上游文通大淫 SHANGHAI JIAO TONG UNIVERSITY 其他计算机病毒 上海交通大学信息安全工程学院 刘功申 1B三s
其他计算机病毒 上海交通大学 信息安全工程学院 刘功申
上游充通大学 本章目标 SHANGHAI JLAO TONG UNIVERSITY ©掌握蠕虫病毒技术 掌握Outlook漏洞病毒 掌握Vebpage恶意代码 了解流氓软件、僵尸病毒和RootKit病毒 信息安全工程学院
信息安全工程学院 本章目标 掌握蠕虫病毒技术 掌握Outlook漏洞病毒 掌握Webpage恶意代码 了解流氓软件、僵尸病毒和RootKit病毒
上游充通大学 主要内容 SHANGHAI JLAO TONG UNIVERSITY 蠕虫病毒 ©利用Outlook漏洞编写病毒 Nebpage中的恶意代码 ©流氓软件 僵尸网络 RootKit病毒 信息安全工程学院
信息安全工程学院 主要内容 蠕虫病毒 利用Outlook漏洞编写病毒 Webpage中的恶意代码 流氓软件 僵尸网络 RootKit病毒
上游充通大学 1蠕虫病毒 SHANGHAI JLAO TONG UNIVERSITY 蠕虫这个名词的由来是在1982年,Shock:和 Hupp根据《The Shockwave e Rider》)一书中的概 念提出了一种“蠕虫(Worm)程序的思想 o 蠕虫 (Worm)是病毒的一种,它的传播通常不 需要所谓的激活。它通过分布式网络来散播特定 的信息或错误,进而造成网络服务遭到拒绝并发 生死锁。 具有病毒共性:如传播性、隐蔽性、破坏性等 独有的性质:不利用文件寄生,对网络造成拒绝 服务,以及和黑客技术相结合等 信息安全工程学院
信息安全工程学院 1 蠕虫病毒 蠕虫这个名词的由来是在1982年,Shock和 Hupp根据《The Shockwave Rider》一书中的概 念提出了一种“蠕虫(Worm)”程序的思想。 蠕虫(Worm)是病毒的一种,它的传播通常不 需要所谓的激活。它通过分布式网络来散播特定 的信息或错误,进而造成网络服务遭到拒绝并发 生死锁。 具有病毒共性:如传播性、隐蔽性、破坏性等 独有的性质:不利用文件寄生,对网络造成拒绝 服务,以及和黑客技术相结合等
上游充通大学 SHANGHAI JLAO TONG UNIVERSITY 两类: 一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主 潜行安击尼送剂及最繁可鑫的男果表 可以对整个互联网可造成瘫痪性的后果。以“红色 。 另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意 网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代 表。 和普通病毒的区别: 普通病毒 蠕虫 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 网络计算机 信息安全工程学院
信息安全工程学院 两类: • 一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主 动进行攻击,可以对整个互联网可造成瘫痪性的后果。以“红色 代码”、“尼姆达”以及最新的“SQL蠕虫王”为代表。 • 另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意 网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代 表。 和普通病毒的区别: 普通病毒 蠕虫 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 网络计算机
上浒充更大学 蠕虫病毒的特性 SHANGHAI JLAO TONG UNIVERSITY 第一,利用漏洞主动进行攻击 第二,与黑客技术相结合,潜在的威胁和损失更大 第三,传染方式多 第四,利用网络,传播速度快 第五,清除难度大 第六,破坏性强 信息安全工程学院
信息安全工程学院 蠕虫病毒的特性 第一,利用漏洞主动进行攻击 第二,与黑客技术相结合,潜在的威胁和损失更大 第三,传染方式多 第四,利用网络,传播速度快 第五,清除难度大 第六,破坏性强
上游充通大学 蠕虫病毒的机理 SHANGHAI JLAO TONG UNIVERSITY 蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 ·引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。 当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC,RPC等 漏洞。 信息安全工程学院
信息安全工程学院 蠕虫病毒的机理 蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。 • 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 • 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。 当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC, RPC 等 漏洞
上游充通大学 蠕虫病毒实例 SHANGHAI JLAO TONG UNIVERSITY ©MSN蠕虫病毒 ©1.基本特征: ·名称:lM-Worm.Win32.Vebcam.a ·原始大小:188,928字节 压缩形式:PESpin ·编写语言:Microsoft Visual Basic6.0 ·文件名称:LMAO.pif,LOL.scr,naked drunk.pif等。 信息安全工程学院
信息安全工程学院 蠕虫病毒实例 MSN蠕虫病毒 1. 基本特征: • 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等
上浒充通大学 SHANGHAI JLAO TONG UNIVERSITY 2.行为分析: ()蠕虫运行后,将释放一个名为CZ.EXE文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝。 信息安全工程学院
信息安全工程学院 2.行为分析: • (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝
上游充通大学 SHANGHAI JLAO TONG UNIVERSITY (2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载: ·位置:Software\Microsoft\Windows\CurrentVersion\Run ·键名:win32 ·键值:winhost.exe 位置: Software\Microsoft\Windows\CurrentVersion\RunServices ·键名:win32 ·键值:winhost..exe 信息安全工程学院
信息安全工程学院 (2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载: • 位置:Software\Microsoft\Windows\CurrentVersion\Run • 键名:win32 • 键值:winhost.exe • 位置: Software\Microsoft\Windows\CurrentVersion\RunServices • 键名:win32 • 键值: winhost.exe
