資源描述:
《蠕蟲(chóng)病毒的特征與防治》由會(huì)員上傳分享���,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�。
1、研究生課程論文(2008-2009學(xué)年第二學(xué)期)蠕蟲(chóng)病毒的特征與防治摘要隨著網(wǎng)絡(luò)的發(fā)展�,以網(wǎng)絡(luò)傳播的蠕蟲(chóng)病毒利用網(wǎng)絡(luò)全球互聯(lián)的優(yōu)勢(shì)和計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)安全性上的漏洞,己經(jīng)成為計(jì)算機(jī)系統(tǒng)安全的一大的威脅�。采用網(wǎng)絡(luò)傳播的蠕蟲(chóng)病毒與傳統(tǒng)的計(jì)算機(jī)病毒在很多方面都有許多不同的新特點(diǎn)。本文對(duì)蠕蟲(chóng)病毒的特征和防御策略進(jìn)行了研究�,透徹分析了幾個(gè)流行的蠕蟲(chóng)病毒的本質(zhì)特征和傳播手段�,并捉出了防治未知病毒以及變形病毒的解決方案與熄擬機(jī)相結(jié)合的基于攻擊行為的著色判決PN機(jī)蠕蟲(chóng)檢測(cè)方法。關(guān)鍵詞:蠕蟲(chóng)���,病毒特征�����,病毒防治1引言“蠕蟲(chóng)”這個(gè)生物學(xué)名詞于1982年由XeroxPARC的JohnF.Shoeh等人最早引
2��、入計(jì)算機(jī)領(lǐng)域��,并給出了計(jì)算機(jī)蠕蟲(chóng)的兩個(gè)最基木的特征:“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”���。最初,他們編寫(xiě)蠕蟲(chóng)的目的是做分布式計(jì)算的模型試驗(yàn)����。1988年Morris蠕蟲(chóng)爆發(fā)后,EugeneH.Spafford為了區(qū)分蠕蟲(chóng)和病毒,給岀了蠕蟲(chóng)的技術(shù)角度的定義�。“計(jì)算機(jī)蠕蟲(chóng)可以獨(dú)立運(yùn)行����,并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?��!庇?jì)算機(jī)蠕蟲(chóng)和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能����,這兩個(gè)主要特性上的一致�����,導(dǎo)致二者Z間是非常難區(qū)分的���。近年來(lái)����,越來(lái)越多的病毒采取了蠕蟲(chóng)技術(shù)來(lái)達(dá)到其在網(wǎng)絡(luò)上迅速感染的目的��。因而��,“蠕蟲(chóng)”本身只是“計(jì)算機(jī)病毒”利用的一種技術(shù)手段⑴。2蠕蟲(chóng)病毒的
3�、特征及傳播1、一般特征:(1)獨(dú)立個(gè)體����,單獨(dú)運(yùn)行;(2)大部分利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊�;(3)傳播方式多樣;(4)造成網(wǎng)絡(luò)擁塞�����,消耗系統(tǒng)資源���;(5)制作技術(shù)與傳統(tǒng)的病毒不同,與黑客技術(shù)相結(jié)合��。2����、病毒與蠕蟲(chóng)的區(qū)別(1)存在形式上病毒寄生在某個(gè)文件上,而蠕蟲(chóng)是作為獨(dú)立的個(gè)體而存在;(2)傳染機(jī)制方面病毒利用宿主程序的運(yùn)行��,而蠕蟲(chóng)利用系統(tǒng)存在的漏洞���;(3)傳染目標(biāo)病毒針對(duì)本地文件�,而蠕蟲(chóng)針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī);(4)防治病毒是將其從宿主文件中刪除���,而防治蠕蟲(chóng)是為系統(tǒng)打補(bǔ)丁����。3���、傳播過(guò)程:(1)掃描:由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)���。(2)攻擊:攻擊模塊按漏洞攻擊步驟
4、自動(dòng)攻擊步驟1中找到的對(duì)象�����,取得該主機(jī)的權(quán)限(一般為管理員權(quán)限)�����,獲得一個(gè)shello(3)現(xiàn)場(chǎng)處理:進(jìn)入被感染的系統(tǒng)后���,耍做現(xiàn)場(chǎng)處理工作�����,現(xiàn)場(chǎng)處理部分工作主耍包括隱藏��、信息搜集等等(4)復(fù)制:復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)�����。每一個(gè)具體的蠕蟲(chóng)在實(shí)現(xiàn)這四個(gè)部分時(shí)會(huì)有不同的側(cè)重�����,有的部分實(shí)現(xiàn)的相當(dāng)復(fù)雜�,有的部分實(shí)現(xiàn)的則相當(dāng)簡(jiǎn)略�����。尼姆達(dá)病毒是一個(gè)比較典型的病毒與蠕蟲(chóng)技術(shù)相結(jié)合的蠕蟲(chóng)病毒��,它幾乎包括目前所有流行病毒的傳播手段���,并且可以攻擊Win98/NT/2000/XP等所有的Windows操作平臺(tái)�。該病毒有以下4種傳播方式:(1)通過(guò)Email發(fā)送在客戶端看不到的
5���、郵件附件程序sample.exe,該部分利用了微軟的OE信件瀏覽器的漏洞���;(2)通過(guò)網(wǎng)絡(luò)共享的方式來(lái)傳染給局域網(wǎng)絡(luò)上的網(wǎng)絡(luò)鄰屆��,使用設(shè)置密碼的共享方式可以有效的防止該病毒的此種傳播方式��;(3)通過(guò)沒(méi)有補(bǔ)丁的IIS服務(wù)器來(lái)傳播�,該傳播往往是病毒屢殺不絕的原因�,該方式利用了微軟IIS的UNICODE漏洞;(1)通過(guò)感染普通的文件來(lái)傳播���,在這一點(diǎn)上和普通的病毒程序相同�。4��、蠕蟲(chóng)病毒的傳播趨勢(shì)目前的流行病毒越來(lái)越表現(xiàn)!I【以下三種傳播趨勢(shì):1��、通過(guò)郵件附件傳播病毒�,如Mydoom等郵件病毒;2���、通過(guò)無(wú)口令或者弱口令共享傳播病毒�,如Nimda>Netskey等�;3�����、利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞傳播
6����、病毒�����,如沖擊波蠕蟲(chóng)����、震蕩波蠕蟲(chóng)等。3目前流行的蠕蟲(chóng)病毒3.1Mydoom郵件病毒Novarg/Mydoom.a蠕蟲(chóng)是2004年1月28日開(kāi)始傳入我國(guó)的一個(gè)通過(guò)郵件傳播的蠕蟲(chóng)���。在全球所造成的直接經(jīng)濟(jì)損失至少達(dá)400億美元,是2004年1月份十大病毒之首��。該蠕蟲(chóng)利用欺騙性的郵件主題和內(nèi)容來(lái)誘使用戶運(yùn)行郵件中的附件���。拒絕服務(wù)的方式是向網(wǎng)站的WEB服務(wù)發(fā)送大量GET請(qǐng)求�,在傳播和攻擊過(guò)程中����,會(huì)占用大量系統(tǒng)資源�,導(dǎo)致系統(tǒng)運(yùn)行變慢�����。蠕蟲(chóng)述會(huì)在系統(tǒng)上留下后門(mén),通過(guò)該后門(mén)�,入侵者可以完全控制被感染的主機(jī)⑵。該蠕蟲(chóng)沒(méi)有使用特別的技術(shù)和系統(tǒng)漏洞���,之所以能造成如此人的危害�����,主要還是由于人們防范意識(shí)的薄弱���,和蠕
7、蟲(chóng)本身傳播速度較快的緣故�。該蠕蟲(chóng)主要通過(guò)電子郵件進(jìn)行傳播,它的郵件主題��、正文和所帶附件的文件名都是隨機(jī)的�����,另外它述會(huì)利用Kazaa的共享網(wǎng)絡(luò)來(lái)進(jìn)行傳播。病毒文件的圖標(biāo)和windows系統(tǒng)記事木(NOTEPAD.EXE)圖標(biāo)非常和似���,運(yùn)行后會(huì)打開(kāi)記事木程序����,顯示一些亂碼信息���,其實(shí)病毒已經(jīng)開(kāi)始運(yùn)行了����。病毒會(huì)創(chuàng)建名為“SwebSipcSmtxSO”的排斥體來(lái)判斷系統(tǒng)是否C經(jīng)被感染�。蠕蟲(chóng)在系統(tǒng)中尋找所有可能包含郵件地址的文件,包括地址簿文件
