计算机病毒探究.ppt

Internet蠕虫：是无需计算机使用者干预即可运行的独立程序，通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 蠕虫程序的工作流程： 分为漏洞扫描、攻击、传染和现场处理4个阶段 蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括隐藏、信息搜集等 蠕虫的行为特征包括： 自我繁殖 利用软件漏洞 造成网络拥塞 消耗系统资源 留下安全隐患 1．蠕虫病毒的定义 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种计算机病毒。但是蠕虫病毒和一般的计算机病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系 根据使用者情况可将蠕虫病毒分为两类： 面向企业用户和局域网的蠕虫 针对个人用户的蠕虫 1．蠕虫病毒的定义 面向企业用户和局域网的蠕虫 利用系统漏洞，主动攻击，可对整个Internet造成瘫痪性后果 典型代表：“红色代码”、“尼姆达”、“Sql蠕虫王” 具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很难 针对个人用户的蠕虫 通过网络(主要是电子邮件、恶意网页)迅速传播的蠕虫病毒 典型代表：“爱虫病毒”，“求职信病毒” 传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根除的 2．蠕虫病毒的特点 蠕虫一般不采取利用PE格式插入文件的方法，而是复制自身在Internet环境下进行传播，计算机病毒的传染能力主要是针对计算机内的文件系统而言 蠕虫病毒的传染目标： Internet内的所有计算机 局域网条件下的共享文件夹 电子邮件（E-mail） 网络中的恶意网页 大量存在着漏洞的服务器 网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策 2．蠕虫病毒的特点 普通病毒与蠕虫病毒比较 普通计算机病毒 蠕虫病毒 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 网络计算机 3．蠕虫的破坏和发展趋势 每一次蠕虫的爆发都会给社会带来巨大的损失。1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络 2001年9月18日，“Nimda”蠕虫被发现，至今对其造成的损失评估数据从5亿美元攀升到26亿美元后还在继续攀升，到现在已无法估计 北京时间2003年1月26日，一种名为“2003蠕虫王”的计算机病毒迅速传播并袭击了全球，致使Internet网路严重堵塞，作为Internet主要基础的域名服务器（DNS）的瘫痪造成网民浏览Internet网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此计算机病毒造成的直接经济损失至少在12亿美元以上 3．蠕虫的破坏和发展趋势 目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫（如“冲击波”、“振荡波”等）出现。对蠕虫进行深入研究，并提出行之有效的解决方案，为企业和政府提供一个安全的网络环境成为急待解决的问题 ４反病毒技术 １.　特征值扫描技术 ２.　启发式分析技术 ３.　完整性验证技术 ４.　虚拟机技术 ５.　沙箱技术 ６.　其他技术 １.　尼姆达病毒 ２.　冲击波病毒 ３.　红色代码病毒 ４.　AV终结者 ５.　机器狗 ４反病毒技术 1. 尼姆达病毒 尼姆达病毒是一种蠕虫病毒，长度57344B，主要感染Windows 9x /NT/2000/XP中的系统文件。病毒的主要特征是：感染时，将被感染文件藏于体内。运行时，该病毒藏身于IE体内。以高优先级进行循环传染。病毒通过局域网快速传播 该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的值，感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插入被感染的文件体内，而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自己的文件名改成被感染文件的文件名。当不知情的用户想运行原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来并执行，使用户无法察觉到异常 1. 尼姆达病毒 运行时，病毒会通过查询注册表信息得到IE的进程号，然后将病毒体注入到IE的进程空间内。如果成功，病毒将在ex