齊魯醫(yī)學(xué)解析計(jì)算機(jī)蠕蟲(chóng)病毒

1、信息安全技術(shù)第 7 講 病毒防范技術(shù)7.1 病毒防范技術(shù)與殺病毒軟件7.2 解析計(jì)算機(jī)蠕蟲(chóng)病毒第 7 -2講 解析計(jì)算機(jī)蠕蟲(chóng)病毒凡是能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序我們都統(tǒng)稱為計(jì)算機(jī)病毒。所以，從這個(gè)意義上說(shuō)，蠕蟲(chóng)也是一種病毒。但與傳統(tǒng)的計(jì)算機(jī)病毒不同，網(wǎng)絡(luò)蠕蟲(chóng)病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象，其破壞力和傳染性不容忽視。第 7 講 病毒防范技術(shù)1. 蠕蟲(chóng)病毒的定義蠕蟲(chóng)病毒和普通病毒有很大區(qū)別。一般認(rèn)為，蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生 (有的只存在于內(nèi)存中) ，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑

2、客技術(shù)相結(jié)合等等。在產(chǎn)生的破壞性上，蠕蟲(chóng)病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。第 7 講 病毒防范技術(shù)根據(jù)其發(fā)作機(jī)制，蠕蟲(chóng)病毒一般可分為兩類一類是利用系統(tǒng)級(jí)別漏洞 (主動(dòng)傳播) ，主動(dòng)攻擊企業(yè)用戶和局域網(wǎng)的蠕蟲(chóng)病毒，這種病毒以“紅色代碼”、“尼姆達(dá)”以及“SQL蠕蟲(chóng)王”為代表，可以對(duì)整個(gè)因特網(wǎng)造成癱瘓性的后果；另一類是針對(duì)個(gè)人用戶，利用社會(huì)工程學(xué) (欺騙傳播) ，通過(guò)網(wǎng)絡(luò)電子郵件和惡意網(wǎng)頁(yè)等形式迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)、求職信病毒為例。第 7 講 病毒防范技術(shù)在這兩類中，第一類具有很大的主動(dòng)攻擊性，而且爆發(fā)也有一定的突然性，但相對(duì)來(lái)說(shuō)，

3、查殺這種病毒并不是很難；第二種病毒的傳播方式比較復(fù)雜和多樣，少數(shù)利用了應(yīng)用程序的漏洞，更多的是利用社會(huì)工程學(xué)對(duì)用戶進(jìn)行欺騙和誘使，這樣的病毒造成的損失非常大，同時(shí)也很難根除。比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位。第 7 講 病毒防范技術(shù)(1) 蠕蟲(chóng)病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫(xiě)到其他程序的體內(nèi)，而被感染的文件就稱為“宿主”。例如，當(dāng)病毒感染W(wǎng)indows可執(zhí)行文件時(shí)，就在宿主程序中建立一個(gè)新節(jié)，將病毒代碼寫(xiě)到新節(jié)中，并修改程序的入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候就可以先執(zhí)行病

4、毒程序，然后再把控制權(quán)交給原來(lái)的宿主程序指令。第 7 講 病毒防范技術(shù)可見(jiàn)，普通病毒主要是感染文件，當(dāng)然也有像DIR II這樣的鏈接型病毒和引導(dǎo)區(qū)病毒等。蠕蟲(chóng)一般不采取插入文件的方法，而是在因特網(wǎng)環(huán)境下通過(guò)復(fù)制自身進(jìn)行傳播，普通病毒的傳染主要針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)。第 7 講 病毒防范技術(shù)而蠕蟲(chóng)病毒的傳染目標(biāo)是因特網(wǎng)內(nèi)的所有計(jì)算機(jī)、局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)、存在著大量漏洞的服務(wù)器等，這些都成為蠕蟲(chóng)傳播的良好途徑。網(wǎng)絡(luò)的普及與發(fā)展也使得蠕蟲(chóng)病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球，而且其主動(dòng)攻擊性和突然爆發(fā)性將使人們手足無(wú)策。參見(jiàn)表7.5。第 7 講 病毒防范技術(shù)(2) 蠕蟲(chóng)的破

5、壞和變化1988年，一個(gè)由美國(guó)CORNELL大學(xué)研究生莫里斯編寫(xiě)的蠕蟲(chóng)病毒蔓延造成了數(shù)千臺(tái)計(jì)算機(jī)停機(jī)，蠕蟲(chóng)病毒開(kāi)始現(xiàn)身網(wǎng)絡(luò)；而后來(lái)的紅色代碼和尼姆達(dá)病毒瘋狂的時(shí)候曾造成幾十億美元的損失。第 7 講 病毒防范技術(shù)2003年1月26日，一種名為“2003蠕蟲(chóng)王”的電腦病毒迅速傳播并襲擊了全球，致使因特網(wǎng)嚴(yán)重堵塞，作為因特網(wǎng)主要基礎(chǔ)的域名服務(wù)器 (DNS) 的癱瘓?jiān)斐删W(wǎng)民瀏覽因特網(wǎng)網(wǎng)頁(yè)及收發(fā)電子郵件的速度大幅減緩，同時(shí)銀行自動(dòng)提款機(jī)的運(yùn)作中斷，機(jī)票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運(yùn)作中斷，信用卡等收付款系統(tǒng)出現(xiàn)故障。專家估計(jì)，此病毒造成的直接經(jīng)濟(jì)損失至少在12億美元以上。第 7 講 病毒防范技術(shù)通過(guò)對(duì)蠕蟲(chóng)病毒的分析

6、，可以知道蠕蟲(chóng)發(fā)作的一些特點(diǎn)和變化。1) 利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊。例如，由于IE瀏覽器的漏洞，使得感染了“尼姆達(dá)”病毒的郵件在不打開(kāi)附件的情況下就能激活病毒；“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞 (idq.dll遠(yuǎn)程緩存區(qū)溢出) 來(lái)傳播的；SQL蠕蟲(chóng)王病毒則是利用了微軟數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)漏洞進(jìn)行大肆攻擊。第 7 講 病毒防范技術(shù)2) 傳播方式多樣。如“尼姆達(dá)”和“求職信”等病毒，其可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等。第 7 講 病毒防范技術(shù)3) 病毒制作技術(shù)與傳統(tǒng)的病毒不同。許多新病毒是利用當(dāng)前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新

7、的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技術(shù)，可以潛伏在HTML頁(yè)面里，在上網(wǎng)瀏覽時(shí)觸發(fā)。第 7 講 病毒防范技術(shù)4) 與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大。以紅色代碼為例，感染后，機(jī)器web目錄下的 scripts子目錄將生成一個(gè)root.exe文件，可以遠(yuǎn)程執(zhí)行任何命令，從而使黑客能夠再次進(jìn)入。第 7 講 病毒防范技術(shù)2. 網(wǎng)絡(luò)蠕蟲(chóng)病毒分析和防范蠕蟲(chóng)病毒往往能夠利用的漏洞或者說(shuō)是缺陷分為兩種，即軟件缺陷和人為缺陷。軟件缺陷，如遠(yuǎn)程溢出，微軟IE和Outlook的自動(dòng)執(zhí)行漏洞等，需要軟件廠商和用戶共同配合，不斷升級(jí)和改進(jìn)軟件；而人為缺

8、陷，主要是指計(jì)算機(jī)用戶的疏忽，這就屬于所謂的社會(huì)工程學(xué)范疇。對(duì)企業(yè)用戶來(lái)說(shuō)，威脅主要集中在服務(wù)器和大型應(yīng)用軟件的安全上，而對(duì)個(gè)人用戶而言，則主要是防范第二種缺陷。第 7 講 病毒防范技術(shù)1) 企業(yè)防范蠕蟲(chóng)病毒的措施。企業(yè)網(wǎng)絡(luò)主要應(yīng)用在文件和打印服務(wù)共享、辦公自動(dòng)化系統(tǒng)、管理信息系統(tǒng) (MIS) 、因特網(wǎng)應(yīng)用等領(lǐng)域。網(wǎng)絡(luò)具有便利信息交換的特性，蠕蟲(chóng)病毒也可以充分利用網(wǎng)絡(luò)快速傳播達(dá)到其阻塞網(wǎng)絡(luò)的目的。企業(yè)在充分利用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理時(shí)，就不得不考慮病毒防范問(wèn)題，以保證關(guān)乎企業(yè)命運(yùn)的業(yè)務(wù)數(shù)據(jù)完整不被破壞。第 7 講 病毒防范技術(shù)以2003年1月26日爆發(fā)的SQL蠕蟲(chóng)為例，該病毒在爆發(fā)數(shù)小時(shí)內(nèi)就席卷了全

9、球網(wǎng)絡(luò)，造成網(wǎng)絡(luò)大塞車。SQL蠕蟲(chóng)攻擊的是Microsoft SQL Server 2000，而其所利用的漏洞在2002年7月份微軟公司的一份安全公告中就有詳細(xì)說(shuō)明，微軟也提供了安全補(bǔ)丁下載，然而在時(shí)隔半年之后，因特網(wǎng)上還有相當(dāng)大的一部分服務(wù)器沒(méi)有安裝最新的補(bǔ)丁，從而被蠕蟲(chóng)病毒所利用。網(wǎng)絡(luò)管理員的安全防范意識(shí)由此可見(jiàn)一斑。第 7 講 病毒防范技術(shù)企業(yè)防治蠕蟲(chóng)病毒的時(shí)候需要考慮幾個(gè)問(wèn)題：病毒的查殺能力，病毒的監(jiān)控能力，新病毒的反應(yīng)能力，而企業(yè)防毒的一個(gè)重要方面就是管理和策略。第 7 講 病毒防范技術(shù)2) 就個(gè)人而言，威脅較大的蠕蟲(chóng)病毒采取的傳播方式一般為電子郵件和惡意網(wǎng)頁(yè)等。惡意網(wǎng)頁(yè)確切地講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁(yè)中