广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2160 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 骇客知识系列之解析并防范蠕虫病毒 (1)
骇客知识系列之解析并防范蠕虫病毒 (1)
作者:hackmaster 来源:赛迪网安全社区 发布时间:2006.11.16
http://big5.ccidnet.com:89/gate/big5/security.c...0061115/950415_1.html

凡能够引起电脑故障,破坏电脑数据的程式统称为电脑病毒。所以从这个意义上说,蠕虫也是一种病毒!网路蠕虫病毒,作为对互联网危害严重的 一种电脑程式,其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以电脑为载体,以网路为攻击对象!本文中将蠕虫病毒分为针对企业网路和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!

本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒分为针对企业网路和个人用户2类,从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!

一、蠕虫病毒的定义

1.蠕虫病毒的定义

电脑病毒自出现之日起,就成为电脑的一个巨大威胁,而当网路迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起电脑故障,破坏电脑数据的程式统称为电脑病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网路传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于记忆体中),对网路造成拒绝服务,以及和骇客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网路的发展使得蠕虫可以在短短的时间内蔓延整个网路,造成网路瘫痪!

根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网路(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程式的漏洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施!

2.蠕虫病毒与一般病毒的异同

蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程式的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程式中,建立一个新节,将病毒代码写到新节中,修改的程式入口点等,这样,宿主程式执行的时候,就可以先执行病毒程式,病毒程式运行完之后,在把控制权交给宿主原来的程式指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链结型病毒,还有引导区病毒。引导区病毒他是感染磁片的引导区,如果是软碟被感染,这张软碟用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软碟等方式。

蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对电脑内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有电脑.局域网条件下的共用文件夹,电子邮件email,网路中的恶意网页,大量存在着漏洞的伺服器等都成为蠕虫传播的良好途径。网路的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!


     普通病毒   蠕虫病毒
存在形式 寄存文件   独立程式
传染机制 宿主程式运行 主动攻击
传染目标 本地文件   网路电脑



可以预见,未来能够给网路带来重大灾难的主要必定是网路蠕虫!

3.蠕虫的破坏和发展趋势

1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台电脑停机,蠕虫病毒开始现身网路;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名伺服器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓,同时银行自动提款机的运作中断, 机票等网路预订系统的运作中断,信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上!



病毒名称   持续时间   造成损失

莫里斯蠕虫 1988年       6000多台电脑停机,直接经济损失达9600万美元!
美丽杀手   1999年       政府部门和一些大公司紧急关闭了网路伺服器,经济损失超过12亿美元!
爱虫病毒   2000年5月至今 众多用户电脑被感染,损失超过100亿美元以上
红色代码   2001年7月     网路瘫痪,直接经济损失超过26亿美元
求职信   2001年12月至今 大量病毒邮件堵塞伺服器,损失达数百亿美元
蠕虫王   2003年1月     网路大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元


由表可以知道,蠕虫病毒对网路产生堵塞作用,并造成了巨大的经济损失!

通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势:

1.利用作业系统和应用程式的漏洞主动进行攻击.. 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(Iframe Execcomand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS伺服器软体的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!

2.传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web伺服器、网路共用等等。

3.病毒制作技术与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软体的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。

4.与骇客技术相结合! 潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使骇客能够再次进入!二、网路蠕虫病毒分析和防范

蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软体上的缺陷和人为上的缺陷。软体上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软体厂商和用户共同配合,不断的升级软体。而人为的缺陷,主要是指的是电脑用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在伺服器和大型应用软体的安全上,而个人用户而言,主要是防范第二种缺陷。

1.利用系统漏洞的恶性蠕虫病毒分析

在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征是利用微软伺服器和应用程式组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都为伺服器,所以造成的网路堵塞现象严重!

以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网路,造成网路大塞车.亚洲国家中以人口上网普及率达七成的南韩所受影响较为严重。南韩两大网路业KFT及***电讯公司,系统都陷入了瘫痪,其他的网路用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网路蠕虫病毒开始对人们的生活产生了巨大的影响!

这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程式存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,骇客可以利用该漏洞在远程机器上执行自己的恶意代码。

微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的伺服器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制许可权, 取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死回圈继续传播。在该回圈中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死回圈的过程,发包密度仅和机器性能和网路带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与记忆体中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网路带宽,形成Udp Flood,感染了该蠕虫的网路性能会极度下降。一个百兆网路内只要有一两台机器感染该蠕虫就会导致整个网路访问阻塞。

通过以上分析可以知道,此蠕虫病毒本身除了对网路产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想!



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-16 17:57 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061762 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言