蠕蟲病毒及防範措施 (轉載)
凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是壹種病毒!網絡蠕蟲病毒,作為對互聯網危害嚴重的 壹種計算機程序,其破壞力和傳染性不容忽視。與傳統的病毒不同,蠕蟲病毒以計算機為載體,以網絡為攻擊對象!本文中將蠕蟲病毒分為針對企業網絡和個人用戶2類,並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和壹些防範措施!
本文根據蠕蟲病毒的發作機制,將其分為利用系統級別漏洞(主動傳播)和利用社會工程學(欺騙傳播)兩種,並從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類,從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和壹些防範措施!
壹、蠕蟲病毒的定義
1.蠕蟲病毒的定義
計算機病毒自出現之日起,就成為計算機的壹個巨大威脅,而當網絡迅速發展的時候,蠕蟲病毒引起的危害開始顯現!從廣義上定義,凡能夠引起計算機故障,破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說,蠕蟲也是壹種病毒!但是蠕蟲病毒和壹般的病毒有著很大的區別。對於蠕蟲,現在還沒有壹個成套的理論體系,壹般認為,蠕蟲是壹種通過網絡傳播的惡性病毒,它具有病毒的壹些***性,如傳播性,隱蔽性,破壞性等等,同時具有自己的壹些特征,如不利用文件寄生(有的只存在於內存中),對網絡造成拒絕服務,以及和黑客技術相結合等等!在產生的破壞性上,蠕蟲病毒也不是普通病毒所能比擬的,網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡,造成網絡癱瘓!
根據使用者情況可將蠕蟲病毒分為2類,壹種是面向企業用戶和局域網而言,這種病毒利用系統漏洞,主動進行攻擊,可以對整個互聯網可造成癱瘓性的後果!以“紅色代碼”,“尼姆達”,以及最新的“sql蠕蟲王”為代表。另外壹種是針對個人用戶的,通過網絡(主要是電子郵件,惡意網頁形式)迅速傳播的蠕蟲病毒,以愛蟲病毒,求職信病毒為例.在這兩類中,第壹類具有很大的主動攻擊性,而且爆發也有壹定的突然性,但相對來說,查殺這種病毒並不是很難。第二種病毒的傳播方式比較復雜和多樣,少數利用了微軟的應用程序的漏洞,更多的是利用社會工程學()對用戶進行欺騙和誘使,這樣的病毒造成的損失是非常大的,同時也是很難根除的,比如求職信病毒,在2001年就已經被各大殺毒廠商發現,但直到2002年底依然排在病毒危害排行榜的首位就是證明!出得在接下來的內容中,將分別分析這兩種病毒的壹些特征及防範措施!
2.蠕蟲病毒與壹般病毒的異同
蠕蟲也是壹種病毒,因此具有病毒的***同特征。壹般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,windows下可執行文件的格式為pe格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立壹個新節,將病毒代碼寫到新節中,修改的程序入口點等,這樣,宿主程序執行的時候,就可以先執行病毒程序,病毒程序運行完之後,在把控制權交給宿主原來的程序指令。可見,病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區病毒。引導區病毒他是感染磁盤的引導區,如果是軟盤被感染,這張軟盤用在其他機器上後,同樣也會感染其他機器,所以傳播方式也是用軟盤等方式。
蠕蟲壹般不采取利用pe格式插入文件的方法,而是復制自身在互聯網環境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統而言,而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的***享文件夾,電子郵件email,網絡中的惡意網頁,大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!
可以預見,未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!
3.蠕蟲的破壞和發展趨勢
1988年壹個由美國CORNELL大學研究生莫裏斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機,蠕蟲病毒開始現身網絡;而後來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;北京時間2003年1月26日, 壹種名為“2003蠕蟲王”的電腦病毒迅速傳播並襲擊了全球,致使互聯網網路嚴重堵塞,作為互聯網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!
通過對以上蠕蟲病毒的分析,可以知道,蠕蟲發作的壹些特點和發展趨勢:
1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”,以及至今依然肆虐的”求職信”等.由於IE瀏覽器的漏洞(Iframe Execcomand),使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活,而此前即便是很多防病毒專家也壹直認為,帶有病毒附件的郵件,只要不去打開附件,病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的壹個漏洞進行大肆攻擊!
2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒,可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡***享等等。
3.病毒制作技術與傳統的病毒不同的是,許多新病毒是利用當前最新的編程語言與編程技術實現的,易於修改以產生新的變種,從而逃避反病毒軟件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技術,可以潛伏在HTML頁面裏,在上網瀏覽時觸發。
4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例,感染後的機器的web目錄的scripts下將生成壹個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防範。
蠕蟲和普通病毒不同的壹個特征是蠕蟲病毒往往能夠利用漏洞,這裏的漏洞或者說是缺陷,我們分為2種,軟件上的缺陷和人為上的缺陷。軟件上的缺陷,如遠程溢出,微軟ie和outlook的自動執行漏洞等等,需要軟件廠商和用戶***同配合,不斷的升級軟件。而人為的缺陷,主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering),當收到壹封郵件帶著病毒的求職信郵件時候,大多數人都會報著好奇去點擊的。對於企業用戶來說,威脅主要集中在服務器和大型應用軟件的安全上,而個人用戶而言,主要是防範第二種缺陷。
1.利用系統漏洞的惡性蠕蟲病毒分析
在這種病毒中,以紅色代碼,尼姆達和sql蠕蟲為代表!他們***同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊,由於網上存在這樣的漏洞比較普遍,使得病毒很容易的傳播!而且攻擊的對象大都為服務器,所以造成的網絡堵塞現象嚴重!
以2003年1月26號爆發的sql蠕蟲為例,爆發數小時內席卷了全球網絡,造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及***電訊公司,系統都陷入了癱瘓,其它的網絡用戶也被迫斷線,更為嚴重的是許多銀行的自動取款機都無法正常工作, 美國許美國銀行統計,該行的13000臺自動櫃員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!
這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的,利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞, Microsoft SQL Server 2000是壹款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口,客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式(連接方式可以是命名管道也可以是TCP),但是此程序存在嚴重漏洞,當客戶端發送超長數據包時,將導致緩沖區溢出,黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。
微軟在2000年7月份的時候就為這個漏洞發布了壹個安全公告,但當sql蠕蟲爆發的時候,依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁,從而被蠕蟲病毒所利用,蠕蟲病毒通過壹段376個字節的惡意代碼,遠程獲得對方主機的系統控制權限, 取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得壹個隨機數,進入壹個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成壹個隨機的ip地址,然後將自身代碼發送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255臺可能存在機器。由於這是壹個死循環的過程,發包密度僅和機器性能和網絡帶寬有關,所以發送的數據量非常大。該蠕蟲對被感染機器本身並沒有進行任何惡意破壞行為,也沒有向硬盤上寫文件,僅僅存在與內存中。對於感染的系統,重新啟動後就可以清除蠕蟲,但是仍然會重復感染。由於發送數據包占用了大量系統資源和網絡帶寬,形成Udp Flood,感染了該蠕蟲的網絡性能會極度下降。壹個百兆網絡內只要有壹兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。
通過以上分析可以知道,此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外,並沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼,後果將不堪設想!
2.企業防範蠕蟲病毒措施
此次sql蠕蟲病毒,利用的漏洞在2002年7月份微軟的壹份安全公告中就有詳細說明!而且微軟也提供了安全補丁提供下載,然而在時隔半年之後互聯網上還有相當大的壹部分服務器沒有安裝最新的補丁,其網絡管理員的安全防範意識可見壹斑!
當前,企業網絡主要應用於文件和打印服務***享、辦公自動化系統、企業業務(MIS)系統、Internet應用等領域。網絡具有便利信息交換特性,蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時,就不得不考慮企業的病毒防範問題,以保證關系企業命運的業務數據完整不被破壞。
企業防治蠕蟲病毒的時候需要考慮幾個問題:病毒的查殺能力,病毒的監控能力,新病毒的反應能力。而企業防毒的壹個重要方面是是管理和策略。推薦的企業防範蠕蟲病毒的策略如下:
(1)加強網絡管理員安全管理水平,提高安全意識。由於蠕蟲病毒利用的是系統漏洞進行攻擊,所以需要在第壹時間內保持系統和應用軟件的安全性,保持各種操作系統和應用軟件的更新!由於各種漏洞的出現,使得安全不在是壹種壹勞永逸的事,而作為企業用戶而言,所經受攻擊的危險也是越來越大,要求企業的管理水平和安全意識也越來越高!
(2)建立病毒檢測系統。能夠在第壹時間內檢測到網絡異常和病毒攻擊。
(3)建立應急響應系統,將風險減少到最小!由於蠕蟲病毒爆發的突然性,可能在病毒發現的時候已經蔓延到了整個網絡,所以在突發情況下,建立壹個緊急響應系統是很有必要的,在病毒爆發的第壹時間即能提供解決方案。
(4)建立災難備份系統。對於數據庫和數據系統,必須采用定期備份,多機備份措施,防止意外災難下的數據丟失!
(5)對於局域網而言,可以采用以下壹些主要手段:A.在因特網接入口處安裝防火墻式防殺計算機病毒產品,將病毒隔離在局域網之外。B.對郵件服務器進行監控,防止帶毒郵件進行傳播!C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統,包括各種操作系統的補丁升級,各種常用的應用軟件升級,各種殺毒軟件病毒庫的升級等等!3.對個人用戶產生直接威脅的蠕蟲病毒
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝iis(微軟的因特網服務器程序,可以使允許在網上提供web服務)或者是龐大的數據庫系統的!因此上述病毒並不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響),但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的壹類蠕蟲病毒!
對於個人用戶而言,威脅大的蠕蟲病毒采取的傳播方式壹般為電子郵件(Email)以及惡意網頁等等!
對於利用email傳播得蠕蟲病毒來說,通常利用的是社會工程學(Social Engineering),即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播!
惡意網頁確切的講是壹段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理並不復雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關於用網頁進行破壞的技術的論壇,並提供破壞程序代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。
對於惡意網頁,常常采取vb script和java script編程的形式!由於編程方式十分的簡單!所以在網上非常的流行!
Vb script和java script是由微軟操作系統的wsh(Windows Scripting HostWindows腳本主機)解析並執行的,由於其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂壹時的愛蟲病毒就是壹種vbs腳本病毒,然後偽裝成郵件附件誘惑用戶點擊運行,更為可怕的是,這樣的病毒是以源代碼的形式出現的,只要懂得壹點關於腳本編程的人就可以修改其代碼,形成各種各樣的變種。
面以壹個簡單的腳本為例:Set objFs=CreateObject (“Scripting.FileSystemObject”)(創建壹個文件系統對象)
objFs.CreateTextFile ("C:virus.txt", 1)(通過文件系統對象的方法創建了TXT文件)
如果我們把這兩句話保存成為.vbs的VB腳本文件,點擊就會在C盤中創建壹個TXT文件了。倘若我們把第二句改為:
objFs.GetFile (WScript.ScriptFullName).Copy ("C:virus.vbs")
就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件,WScript.ScriptFullName指明是這個程序本身,是壹個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這麽簡單的兩句就實現了自我復制的功能,已經具備病毒的基本特征——自我復制能力。
此類病毒往往是通過郵件傳播的,在vb script中調用郵件發送功能也非常的簡單,病毒往往采用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的,壹個簡單的實例如下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(創建壹個OUTLOOK應用的對象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空間)
For i=1 to objMapi.AddressLists.Count(遍歷地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))(取得收件人郵件地址 )
objMail.Subject="妳好!" (設置郵件主題,這個往往具有很大的誘惑性質)
objMail.Body="這次給妳的附件,是我的新文檔!" (設置信件內容)
objMail.Attachments.Add (“c:virus.vbs")(把自己作為附件擴散出去 )
objMail.Send(發送郵件)
Next
Next
Set objMapi=Nothing(清空objMapi變量,釋放資源)
set objOA=Nothing(清空objOA變量)
這壹小段代碼的功能是向地址簿中的用戶發送電子郵件,並將自己作為附件擴散出去。這段代碼中的第壹行是創建壹個Outlook的對象,是必不可少的。在其下是壹個循環,在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。
由此可以看出,利用vb script編寫病毒是非常容易的,這就使得此類病毒的變種繁多,破壞力極大,同時也是非常難以根除的!
4.個人用戶對蠕蟲病毒的防範措施
通過上述的分析,我們可以知道,病毒並不是非常可怕的,網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防範此類病毒需要註意以下幾點:
(1)購合適的殺毒軟件!網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍,殺毒軟件必須向內存實時監控和郵件實時監控發展!另外面對防不勝防的網頁病毒,也使得用戶對殺毒軟件的要求越來越高!在殺毒軟件市場上,賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例!經過多項測試,norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒,而且對網頁病毒也有相當強的防範能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星,kv系列等殺毒軟件,在殺毒軟件的同時整合了防火強功能,從而對蠕蟲兼木馬程序有很大克制作用。
(2)經常升級病毒庫,殺毒軟件對病毒的查殺是以病毒的特征碼為依據的,而病毒每天都層出不窮,尤其是在網絡時代,蠕蟲病毒的傳播速度快,變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒!
(3)提高防殺毒意識.不要輕易去點擊陌生的站點,有可能裏面就含有惡意代碼!
當運行IE時,點擊“工具→Internet選項→安全→ Internet區域的安全級別”,把安全級別由“中”改為“高” 。因為這壹類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ,所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標簽,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是,這樣做在以後的網頁瀏覽過程中有可能會使壹些正常應用ActiveX的網站無法瀏覽。
(4)不隨意查看陌生郵件,尤其是帶有附件的郵件,由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序!
三、小結
網絡蠕蟲病毒作為壹種互聯網高速發展下的壹種新型病毒,必將對網絡產生巨大的危險。在防禦上,已經不再是由單獨的殺毒廠商所能夠解決,而需要網絡安全公司,系統廠商,防病毒廠商及用戶***同參與,構築全方位的防範體系!