第4章计算机病毒与防范.ppt

第4章 恶意程序及其防范 4.1 计算机病毒的概念 4.2 计算机病毒原理 4.3 计算机病毒编制的关键技术 4.4 蠕虫 4.5 木马 4.6 病毒对抗技术 4.1 计算机病毒的概念 1.2 计算机病毒原理 1.3 计算机病毒编制的关键技术 1.4 蠕虫 1.5 木马 1.6 病毒对抗技术 3. I-Worm.Magistr网络蠕虫 这是一个恶性病毒，可通过网络上的电子邮件或在局域网内进行传播，发作时间是在病毒感染系统一个月后。该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去。蠕虫会改写本地机和局域网中电脑上的文件，文件内容全部被改写，这将导致文件不能恢复。在Win 9x环境下，该蠕虫会像CIH病毒一样，破坏BIOS和清除硬盘上的数据，是危害性非常大的一种病毒。 该蠕虫采用了多变形引擎和两组加密模块，感染文件的中部和尾部，将中部的原文件部分代码加密后潜藏在蠕虫体内。其长为24000～30000字节，使用了非常复杂的感染机制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件；每传染一个目标，就变化一次，具有无穷次变化，其目的是使反病毒软件难以发现和清除。目前，该蠕虫已有许多变种。 4. SQL蠕虫王 SQL蠕虫王是2003年1月25日在全球爆发的蠕虫。它非常小，仅仅只有376字节，是针对Microsoft SQL Server 2000的蠕虫，利用的安全漏洞是“Microsoft SQL Server 2000 Resolution 服务远程缓冲区溢出”漏洞，利用的端口是SQL Server Resolution服务的UDP 1434。 Microsoft SQL Server 2000可以在一个物理主机上提供多个逻辑的SQL服务器的实例。每个实例都可以看做一个单独的服务器。但是，这些实例不能全都使用标准的SQL服务对话端口（TCP 1433），所以QL Server Resolution服务会监听UDP 1434端口，提供一种特殊的SQL服务实例的途径，用于客户端查询适当的网络末端。 当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据，并使用用户提供的该信息来尝试打开注册表中的某一键值。利用这一点，攻击者会在该UDP包后追加大量字符串数据。当尝试打开这个字符串对应的键值时，会发生基于栈的缓冲区溢出。蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身。 5. 震荡波 震荡波（Worm.Sasser）是一种长度为15872字节的蠕虫，它依赖于Windows NT/2000/XP/Server2003，以系统漏洞为传播途径。下面介绍震荡波的传播过程。 （1）拷贝自身到系统目录（名为%WINDOWS%\avserve2.exe，15872字节），然后登记到自启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve2.exe = %WINDOWS%\avserve2.exe （2）开辟线程，在本地开辟后门：监听TCP 5554端口（支持USER、PASS、PORT、RETR和QUIT命令）被攻击的机器主动连接本地5554端口，把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。 （3）开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂地试探连接445端口：如果试探成功，则运行一个新的病毒进程对该目标进行攻击，把该目标的IP地址保存到“c:\win2.log”。 （4）利用Windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功，会导致对方机器感染此病毒并进行下一轮的传播；攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。 （5）溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。 返回 （2）通过局域网共享传播 在VBS中有一个对象可以实现局域网邻居共享文件夹的搜索与文件操作。利用该对象可以实现病毒的传播。下面是一个简化的传播算法。 创建一个网络对象 创建一个网络打印机连接列表 显示每台网络打印机连接情况 创建一个网络共享连接列表 寻找目标驱动器 感染 （3）通过网页文件传播 这里主要介绍通过htm感染的机理。脚本病毒通过htm网页传播依赖于FSO（File System Object，文件系统对象）和WSH（Win