蠕虫病毒的特征与防治.pdfVIP

研 究 生 课 程 论 文 (2008-2009 学年第二学期) 蠕虫病毒的特征与防治 摘 要 随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联 的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系 统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒 在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策 略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手 段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合 的基于攻击行为的着色判决 PN 机蠕虫检测方法。 关键词: 蠕虫，病毒特征，病毒防治 1 1 引言 “蠕虫”这个生物学名词于 1982 年由 Xerox PARC 的 John F. Shoeh 等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本 的特征:“可以从一台计算机移 到另一台计算机”和“可以自我复制”。 最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988 年 Morris 蠕虫爆发后，Eugene H. Spafford 为了区分蠕虫和病毒，给出了 蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的 一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计 算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致 二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术 来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病 毒”利用的一种技术手段[1]。 2 蠕虫病毒的特征及传播 1、一般特征: (1)独立个体，单独运行; (2)大部分利用操作系统和应用程序的漏洞主动进行攻击; (3)传播方式多样; 2 (4)造成网络拥塞，消耗系统资源; (5)制作技术与传统的病毒不同，与黑客技术相结合。 2、病毒与蠕虫的区别 (l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体 而存在; (2)传染机制方面病毒利用宿主程序的运行，而蠕虫利用系统存 在的漏洞; (3)传染目标病毒针对本地文件，而蠕虫针对网络上的其他计算 机; (4)防治病毒是将其从宿主文件中删除，而防治蠕虫是为系统打 补丁。 3、传播过程: (1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。 (2)攻击:攻击模块按漏洞攻击步骤自 攻击步骤 1 中找到的对象， 取得该主机的权限(一般为管理员权限)，获得一个 shell。 (3)现场处理:进入被感染的系统后，要做现场处理工作，现场处理 部分工作主要包括隐藏、信息搜集等等 (4) 复制: 复制模块通过原主机和新主机的交互将蠕虫程序复制到 新主机并启 。 每一个具体的蠕虫在实现这四个部分时会有不同的侧重，有的部 3 分实现的相当复杂，有的部分实现的则相当简略。尼姆达病毒是一个 比较典型的病毒与蠕虫技术相结合的蠕虫病毒，它几乎包括目前所有 流行病毒的传播手段，并且可以攻击 Win98/NT/2000/XP 等所有的 Windows 操作平台。该病毒有以下 4 种传播方式: (1) 通过 Email 发送在客户端看不到的邮件附件程序 sample.exe，该部分利用了微软的 OE 信件浏览器的漏洞; (2) 通过网络共享的方式来传染给局域网络上的网络邻居，使 用设置密码的共享方式可以有效的防止该病毒的此种传播方式; (3) 通过没有补丁的IIS 服务器来传播，该传播往往是病毒屡杀 不绝的原因，该方式利用了微软 IIS 的 UNICODE 漏洞; (4)通过感染普通的文件来传播，在这一点上和普通的病毒程序 相同。 4、蠕虫病毒的传播趋势 目前的流行病毒越来越表