计算机病毒及其防范技术（第2版） 教学课件 作者 978 7 302 25452 2 第9章 新型计算机病毒.pptVIP

计算机病毒技术特征 上海交通大学信息安全工程学院 刘功申 本章目标 掌握蠕虫病毒技术 掌握Outlook漏洞病毒 掌握Webpage恶意代码 了解流氓软件、僵尸病毒和RootKit病毒 主要内容 蠕虫病毒 利用Outlook漏洞编写病毒 Webpage中的恶意代码 流氓软件 僵尸网络 RootKit病毒 1 蠕虫病毒 蠕虫这个名词的由来是在1982年，Shock和Hupp根据《The Shockwave Rider》一书中的概念提出了一种“蠕虫（Worm）”程序的思想。 蠕虫（Worm）是病毒的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。 具有病毒共性：如传播性、隐蔽性、破坏性等 独有的性质：不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等 两类： 一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。 另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。 和普通病毒的区别： 蠕虫病毒的特性 第一，利用漏洞主动进行攻击 第二，病毒制作技术新 第三，与黑客技术相结合，潜在的威胁和损失更大 第四，传染方式多 第五，传播速度快 第六，清除难度大 第七，破坏性强 蠕虫病毒的机理 蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。 主程序收集与当前机器联网的其他机器的信息。利用漏洞在远程机上建立引导程序。 引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。 当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播。例如，IRC, RPC 等漏洞。 蠕虫病毒实例 MSN蠕虫病毒 1. 基本特征： 名称：IM-Worm.Win32.Webcam.a 原始大小：188,928字节 压缩形式：PESpin 编写语言：Microsoft Visual Basic 6.0 文件名称：LMAO.pif，LOL.scr，naked_drunk.pif等。 2.行为分析： （1）蠕虫运行后，将释放一个名为 CZ.EXE 文件到C盘根目录，并将它拷贝到%system%目录下，文件名为winhost.exe。然后，将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。同时蠕虫会在C盘跟目录随机生成一个文件，扩展名为PIF或EXE等，该文件用来向MSN好友传播。此外，病毒还会在%system%目录下生成msnus.exe，该文件为蠕虫自身拷贝。 （2）将自身加入到注册表启动项目保证自身在系统重启动后被加载： 位置：Software\Microsoft\Windows\CurrentVersion\Run 键名：win32 键值：winhost.exe 位置：Software\Microsoft\Windows\CurrentVersion\RunServices 键名：win32 键值： winhost.exe （3）蠕虫病毒会在C盘根目录生成一个图片文件，名字为sexy.jpg，并调用jpg关联程序打开该图片。一般情况下，会用IE打开该图片，打开后效果如下图。 （4）开启本地 TCP10xx端口，频繁连接目标：28:8080，接受黑客控制。 （5）查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。 3. 防范方案： （1）手工清除。按照上面的行为分析，终止并删除相关进程文件，修复注册表。 （2）用户可以避免接收MSN上发来的陌生附件，包括扩展名为EXE或SCR等的附件，来预防该蠕虫。 如何防范蠕虫 预防第一 工具保护 定期扫描你的系统 更新你的防病毒软件 不要轻易执行附件中的EXE和COM等可执行程序 不要轻易打开附件中的文档文件 不要直接运行附件 邮件程序设置 谨用预览功能 卸载Scripting Host 警惕发送出去的邮件 基于U盘传播的蠕虫病毒实验（实验十二） 【实验目的】 理解U盘蠕虫病毒的传染原理。 【实验环境】 VMWare Workstation 5.5.3 Windows XP sp2 【病毒原理】 U盘病毒通常都是通过给u盘创建autorun.inf文件，利用Windows系统的自动播放功能来触发病毒程序，从而达到传染和破坏的目的。 Autorun.inf文件可以通过以下命令来运行病毒程序 Open=Virus.exe 指定设备启用时运行Virus.exe。 ShellExecute=Virus.exe 设备启用时执行文件Virus.exe。 Shell\XXX\command=Virus.exe 当用户在右键菜单