计算机病毒技术特征.ppt

1蠕虫病毒蠕虫这个名词的由来是在1982年，Shock和Hupp根据《TheShockwaveRider》一书中的概念提出了一种“蠕虫（Worm）”程序的思想。蠕虫（Worm）是病毒的一种，它的传播通常不需要所谓的激活。它通过分布式网络来散播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。具有病毒共性：如传播性、隐蔽性、破坏性等独有的性质：不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等第31页，共74页，星期日，2025年，2月5日两类：一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。另外一种是针对个人用户的，通过网络（主要是电子邮件、恶意网页形式）迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。和普通病毒的区别：普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机第32页，共74页，星期日，2025年，2月5日蠕虫病毒的特性第一，利用漏洞主动进行攻击第二，病毒制作技术新第三，与黑客技术相结合，潜在的威胁和损失更大第四，传染方式多第五，传播速度快第六，清除难度大第七，破坏性强第33页，共74页，星期日，2025年，2月5日蠕虫病毒的机理蠕虫病毒由两部分组成：一个主程序和另一个是引导程序。主程序收集与当前机器联网的其他机器的信息。利用漏洞在远程机上建立引导程序。引导程序把“蠕虫”病毒带入了它所感染的每一台机器中。当前流行的病毒主要采用一些已公开漏洞、脚本、电子邮件等机制进行传播。例如，IRC,RPC等漏洞。第34页，共74页，星期日，2025年，2月5日蠕虫病毒实例MSN蠕虫病毒1.基本特征：名称：IM-Worm.Win32.Webcam.a原始大小：188,928字节压缩形式：PESpin编写语言：MicrosoftVisualBasic6.0文件名称：LMAO.pif，LOL.scr，naked_drunk.pif等。第35页，共74页，星期日，2025年，2月5日2.行为分析：（1）蠕虫运行后，将释放一个名为CZ.EXE文件到C盘根目录，并将它拷贝到%system%目录下，文件名为winhost.exe。然后，将文件属性设置为隐藏、只读、系统，同时将该文件创建时间改成同系统文件日期一样，进行欺骗迷惑。同时蠕虫会在C盘跟目录随机生成一个文件，扩展名为PIF或EXE等，该文件用来向MSN好友传播。此外，病毒还会在%system%目录下生成msnus.exe，该文件为蠕虫自身拷贝。第36页，共74页，星期日，2025年，2月5日（2）将自身加入到注册表启动项目保证自身在系统重启动后被加载：位置：Software\Microsoft\Windows\CurrentVersion\Run键名：win32键值：winhost.exe位置：Software\Microsoft\Windows\CurrentVersion\RunServices键名：win32键值：winhost.exe第37页，共74页，星期日，2025年，2月5日（3）蠕虫病毒会在C盘根目录生成一个图片文件，名字为sexy.jpg，并调用jpg关联程序打开该图片。一般情况下，会用IE打开该图片，打开后效果如下图。（4）开启本地TCP10xx端口，频繁连接目标：28:8080，接受黑客控制。（5）查找MSN窗口，如果存在，则向好友列表中发送消息传播自身。第38页，共74页，星期日，2025年，2月5日3.防范方案：（1）手工清除。按照上面的行为分析，终止并删除相关进程文件，修复注册表。（2）用户可以避免接收MSN上发来的陌生附件，包括扩展名为EXE或SCR等的附件，来预防该蠕虫。第39页，共74页，星期日，2025年，2月5日如何防范蠕虫预防第一工具保护定期扫描你的系统更新你的防病毒软件不要轻易执行附件中的EXE和COM等可执行程序不要轻易打开附件中的文档文件第40页，共74页，星期日，2025年，2月5日不要直接运行附件邮件程序设置谨用预览功能卸载ScriptingHost警惕发送出去的邮件第41页，共74页，星期日，2025年，2月5日2利用Outlook漏洞编写病毒电子邮件成为新型病毒的重要载体利用Outlook漏洞传播的病毒：“爱虫（ILoveYou）”“美丽杀（Melissa）”宏病毒“库尔尼科娃”“主页(HomePage)”“欢乐时光（HappyTime）”第42页