当前位置:文档之家 › 蠕虫病毒

蠕虫病毒

  • 格式:ppt
  • 大小:155.50 KB
  • 文档页数:24

下载文档原格式

  / 24

合集下载

蠕虫病毒

蠕虫病毒
16
6.5 蠕虫病毒的检测与防范

对已知蠕虫的检测

以Worm.Sasser.b检测为例

首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机


第三步检测蠕虫的自我传播过程
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念

1982年,Shock和Hupp

根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想


蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播

传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁

更新防病毒软件

确保它是最新的

限制邮件附件

禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范

邮件程序设置

“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能

关闭WSH功能
2

后来的红色代码,尼姆达病毒的疯狂

2003年1月26日,“2003蠕虫王”

Morris

90行程序代码 2小时:

6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动

蠕虫病毒

蠕虫病毒

蠕虫病毒1、社会背景最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。

近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。

2、经济损失3、现象这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。

4、原理它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。

最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。

5、传播途径蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。

网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。

所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。

与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象。

蠕虫病毒原理

蠕虫病毒原理

蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。

蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。

一旦进入主机,它会尽可能隐藏自己以避免被发现。

2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。

它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。

3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。

它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。

这些漏洞可能存在于操作系统、应用程序或网络设备中。

4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。

这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。

5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。

它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。

蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。

为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。

五种常见的计算机病类型及其特征

五种常见的计算机病类型及其特征

五种常见的计算机病类型及其特征计算机病毒是指一种能够自我复制并感染计算机系统的恶意软件。

随着计算机技术的快速发展,各种计算机病毒层出不穷,给我们的电脑造成了严重威胁。

本文将介绍五种常见的计算机病类型及其特征,以帮助读者更好地了解和防范计算机病毒。

一、蠕虫病毒蠕虫病毒是一种能够通过网络进行自我传播的计算机病毒。

它会利用计算机上的漏洞和弱密码等方式,通过网络扫描,感染其他主机。

蠕虫病毒不需要用户交互,具有自我传播的特点。

一旦感染,蠕虫病毒会占用大量网络资源,导致网络拥塞。

同时,它还会消耗计算机的处理能力,导致系统变得缓慢,甚至崩溃。

二、木马病毒木马病毒是一种隐藏在合法程序中的恶意软件。

它借助合法程序或者文件传播,一旦用户打开被感染的文件,木马病毒便会悄悄运行并在后台执行恶意操作。

木马病毒可以窃取用户的敏感信息、删除文件、操控计算机等,对用户的个人和财产安全造成威胁。

三、病毒病毒是一种最常见的计算机病毒类型。

病毒依附在正常的文件中,当用户双击打开被感染的文件时,病毒会激活并感染其他文件。

病毒具有较强的传染性,可以快速蔓延到整个计算机系统。

病毒会破坏文件、操控系统、窃取用户信息等,对计算机系统和个人隐私造成重大威胁。

四、广告病毒广告病毒是一种以广告形式出现的恶意软件。

它会在计算机上弹出各种广告窗口,影响用户的正常使用。

广告病毒一般通过下载盗版软件、点击恶意广告等方式感染用户的计算机。

它不仅会打扰用户的正常工作,还可能导致用户点击恶意链接,进一步感染其他计算机病毒。

五、间谍软件间谍软件是一种能够悄悄监视用户活动并窃取敏感信息的计算机病毒。

它会记录用户的按键记录、浏览历史、登录账号等,并传送给黑客。

间谍软件一般通过网络下载、电子邮件附件等方式感染用户的计算机。

它给用户的个人隐私带来了巨大威胁,一旦被感染,用户的账号、密码、银行信息等可能会被泄露。

为了有效防范计算机病毒的侵害,我们需要采取一系列措施。

首先,定期更新操作系统和软件补丁,以修复系统漏洞。

计算机病毒种类

计算机病毒种类

计算机病毒种类计算机病毒是一种有害的软件程序,它能够自我复制并传播到其他计算机系统内部,破坏或者干扰正常的计算机运行。

计算机病毒可以根据它们的传播方式、作用方式以及造成的破坏程度来划分。

接下来我们将介绍几种常见的计算机病毒类型。

1. 蠕虫病毒:蠕虫病毒是一种能够在计算机网络中传播的恶意软件。

它们利用网络漏洞自我复制,并传播到其他连接的计算机上。

蠕虫病毒通常会利用计算机内部的资源和带宽,导致系统运行缓慢甚至瘫痪。

2. 病毒:病毒是一种依附于合法程序或文件的恶意代码。

当受感染的程序或文件被打开或执行时,病毒会在计算机系统中复制自己,并传播到其他程序或文件中。

病毒可以破坏文件和系统,甚至悄无声息地窃取用户的个人信息。

3. 木马病毒:木马病毒是一种通过伪装成合法软件或文件来入侵计算机系统的恶意软件。

一旦木马病毒植入系统,黑客可以通过远程控制访问计算机,获取用户的敏感信息,例如银行账户、密码等。

木马病毒可以起到间谍的作用,对用户行为进行监控。

4. 广告软件:广告软件也被称为广告支持软件,它是一种在用户未经授权的情况下,在计算机系统中投放广告的软件程序。

广告软件可以通过弹窗、植入广告等方式显示广告,给用户带来很多不必要的干扰。

5. 勒索软件:勒索软件是一种通过加密用户文件或屏蔽用户系统来勒索赎金的恶意软件。

一旦受到勒索软件的攻击,用户将无法访问自己的文件或系统,直到支付赎金为止。

勒索软件通常使用匿名的加密货币进行交易,使得追踪黑客变得困难。

6. 宏病毒:宏病毒是一种利用文档和办公软件中的宏功能来传播和感染计算机的恶意软件。

当用户打开感染的文档时,宏病毒会自动激活并执行恶意代码。

宏病毒常见于办公环境中,如Word、Excel等文档类型。

7. 嗅探器:嗅探器是一种用来监视计算机系统上的网络流量的恶意软件。

它可以截取用户发送和接收的数据包,以获取用户的敏感信息,如账号、密码、信用卡信息等。

嗅探器通常植入在网络设备、路由器等中,隐秘地进行监听。

蠕虫病毒原理

蠕虫病毒原理

邮件蠕虫

主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞

网页蠕虫(木马)

主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种


用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞


网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分

包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw


独立病毒分析的准备工作


蠕虫病毒


分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒

第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。

蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。

蠕虫病毒是第一种在网络上传播的病毒,起源于1988 年, 它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。

最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,蠕虫病毒一般是通过1434端口漏洞传播。

比如近几年危害很大的"尼姆亚"病毒就是蠕虫病毒的一种,2007年1月流行的"熊猫烧香"以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。

蠕虫病毒原理

蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件,它可以通过网络迅速传播,
并对计算机系统造成严重的破坏。

蠕虫病毒的原理主要包括感染、传播和破坏三个方面。

首先,蠕虫病毒通过利用系统的漏洞或者安全漏洞进行感染。

一旦蠕虫病毒成
功侵入系统,它就会开始自我复制,并试图传播到其他的计算机系统中。

蠕虫病毒通常会利用网络上的共享资源、邮件附件、移动设备等方式进行传播,以此来迅速扩散和感染更多的计算机系统。

其次,蠕虫病毒会利用各种手段来破坏受感染的系统。

它可以删除文件、篡改
数据、监视用户的操作、窃取个人信息等,从而给受感染的系统带来严重的安全隐患。

蠕虫病毒的破坏性非常强,一旦感染,往往会给用户带来巨大的损失。

蠕虫病毒的传播和破坏原理是密不可分的,它们共同构成了蠕虫病毒的恶意行为。

蠕虫病毒通过不断自我复制和传播,不仅会给受感染的系统带来严重的安全威胁,也会对网络安全造成严重的影响。

因此,我们必须加强对蠕虫病毒的防范意识,及时更新系统补丁,安装杀毒软件,加强网络安全防护,以确保计算机系统的安全。

总之,蠕虫病毒的原理主要包括感染、传播和破坏三个方面。

它通过利用系统
漏洞进行感染,利用各种手段进行传播和破坏,给计算机系统的安全带来了严重威胁。

我们必须加强对蠕虫病毒的防范意识,提高网络安全防护能力,以保护计算机系统的安全。

老冯头——蠕虫病毒恶意软件分析

蠕虫病毒—恶意软件分析姓名:冯鑫苑班级:计算机应用专业1021 学号:2010284112一、蠕虫病毒1.蠕虫(Worm)病毒定义:蠕虫病毒是一种常见的计算机病毒。

它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。

比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。

蠕虫程序主要利用系统漏洞进行传播。

它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。

因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。

蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。

虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。

蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。

2.蠕虫病毒入侵模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。

主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。

它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。

随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。

蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位。

(autoRelocation)的能力。

如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。

二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。

主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。

分析过程:clam av 引擎流程图:clam av没有明确的引擎代码部分,这里以scanmanager函数为开始只画出clamav 整个检测流程。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
16
6.5 蠕虫病毒的检测与防范

对已知蠕虫的检测

以Worm.Sasser.b检测为例

首先通过对TCP半连接状态的检测发现病毒的扫描行为,发现 可疑的扫描源 然后在TCP的连接建立时间中检测可疑扫描源对漏洞主机特定 端口(445)的攻击行为,进一步确认感染了蠕虫的主机


第三步检测蠕虫的自我传播过程
11
6.3 蠕虫病毒的特性
蠕虫病毒的特点

清除难度大



单机病毒可通过删除带毒文件、低级格式化硬盘等措施清除 而网络中只要有一台工作站未能杀毒干净就可能使整个网络重新 全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能 被网上另一台工作站的带毒程序所传染 仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题 网络中蠕虫病毒将直接影响网络的工作状态 轻则降低速度,影响工作效率 重则造成网络系统的瘫痪,破坏服务器系统资源,使多年的工作 毁于一旦

6.1 蠕虫的基本概念

根据攻击对象不同 面向企业用户和局域网
• • • •
利用系统漏洞,主动进行攻击,可以使整个因特网瘫痪 “红色代码”、“尼姆达”、“SQL蠕虫王” 具有很大的主动攻击性,爆发也具有一定的突然性 相对来说查杀较容易

针对个人用户

• • •
通过网络(主要是电子邮件、恶意网页)迅速传播 “爱虫”、“求职信” 传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞, 更多的利用社会工程学对用户进行欺骗和诱使 造成的损失非常大,同时很难根除
3
6.1 蠕虫的基本概念
蠕虫病毒造成的损失
4
6.1 蠕虫的基本概念

1982年,Shock和Hupp

根据《The Shockwave Rider》一书中的概念提出了 一种“蠕虫Worm”程序的思想


蠕虫病毒是一种常见的计算机病毒 利用网络进行复制和传播

传播通常不需要所谓的激活 通过分布式网络来散播特定的信息或错误,进而造成 网络服务遭到拒绝并发生死锁
15
6.5 蠕虫病毒的检测与防范

对未知蠕虫的检测

通用的方法是对流量异常的统计分析 对TCP连接异常的分析 对ICMP数据异常的分析

• •

在蠕虫的扫描阶段,会随机地或伪随机地生成大量的IP地址进 行扫描,探测漏洞主机 这些被扫描的IP地址中会存在许多空的或者不可达的IP地址 从而在一段时间内蠕虫主机会接收到大量来自不同路由器的 ICMP-T3(目标不可达)数据包 通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发 现,然后隔离分析,并采取相应措施
计算机病毒原理-第六章
蠕虫病毒
2010年10月19
1
6.1 蠕虫的基本概念

1988年

美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数 千台计算机停机,蠕虫病毒开始现身网络 造成几十亿美元的损失 迅速传播并袭击了全球,致使互联网网路严重堵塞 作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览 互联网网页及收发电子邮件的速度大幅减缓 银行自动提款机的运作中断,机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障 造成的直接经济损失至少在12亿美元以上

蠕虫与木马

共性

自我传播,不感染其他文件 木马需要用户上当受骗来进行传播 蠕虫包含自我复制程序,利用所在系统进行传播 蠕虫的破坏目的是纯粹的破坏 耗费网络资源、删除用户数据
传播特性上有微小差别
• •

破坏目的不同


木马的破坏目的是窃取用户的信息
9
6.3 蠕虫病毒的特性

蠕虫病毒具有自我复制能力 蠕虫病毒具有很强的传播性
14

攻击



复制

6.4 蠕虫病毒的机理

蠕虫程序常驻于一台或多台计算机中

具有自动重新定位的能力 如果它检测到网络中的某台计算机未被占用,就把自 身的一个拷贝发送给那台计算机 每个程序段都能把自身的拷贝重新定位于另一台计算 机中,并且能够识别出它自己所占用的计算机


当前流行的病毒主要采用一些已公开的漏洞、脚 本以及电子邮件等进行传播

更新防病毒软件

确保它是最新的

限制邮件附件

禁止运行附件中的可执行文件(.COM、.EXE等),预防DOC、 XLS等附件文档,不要直接运行脚本文件(VBS、SHS)
18
6.5 蠕虫病毒的检测与防范

邮件程序设置

“附件的安全性”设为“高” 禁止“服务器脚本运行” 慎用邮件预览功能

关闭WSH功能
求职信及变种


一种电子邮件蠕虫病毒 它自动向外发送带毒邮件,病毒发作后会感染电脑中的Word文档 和Excel文档,且遭受感染的文档和数据根本无法恢复 同时,该病毒将终止反病毒软件的运行,并将其从电脑中删除
23
6.6 目前流行的蠕虫病毒

冲击波杀手及其变种

利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的 Windows用户 使他们的计算机无法工作并反复重启,大量企业用户也未能幸免 该病毒还引发了DOS攻击,使多个国家的互联网也受到相当影响 出现的故障如:电脑不能正常复制粘贴,系统网络连接数增大, 系统反应奇慢等 利用微软公布的两个漏洞进行传播 病毒运行后会生成病毒文件,修改注册表,终止一些防病毒软件 和防火墙的运行 另外,病毒可通过局域网共享进行传播,并具有后门功能
20

“网络天空”蠕虫病毒



“诺维格”蠕虫病毒

6.6 目前流行的蠕虫病毒

“恶鹰”蠕虫病毒

利用自带的邮件引擎大量发送病毒邮件 可利用局域网和“点对点文件共享工具”进行传播


病毒会在被感染的系统中开启后门,等待黑客连接
大量的病毒邮件不仅影响个人用户,更直接的危害企业的邮件服 务器,可能导致这些邮件服务器出现延迟发信、瘫痪等现象 该病毒可以阻碍网络畅通、使防病毒软件失效、并伪装成著名 MP3播放器的可执行文件使用户感染 中止大量反病毒软件,并用病毒文件替换反病毒软件的主程序, 导致反病毒软件无法使用
21

“灾飞”病毒


6.6 目前流行的蠕虫病毒

QQ消息机木马病毒、网游/网银盗号木马

QQ消息机利用IE漏洞传播 每一个病毒传播范围不广,但是其变种频出

网游盗号木马病毒泛滥,其变种繁多,针对各类网络游戏的木马 病毒每天都在增加
它们会伪装成工具欺骗用户运行,捆绑到网游外挂上 利用QQ消息机的传播特性等多种手段进入用户的系统,通过监视 用户系统的一举一动伺机盗取用户的网游账号、密码和网络银行 的账号、密码 给用户带来一定的经济损失


蠕虫病毒具有一定的潜伏性
蠕虫病毒具有特定的触发性

蠕虫病毒具有很大的破坏性
10
6.3 蠕虫病毒的特性
蠕虫病毒的特点

传染方式多

蠕虫入侵网络的主要途径是通过工作站传播到服务器硬盘中,再 由服务器的共享目录传播到其他的工作站
但蠕虫病毒的传染方式比较复杂


传播速度快
• •
在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机 在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散


22
6.6 目前流行的蠕虫病毒

“好大”病毒及变种

于2004年1月出现,随后多个变种开始传播 通过电子邮件传播,可以导致企业网络出现大规模终断 实际目的是为了控制被感染的计算机 一旦被感染,一台PC可能会与已经被蠕虫感染的20台网络服务器 相连,使得黑客可以下载PC中的文件

对振荡波来说,是通过5554端口的FTP服务来进行传播 最后通过传播文件的特征(123_up.exe)来进一步确认振荡 波的传播
17

6.5 蠕虫病毒的检测与防范

定期扫描系统

通常,防病毒软件都能够设置成在计算机每次启动时扫描系统或 定期运行扫描工作

一些程序还可以在连接到因特网上时在后台扫描系统

有些电子邮件病毒是利用WSH进行破坏的

预防为主,利用工具进行保护
196.6 目前流行的蠕虫毒“震荡波”病毒

系统开启上百个线程去攻击其他网上的用户 造成机器运行缓慢、网络堵塞,并让系统不停地进行倒计时重启 其中毒现象非常类似于以前的“冲击波”病毒 病毒利用系统收信邮件地址,疯狂的乱发病毒邮件 大量浪费网络资源,使众多邮件服务器瘫痪 因此让受感染的系统速度变慢 利用邮件疯狂传播,开后门监听 可做为代理服务器或自动下载并执行任意程序
24

安哥Worm.Agobot变种


2

后来的红色代码,尼姆达病毒的疯狂

2003年1月26日,“2003蠕虫王”

Morris

90行程序代码 2小时:

6000台电脑(互联网的十分之一)瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动

病毒的萌芽:
没有企图用蠕虫去破坏数据或文件,但他企图让蠕虫广泛传播
7
6.2 蠕虫和其他病毒的关系

不采取利用PE格式插入文件的方法

蠕虫复制自身并在因特网中进行传播
普通病毒的传染主要针对计算机内的文件系统

蠕虫传染目标是因特网内所有计算机