网络漏洞影响系统和网络性能，降低系统性能。例如它们的快速复制以及在传播过程中的大面积漏洞搜索，会造成巨量的数据流量，导致网络拥塞甚至瘫痪；对一般系统来说，多个副本形成大量进程，那么会大量消耗系统资源，导致系统性能下降，对网络效劳器尤为明显。表1.2为几种主要蠕虫所造成的损失。2/6/2025662/6/2025675.行踪的隐蔽性由于蠕虫传播过程的主动性，不需要像病毒那样需要计算机使用者的操作触发，因而根本不可觉察。从上述讨论可以看出，蠕虫虽然与病毒有些不同，但也有许多共同之处。如果说，但凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。那么，从这个意义上，蠕虫也应当是一种病毒。它以计算机为载体，以网络为攻击对象，是通过网络传播的恶性病毒。2/6/202568二蠕虫的根本原理关于蠕虫，现在还没有形成系统的理论。下面从蠕虫的功能和程序组成两个方面讨论蠕虫的工作原理。2/6/2025691.蠕虫程序的功能结构一个蠕虫程序的根本功能包括传播模块、隐藏模块和目的模块三局部。〔1〕传播模块传播模块由扫描模块、攻击模块和复制模块组成。·扫描模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反响信息后，就会得到一个可传播的对象。·攻击模块按照漏洞攻击步骤自动攻击已经找到的攻击对象，获得一个shell。获得一个shell，就拥有了对整个系统的控制权。对Win2x来说，就是cmd.exe。·复制模块通过原主机和新主机的交互，将蠕虫程序复制到新主机并启动，实际上是一个文件传输过程。〔2〕隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。〔3〕目的模块：实现对计算机的控制、监视或破坏等功能。2/6/2025702/6/2025713.蠕虫的扫描机制如前所述，蠕虫在扫描漏洞时，要放松大量的数据包，从而会引起网络拥塞，占用网络通信带宽。但是，这并不是蠕虫本身所希望的。实际上，蠕虫更希望隐蔽地传播。现在流行的蠕虫采用的传播原那么是：尽快地传播更多的主机。根据这一原那么，扫描模块采取的扫描策略是：随机选取一段IP地址，然后对这一地址段上的主机进行扫描。差的扫描程序并不知道一段地址是否已经被扫描过，只是随机地扫描Internet，很有可能重复扫描一个地址段。于是，随着蠕虫传播的越广，网上的扫描包越多，即使探测包很小，但积少成多，就会引起严重的网络拥塞。2/6/202572扫描策略改进的原那么是，尽量减少重复的扫描，使扫描发送的数据包尽量少，并保证扫描覆盖尽量大的范围。按照这一原那么，可以有如下一些策略：〔1〕在网段的选择上，可以主要对当前主机所在网段进行扫描，对外网段随机选择几个小的IP地址段进行扫描。〔2〕对扫描次数进行限制。〔3〕将扫描分布在不同的时间段进行，不集中在某一时间内。〔4〕针对不同的漏洞设计不同的探测包，提高扫描效率。例如：·对远程缓冲区溢出漏洞，通过发出溢出代码进行探测；·对WebCGI漏洞，发出一个特殊的HTTP请求探测。2/6/2025732/6/202574〔3〕删除自己：·在Windows95系统中，可以采用DeleteFileAPI函数。·在Windows98/NT/2000中，只能在系统下次启动时删除自己。比较好的方法是：在注册表中写一条：〞HKLM\SoftWare\MOROSOFT\WNDOWS\CurrentVetsion\RUNONCE%COMSPEC%/CDEL<PATH_TO_WORM\WORM_FILE_NAME.EXE然后重新启动操作系统。2/6/202575三蠕虫举例1.网络蠕虫该病毒是通过电子邮件的附件来发送的，文件的名称是：xromeo.exe和xjuliet.chm，该蠕虫程序的名称由此而来。当用户在使用OE阅读信件时，这两个附件自动被保存、运行。当运行了该附件后，该蠕虫程序将自身发送给Outlook地址簿里的每一个人，并将信息发送给altp.virus新闻组。该蠕虫程序是以一个E-mail附件的形式发送的，信件的主体是以HTML语言写成的，并且含有两个附件：xromeo.exe及xjuliet.chm，收件人本身看不见什么邮件的内容。该蠕虫程序的危害性还表现在它还能修改注册表一些工程，使得一些文件的执行，必须依赖该蠕虫程序生成的在Windows目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的去除不能简单地将蠕虫程序删除掉,而必须先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。2/6/2025762.I_WORM/EMANUEL网络蠕虫该病毒通过Microsoft的OutlookExpress来自动传播给受感染计算机的地址簿里的所有人，给每人发送一封带有该附件的邮件。该网络蠕虫长度16896～22000字节，有多个变种。在用户执行该附件后，该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花〞一样的图标，如果用户点击该“花〞图标，就会出现一个消息框，大意是不要按此按钮。如果按了该按钮的话，会出现一个以Emmanuel为标题的信息框，当用户关闭该信息框时又会出现一些别的:诸如上帝保佑你的提示信息。该网络蠕虫程序与其他常见的网络蠕虫程序一样，是通过网络上的电子邮件系统Outlook来传播的，同样是修改Windows系统下的主管电子邮件收发的wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身，而且发送的文件的名称是变化的。该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块〔插件〕，分别潜藏计算机内的不同位置，以便躲避查毒软件。该病毒可将这些碎块聚合成一个完整的病毒，再进行传播和破坏。2/6/2025773.I-Worm.Magistr网络蠕虫这是一个恶性病毒，可通过网络上的电子邮件或在局域网内进行传播，发作时间是在病毒感染系统一个月后。该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去。蠕虫会改写本地机和局域网中电脑上的文件，文件内容全部被改写，这将导致文件不能恢复。在Win9x环境下，该蠕虫会像CIH病毒一样，破坏BIOS和去除硬盘上的数据，是危害性非常大的一种病毒。该蠕虫采用了多变形引擎和两组加密模块，感染文件的中部和尾部，将中部的原文件局部代码加密后潜藏在蠕虫体内。其长为24000～30000字节，使用了非常复杂的感染机制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件；每传染一个目标，就变化一次，具有无穷次变化，其目的是使反病毒软件难以发现和去除。目前，该蠕虫已有许多变种。2/6/2025784.SQL蠕虫王SQL蠕虫王是2003年1月25日在全球爆发的蠕虫。它非常小，仅仅只有376字节，是针对MicrosoftSQLServer2000的蠕虫，利用的平安漏洞是“MicrosoftSQLServer2000Resolution效劳远程缓冲区溢出〞漏洞，利用的端口是SQLServerResolution效劳的UDP1434。MicrosoftSQLServer2000可以在一个物理主机上提供多个逻辑的SQL效劳器的实例。每个实例都可以看做一个单独的效劳器。但是，这些实例不能全都使用标准的SQL效劳对话端口〔TCP1433〕，所以QLServerResolution效劳会监听UDP1434端口，提供一种特殊的SQL效劳实例的途径，用于客户端查询适当的网络末端。当SQLServerResolution效劳在UDP1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据，并使用用户提供的该信息来尝试翻开注册表中的某一键值。利用这一点，攻击者会在该UDP包后追加大量字符串数据。当尝试翻开这个字符串对应的键值时，会发生基于栈的缓冲区溢出。蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身。2/6/2025795.震荡波震荡波〔Worm.Sasser〕是一种长度为15872字节的蠕虫，它依赖于WindowsNT/2000/XP/Server2003，以系统漏洞为传播途径。下面介绍震荡波的传播过程。〔1〕拷贝自身到系统目录〔名为%WINDOWS%\avserve2.exe，15872字节〕，然后登记到自启动项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runavserve2.exe=%WINDOWS%\avserve2.exe〔2〕开辟线程，在本地开辟后门：监听TCP5554端口〔支持USER、PASS、PORT、RETR和QUIT命令〕被攻击的机器主动连接本地5554端口，把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。2/6/202580〔3〕开辟128个扫描线程。以本地IP地址为根底，取随机IP地址，疯狂地试探连接445端口：如果试探成功，那么运行一个新的病毒进程对该目标进行攻击，把该目标的IP地址保存到“c:\win2.log〞。〔4〕利用Windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功，会导致对方机器感染此病毒并进行下一轮的传播；攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。〔5〕溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。2/6/202581木马

返回2/6/202582一木马程序及其类型1.木马程序概述古希腊诗人荷马〔Homer〕在其史诗依利雅得〔TheIliad〕中，描述了一个故事：希腊王的王妃海伦被特洛伊〔Troy〕的王子掠走，希腊王在攻打Troy城时，使用了木马计〔thestratagemofTrojanhorse〕，在巨大的木马内装满了士兵，然后假装撤退，把木马〔Trojanhorse〕留下。特洛伊人把木马当作战利品拉回特洛伊城内。到了夜间，木马内的士兵，钻出来作为内应，翻开城门。希腊王得以攻下特洛伊城。此后，人们就把特洛伊木马作为伪装的内部颠覆者的代名词。RFC1244〔RequestforComments:1244〕中，关于Trojan〔特洛伊木马〕程序的定义是：特洛伊木马程序是一种程序，它能提供一些有用的或者令人感兴趣的功能。但是还具有用户不知道的其他功能，例如在用户不知晓的情况下拷贝文件或窃取密码。简单地说，但凡人们能在本地计算机上操作的功能，木马根本上都能实现。2/6/2025832.基于动作的木马程序类型根据木马程序对计算机的动作方式，木马程序可以分为如下几种类型。〔1〕远程控制型远程控制型是木马程序的主流。所谓远程控制就是在计算机间通过某种协议〔如TCP/IP协议〕建立起一个数据通道。通道的一端发送命令，另一端解释并执行该命令，并通过该通道返回信息。简单地说，就是采用Clint/Server〔客户机/效劳器，简称C/S〕工作模式。采用C/S模式的木马程序都由两局部组成：一局部称为被控端〔