凡可以引起核算机毛病,损坏核算机数据的程序统称为核算机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网损害严峻的 一种核算机程序,其损坏力和感染性不容忽视。与传统的病毒不同,蠕虫病毒以核算机为载体,以网络为进犯方针!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面讨论蠕虫病毒的特征和一些防备办法!
本文根据蠕虫病毒的发生机制,将其分为运用系统等级缝隙(主动传达)和运用社会工程学(诈骗传达)两种,并从用户视点中将蠕虫病毒分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面讨论蠕虫病毒的特征和一些防备办法!
一、蠕虫病毒的界说
1.蠕虫病毒的界说
核算机病毒自呈现之日起,就成为核算机的一个巨大要挟,而当网络敏捷开展的时分,蠕虫病毒引起的损害开端闪现!从广义上界说,凡可以引起核算机毛病,损坏核算机数据的程序统称为核算机病毒。所以从这个意义上说,蠕虫也是一种病毒!可是蠕虫病毒和一般的病毒有着很大的差异。关于蠕虫,现在还没有一个成套的理论系统,一般以为,蠕虫是一种通过网络传达的恶性病毒,它具有病毒的一些共性,如传达性,隐蔽性,损坏性等等,一起具有自己的一些特征,如不运用文件寄生(有的只存在于内存中),对网络构成拒绝服务,以及和黑客技能相结合等等!在发生的损坏性上,蠕虫病毒也不是一般病毒所能比较的,网络的开展使得蠕虫可以在短短的时间内延伸整个网络,构成网络瘫痪!
根据运用者状况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒运用系统缝隙,主动进行进犯,可以对整个互联网可构成瘫痪性的结果!以“赤色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。其他一种是针对个人用户的,通过网络(首要是电子邮件,歹意网页办法)敏捷传达的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,榜首类具有很大的主动进犯性,并且迸发也有必定的忽然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传达办法比较杂乱和多样,少量运用了微软的使用程序的缝隙,更多的是运用社会工程学()对用户进行诈骗和诱使,这样的病毒构成的丢掉是十分大的,一起也是很难铲除的,比方求职信病毒,在2001年就现已被各大杀毒厂商发现,但直到2002年末仍然排在病毒损害排行榜的首位便是证明!出得在接下来的内容中,将别离剖析这两种病毒的一些特征及防备办法!
2.蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因而具有病毒的一起特征。一般的病毒是需求的寄生的,它可以通过自己指令的履行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可履行文件的格局为pe格局(Portable Executable),当需求感染pe文件时,在宿主程序中,树立一个新节,将病毒代码写到新节中,修正的程序进口点等,这样,宿主程序履行的时分,就可以先履行病毒程序,病毒程序运转完之后,在把控制权交给宿主本来的程序指令。可见,病毒首要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,假如是软盘被感染,这张软盘用在其他机器上后,相同也会感染其他机器,所以传达办法也是用软盘等办法。
蠕虫一般不采纳运用pe格局刺进文件的办法,而是仿制本身在互联网环境下进行传达,病毒的感染才能首要是针对核算机内的文件系统而言,而蠕虫病毒的感染方针是互联网内的一切核算机.局域网条件下的同享文件夹,电子邮件email,网络中的歹意网页,许多存在着缝隙的服务器等都成为蠕虫传达的杰出途径。网络的开展也使得蠕虫病毒可以在几个小时内延伸全球!并且蠕虫的主动进犯性和忽然迸发性将使得人们手足无策!
|
可以预见,未来可以给网络带来严峻灾祸的首要必定是网络蠕虫!
3.蠕虫的损坏和开展趋势
1988年一个由美国CORNELL大学研讨生莫里斯编写的蠕虫病毒延伸构成了数千台核算机停机,蠕虫病毒开端现身网络;而后来的赤色代码,尼姆达病毒张狂的时分,构成几十亿美元的丢掉;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒敏捷传达并突击了全球,致使互联网网路严峻堵塞,作为互联网首要根底的域名服务器(DNS)的瘫痪构成网民阅读互联网网页及收发电子邮件的速度大幅减缓,一起银行主动提款机的运作中止, 机票等网络预定系统的运作中止,信用卡等收付款系统呈现毛病!专家估量,此病毒构成的直接经济丢掉至少在12亿美元以上!
|
由表可以知道,蠕虫病毒对网络发生堵塞效果,并构成了巨大的经济丢掉!
通过对以上蠕虫病毒的剖析,可以知道,蠕虫发生的一些特色和开展趋势:
1.运用操作系统和使用程序的缝隙主动进行进犯.. 此类病毒首要是“赤色代码”和“尼姆达”,以及至今仍然暴虐的”求职信”等.因为IE阅读器的缝隙(Iframe Execcomand),使得感染了“尼姆达”病毒的邮件在不去手艺翻开附件的状况下病毒就能激活,而此前即便是许多防病毒专家也一向以为,带有病毒附件的邮件,只需不去翻开附件,病毒不会有损害。“赤色代码”是运用了微软IIS服务器软件的缝隙(idq.dll长途缓存区溢出)来传达。Sql蠕虫王病毒则是运用了微软的数据库系统的一个缝隙进行大举进犯!
2.传达办法多样 如“尼姆达”病毒和”求职信”病毒,可运用的传达途径包括文件、电子邮件、Web服务器、网络同享等等。
3.病毒制造技能与传统的病毒不同的是,许多新病毒是运用当时最新的编程言语与编程技能完成的,易于修正以发生新的变种,然后躲避反病毒软件的查找。其他,新病毒运用Java、ActiveX、VB Script等技能,可以潜伏在HTML页面里,在上网阅读时触发。
4.与黑客技能相结合! 潜在的要挟和丢掉更大!以赤色代码为例,感染后的机器的web目录的scripts下将生成一个root.exe,可以长途履行任何指令,然后使黑客可以再次进入!二、网络蠕虫病毒剖析和防备
蠕虫和一般病毒不同的一个特征是蠕虫病毒往往可以运用缝隙,这儿的缝隙或许说是缺点,咱们分为2种,软件上的缺点和人为上的缺点。软件上的缺点,如长途溢出,微软ie和outlook的主动履行缝隙等等,需求软件厂商和用户一起合作,不断的晋级软件。而人为的缺点,首要是指的是核算机用户的忽略。这便是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时分,大多数人都会报着猎奇去点击的。关于企业用户来说,要挟首要会集在服务器和大型使用软件的安全上,而个人用户而言,首要是防备第二种缺点。
1.运用系统缝隙的恶性蠕虫病毒剖析
在这种病毒中,以赤色代码,尼姆达和sql蠕虫为代表!他们一起的特征是运用微软服务器和使用程序组件的某个缝隙进行进犯,因为网上存在这样的缝隙比较遍及,使得病毒很简略的传达!并且进犯的方针大都为服务器,所以构成的网络堵塞现象严峻!
以2003年1月26号迸发的sql蠕虫为例,迸发数小时内席卷了全球网络,构成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严峻。韩国两大网络业KFT及***电讯公司,系统都陷入了瘫痪,其它的网络用户也被逼断线,更为严峻的是许多银行的主动取款机都无法正常作业, 美国许美国银行计算,该行的13000台主动柜员机现已无法供给正常提款。网络蠕虫病毒开端对人们的日子发生了巨大的影响!
这次sql蠕虫进犯的是微软数据库系Microsoft SQL Server 2000的,运用了MSSQL2000服务长途仓库缓冲区溢出缝隙, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口,客户端可以通过发送音讯到这个端口来查询现在可用的衔接办法(衔接办法可以是命名管道也可以是TCP),可是此程序存在严峻缝隙,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以运用该缝隙在长途机器上履行自己的歹意代码。
微软在200年7月份的时分就为这个缝隙发布了一个安全布告,但当sql蠕虫迸发的时分,仍然有许多的装有ms sqlserver 2000的服务器没有装置最新的补丁,然后被蠕虫病毒所运用,蠕虫病毒通过一段376个字节的歹意代码,长途获得对方主机的系统控制权限, 获得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒运用GetTickCount获得一个随机数,进入一个死循环持续传达。在该循环中蠕虫运用获得的随机数生成一个随机的ip地址,然后将本身代码发送至1434端口(Microsoft SQL Server敞开端口),该蠕虫传达速度极快,其运用播送数据包办法发送本身代码,每次均进犯子网中一切255台或许存在机器。因为这是一个死循环的进程,发包密度仅和机器功用和网络带宽有关,所以发送的数据量十分大。该蠕虫对被感染机器本身并没有进行任何歹意损坏行为,也没有向硬盘上写文件,只是存在与内存中。关于感染的系统,重新启动后就可以铲除蠕虫,可是仍然会重复感染。因为发送数据包占用了许多系统资源和网络带宽,构成Udp Flood,感染了该蠕虫的网络功用会极度下降。一个百兆网络内只需有一两台机器感染该蠕虫就会导致整个网络拜访堵塞。
通过以上剖析可以知道,此蠕虫病毒本身除了对网络发生拒绝服务进犯外,并没有其他损坏办法.但假如病毒编写者在编写病毒的时分参加损坏代码,结果将无法想象!
2.企业防备蠕虫病毒办法
此次sql蠕虫病毒,运用的缝隙在2002年7月份微软的一份安全布告中就有详细阐明!并且微软也供给了安全补丁供给下载,然而在时隔半年之后互联网上还有适当大的一部分服务器没有装置最新的补丁,其网络办理员的安全防备认识可见一斑!
当时,企业网络首要使用于文件和打印服务同享、办公主动化系统、企业事务(MIS)系统、Internet使用等范畴。网络具有便当信息交流特性,蠕虫病毒也可以充分运用网络快速传到达达其堵塞网络意图。企业在充分地运用网络进行事务处理时,就不得不考虑企业的病毒防备问题,以确保关系企业命运的事务数据完好不被损坏。
企业防治蠕虫病毒的时分需求考虑几个问题:病毒的查杀才能,病毒的监控才能,新病毒的反响才能。而企业防毒的一个重要方面是是办理和战略。引荐的企业防备蠕虫病毒的战略如下:
(1)加强网络办理员安全办理水平,进步安全认识。因为蠕虫病毒运用的是系统缝隙进行进犯,所以需求在榜首时间内坚持系统和使用软件的安全性,坚持各种操作系统和使用软件的更新!因为各种缝隙的呈现,使得安全不在是一种一了百了的事,而作为企业用户而言,所饱尝进犯的风险也是越来越大,要求企业的办理水平和安全认识也越来越高!
(2)树立病毒检测系统。可以在榜首时间内检测到网络反常和病毒进犯。
(3)树立应急呼应系统,将风险削减到最小!因为蠕虫病毒迸发的忽然性,或许在病毒发现的时分现已延伸到了整个网络,所以在突发状况下,树立一个紧迫呼应系统是很有必要的,在病毒迸发的榜首时间即能供给处理计划。
(4)树立灾祸备份系统。关于数据库和数据系统,有必要选用定时备份,多机备份办法,避免意外灾祸下的数据丢掉!
(5)关于局域网而言,可以选用以下一些首要手法:A.在因特网接进口处装置防火墙式防杀核算机病毒产品,将病毒阻隔在局域网之外。B.对邮件服务器进行监控,避免带毒邮件进行传达!C.对局域网用户进行安全培训。D.树立局域网内部的晋级系统,包括各种操作系统的补丁晋级,各种常用的使用软件晋级,各种杀毒软件病毒库的晋级等等!3.对个人用户发生直接要挟的蠕虫病毒
在以上剖析的蠕虫病毒中,只对装置了特定的微软组件的系统进行进犯,而对广阔个人用户而言,是不会装置iis(微软的因特网服务器程序,可以使答应在网上供给web服务)或许是巨大的数据库系统的!因而上述病毒并不会直接进犯个个人用户的电脑(当然可以直接的通过网络发生影响),但接下来剖析的蠕虫病毒,则是对个人用户要挟最大,一起也是最难以铲除,构成的丢掉也更大的一类蠕虫病毒!
关于个人用户而言,要挟大的蠕虫病毒采纳的传达办法一般为电子邮件(Email)以及歹意网页等等!
关于运用email传达得蠕虫病毒来说,一般运用的是社会工程学(Social Engineering),即以各式各样的诈骗手法那引诱用户点击的办法进行传达!
3.歹意网页
歹意网页切当的讲是一段黑客损坏代码程序,它内嵌在网页中,当用户在不知情的状况下翻开含有病毒的网页时,病毒就会发生。这种病毒代码镶嵌技能的原理并不杂乱,所以会被许多怀不良妄图者运用,在许多黑客网站居然呈现了关于用网页进行损坏的技能的论坛,并供给损坏程序代码下载,然后构成了歹意网页的大面积众多,也使越来越多的用户遭受丢掉。
关于歹意网页,常常采纳vb script和java script编程的办法!因为编程办法十分的简略!所以在网上十分的盛行!
Vb script和java script是由微软操作系统的wsh(Windows Scripting HostWindows脚本主机)解析并履行的,因为其编程十分简略,所以此类脚本病毒在网上张狂传达,张狂一时的爱虫病毒便是一种vbs脚本病毒,然后伪装成邮件附件引诱用户点击运转,更为可怕的是,这样的病毒是以源代码的办法呈现的,只需懂得一点关于脚本编程的人就可以修正其代码,构成各式各样的变种。
下面以一个简略的脚本为例:
|
假如咱们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创立一个TXT文件了。假使咱们把第二句改为:
|
就可以将本身仿制到C盘virus.vbs这个文件。本句前面是翻开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完好的途径文件名。GetFile函数获得这个文件,Copy函数将这个文件仿制到C盘根目录下virus.vbs这个文件。这么简略的两句就完成了自我仿制的功用,现已具有病毒的基本特征——自我仿制才能。
此类病毒往往是通过邮件传达的,在vb script中调用邮件发送功用也十分的简略,病毒往往选用的办法是向outlook中的地址薄中的邮件地址发送带有包括本身的邮件来到达传达意图,一个简略的实例如下:
(创立一个OUTLOOK使用的方针)Set objMapi=objOA.GetNameSpace (MAPI) (j)) |
这一小段代码的功用是向地址簿中的用户发送电子邮件,并将自己作为附件分散出去。这段代码中的榜首行是创立一个Outlook的方针,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的函件。这便是蠕虫的传达性。
由此可以看出,运用vb script编写病毒是十分简略的,这就使得此类病毒的变种繁复,损坏力极大,一起也是十分难以铲除的!
4.个人用户对蠕虫病毒的防备办法
通过上述的剖析,咱们可以知道,病毒并不是十分可怕的,网络蠕虫病毒对个人用户的进犯首要仍是通过社会工程学,而不是运用系统缝隙!所以防备此类病毒需求留意以下几点:
(1)购适宜的杀毒软件!网络蠕虫病毒的开展现已使传统的杀毒软件的“文件级实时监控系统”掉队,杀毒软件有必要向内存实时监控和邮件实时监控开展!其他面临防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系列杀毒软件在全球具有很大的份额!通过多项测验,norton杀毒系列软件脚本和蠕虫阻挠技能可以阻挠大部分电子邮件病毒,并且对网页病毒也有适当强的防备才能!现在国内的杀毒软件也具有了适当高的水平。像瑞星,kv系列等杀毒软件,在杀毒软件的一起整合了防火强功用,然后对蠕虫兼木马程序有很大抑制效果。
(2)常常晋级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为根据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传达速度快,变种多,所以有必要随时更新病毒库,以便可以查杀最新的病毒!
(3)进步防杀毒认识.不要容易去点击生疏的站点,有或许里边就含有歹意代码!
当运转IE时,点击“东西→Internet选项→安全→ Internet区域的安全等级”,把安全等级由“中”改为“高” 。因为这一类网页首要是含有歹意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等悉数制止就可以大大削减被网页歹意代码感染的几率。详细计划是:在IE窗口中点击“东西”→“Internet选项”,在弹出的对话框中挑选“安全”标签,再点击“自界说等级”按钮,就会弹出“安全设置”对话框,把其间一切ActiveX插件和控件以及与Java相关悉数选项挑选“禁用”。可是,这样做在今后的网页阅读进程中有或许会使一些正常使用ActiveX的网站无法阅读。
(4)不随意检查生疏邮件,尤其是带有附件的邮件,因为有的病毒邮件可以运用ie和outlook的缝隙主动履行,所以核算机用户需求晋级ie和outlook程序,及常用的其他使用程序!
三、小结
网络蠕虫病毒作为一种互联网高速开展下的一种新式病毒,必将对网络发生巨大的风险。在防护上,现已不再是由独自的杀毒厂商所可以处理,而需求网络安全公司,系统厂商,防病毒厂商及用户一起参加,构筑全方位的防备系统!
蠕虫和黑客技能的结合,使得对蠕虫的剖析,检测和防备具有必定的难度,一起对蠕虫的网络传达性,网络流量特性树立数学模型也是有待研讨的作业!