資源描述:
《蠕蟲病毒的特征與防治》由會員上傳分享���,免費在線閱讀�����,更多相關內容在工程資料-天天文庫��。
1����、研究生課程論文(2008-2009學年第二學期)蠕蟲病毒的特征與防治摘要隨著網(wǎng)絡的發(fā)展����,以網(wǎng)絡傳播的蠕蟲病毒利用網(wǎng)絡全球互聯(lián)的優(yōu)勢和計算機系統(tǒng)及網(wǎng)絡系統(tǒng)安全性上的漏洞,己經(jīng)成為計算機系統(tǒng)安全的一大的威脅。采用網(wǎng)絡傳播的蠕蟲病毒與傳統(tǒng)的計算機病毒在很多方面都有許多不同的新特點���。本文對蠕蟲病毒的特征和防御策略進行了研究�����,透徹分析了幾個流行的蠕蟲病毒的本質特征和傳播手段,并捉出了防治未知病毒以及變形病毒的解決方案與熄擬機相結合的基于攻擊行為的著色判決PN機蠕蟲檢測方法��。關鍵詞:蠕蟲���,病毒特征�����,病毒防治1引言“蠕蟲”這個生物學名詞于1982年由XeroxPARC的JohnF.Shoeh等人最早引
2�����、入計算機領域�����,并給出了計算機蠕蟲的兩個最基木的特征:“可以從一臺計算機移動到另一臺計算機”和“可以自我復制”�����。最初�,他們編寫蠕蟲的目的是做分布式計算的模型試驗。1988年Morris蠕蟲爆發(fā)后�����,EugeneH.Spafford為了區(qū)分蠕蟲和病毒��,給岀了蠕蟲的技術角度的定義���?����!坝嬎銠C蠕蟲可以獨立運行�����,并能把自身的一個包含所有功能的版本傳播到另外的計算機上�?�!庇嬎銠C蠕蟲和計算機病毒都具有傳染性和復制功能�,這兩個主要特性上的一致����,導致二者Z間是非常難區(qū)分的���。近年來����,越來越多的病毒采取了蠕蟲技術來達到其在網(wǎng)絡上迅速感染的目的����。因而��,“蠕蟲”本身只是“計算機病毒”利用的一種技術手段⑴����。2蠕蟲病毒的
3����、特征及傳播1、一般特征:(1)獨立個體�����,單獨運行��;(2)大部分利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊��;(3)傳播方式多樣�����;(4)造成網(wǎng)絡擁塞��,消耗系統(tǒng)資源�;(5)制作技術與傳統(tǒng)的病毒不同,與黑客技術相結合�����。2�、病毒與蠕蟲的區(qū)別(1)存在形式上病毒寄生在某個文件上,而蠕蟲是作為獨立的個體而存在;(2)傳染機制方面病毒利用宿主程序的運行��,而蠕蟲利用系統(tǒng)存在的漏洞;(3)傳染目標病毒針對本地文件�����,而蠕蟲針對網(wǎng)絡上的其他計算機�;(4)防治病毒是將其從宿主文件中刪除,而防治蠕蟲是為系統(tǒng)打補丁�。3、傳播過程:(1)掃描:由蠕蟲的掃描功能模塊負責探測存在漏洞的主機��。(2)攻擊:攻擊模塊按漏洞攻擊步驟
4��、自動攻擊步驟1中找到的對象�,取得該主機的權限(一般為管理員權限)��,獲得一個shello(3)現(xiàn)場處理:進入被感染的系統(tǒng)后���,耍做現(xiàn)場處理工作���,現(xiàn)場處理部分工作主耍包括隱藏�����、信息搜集等等(4)復制:復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。每一個具體的蠕蟲在實現(xiàn)這四個部分時會有不同的側重����,有的部分實現(xiàn)的相當復雜,有的部分實現(xiàn)的則相當簡略��。尼姆達病毒是一個比較典型的病毒與蠕蟲技術相結合的蠕蟲病毒����,它幾乎包括目前所有流行病毒的傳播手段�,并且可以攻擊Win98/NT/2000/XP等所有的Windows操作平臺���。該病毒有以下4種傳播方式:(1)通過Email發(fā)送在客戶端看不到的
5��、郵件附件程序sample.exe,該部分利用了微軟的OE信件瀏覽器的漏洞��;(2)通過網(wǎng)絡共享的方式來傳染給局域網(wǎng)絡上的網(wǎng)絡鄰屆���,使用設置密碼的共享方式可以有效的防止該病毒的此種傳播方式;(3)通過沒有補丁的IIS服務器來傳播,該傳播往往是病毒屢殺不絕的原因����,該方式利用了微軟IIS的UNICODE漏洞����;(1)通過感染普通的文件來傳播,在這一點上和普通的病毒程序相同�����。4���、蠕蟲病毒的傳播趨勢目前的流行病毒越來越表現(xiàn)!I【以下三種傳播趨勢:1、通過郵件附件傳播病毒����,如Mydoom等郵件病毒�����;2、通過無口令或者弱口令共享傳播病毒���,如Nimda>Netskey等��;3��、利用操作系統(tǒng)或者應用系統(tǒng)漏洞傳播
6��、病毒����,如沖擊波蠕蟲�、震蕩波蠕蟲等。3目前流行的蠕蟲病毒3.1Mydoom郵件病毒Novarg/Mydoom.a蠕蟲是2004年1月28日開始傳入我國的一個通過郵件傳播的蠕蟲���。在全球所造成的直接經(jīng)濟損失至少達400億美元���,是2004年1月份十大病毒之首�����。該蠕蟲利用欺騙性的郵件主題和內容來誘使用戶運行郵件中的附件。拒絕服務的方式是向網(wǎng)站的WEB服務發(fā)送大量GET請求�,在傳播和攻擊過程中,會占用大量系統(tǒng)資源��,導致系統(tǒng)運行變慢����。蠕蟲述會在系統(tǒng)上留下后門,通過該后門�,入侵者可以完全控制被感染的主機⑵。該蠕蟲沒有使用特別的技術和系統(tǒng)漏洞�����,之所以能造成如此人的危害,主要還是由于人們防范意識的薄弱,和蠕
7���、蟲本身傳播速度較快的緣故��。該蠕蟲主要通過電子郵件進行傳播�,它的郵件主題、正文和所帶附件的文件名都是隨機的���,另外它述會利用Kazaa的共享網(wǎng)絡來進行傳播��。病毒文件的圖標和windows系統(tǒng)記事木(NOTEPAD.EXE)圖標非常和似��,運行后會打開記事木程序�����,顯示一些亂碼信息,其實病毒已經(jīng)開始運行了�。病毒會創(chuàng)建名為“SwebSipcSmtxSO”的排斥體來判斷系統(tǒng)是否C經(jīng)被感染��。蠕蟲在系統(tǒng)中尋找所有可能包含郵件地址的文件��,包括地址簿文件
