网络蠕虫病毒

网络蠕虫病毒（共9篇）

网络蠕虫病毒 篇1

摘要：通过对网络蠕虫传播机制的研究,设计一种自动诱捕网络蠕虫的监测系统,在系统受到病毒感染时,及时准确地分离出病毒体,然后将病毒特征码提取出来并发布到网络中,让其他计算机更新后实现联动效果,实现了从被动防御转向主动防御的过程,从而达到了自动免疫或清毒的目的。

关键词：网络机房管理,蠕虫病毒,ARP病毒,诱捕入侵,入侵检测

基于新进程创建事件的网络蠕虫监测可以说是在网络蠕虫防治方面的一个尝试。为什么要使用监测新进程执行的方式来进行网络蠕虫的监测呢?在对一些计算机安防系统和Windows的自我保护机制的研究过程中发现目前基于文件完整性或进程检测的技术已经在一些方面得到了应用，在进程监测方面的应用就包括Windows VisTa操作系统、瑞星卡卡安全助手和狙击安全工具等，这些系统或工具在系统启动新进程时会给出警告提示，让用户进行选择是否允许这种操作，这就需要根据用户自身的经验来进行决定了，而文中的目标是将这种技术和自动选择操作功能结合再应用到网络蠕虫监控上来，这样就可以实现网络蠕虫的自动监测，从实现网络蠕虫的自动检测上说也不失为一种新的探索。

1 病毒监测

对于采用何种事件来激活监测系统，可以有两种选择来实现[1,2]：检测文件的创建事件，在文件创建完成时对程序进行扫描来检测是否为病毒，这要用到事先准备好的病毒库来进行检测，如果病毒一旦变种就有可能会出现漏检的现象，这种方式已在各种杀毒软件里用到;利用对进程的创建事件来进行检测，在新进程创建时激活检测系统进行检测，这种技术可以在卡卡的上网助手中体会得到。这两种事件的激励方式各有优缺点，基于文件创建的方式比较适合于杀毒软件，在文件创建完成后就可以对文件进行扫描，将扫描结果和数据库中的数据进行对比，如果找到匹配的数据就可以认定为病毒，在病毒执行前就可以进行清毒工作，但前提是需要庞大的病毒库支持。而且Windows系统在运行过程中会有大量的文件创建和删除过程，监测起来会占用过多的系统资源。相对来说基于进程创建的方式因为新进行的创建事件要比文件的创建事件要少得多，因此在监测起来相对容易些，因此最终使用进程创建来做为监测的激励事件，但是也存在如何区别哪些是正常或非正常进程的困难。

这种蠕虫病毒的测试方法为基于新进程事件的网络蠕虫病毒监测方案。该方案根据系统进程创建事件来激活监测活动。根据网络蠕虫传播过程可以知道网络蠕虫的4个步骤中，产生新进程的事件位于网络蠕虫的复制和激活过程中，因此测控这个过程是可以发现网络蠕虫入侵事件的，当然同时必须区别哪些是正常的进程，如果是不正常进程就阻止其进一步的执行。一旦这种方案设计成功就可以实现如下几个功能：自动提取网络蠕虫源程序。因为病毒己复制到诱捕机，因此提取出病毒源程序并不困难;可以实现网络蠕虫自动预警。在发现入新进程后并被排除为系统正常进程后就可以利用网络向监控端发送消息进行报警;保证用来监测的主机不成为网络蠕虫的新节点。很多诱捕系统在诱捕过程中往往会成为病毒的新节点，很容易被牺牲掉，但本诱捕系统由于阻止了进程的进一步执行，因此不会有这种危险存在;可以实现网络联动，实现网络的自动免疫。在获取了病毒源程序后，通过对病毒特征代码的提取和发布，利用类似于杀毒软件的方式，在其它计算机上安装进程拦截软件并更新病毒库后就可以防止同种病毒的感染，实现自动联动防毒目的，从一定意义上说可以实现网络的自动免疫的功能;系统响应速度快，无需做大量分析就可以快速捕获网络蠕虫。由于系统是基于新进程的创建事件进行触发工作，根本无须进行大量的代码扫描或文件对比工作就可以判断为网络蠕虫因此可以做到快速响应;通过网内多点设置可以搞响应迅速。通过在一个网段内均匀分布设置多个监测点，可以提高捕获网络蠕虫的概率，也就可以提高系统响应速度，检测上说也不失为一种新的探索。

2 模块实现

网络蠕虫的传播过程都要经过扫描、攻击、现场处理、复制激活4个过程[3,4]。只要将病毒的任何一个过程中止病毒也就无法进一步传播，在目前的大部分病毒监测系统里主要倾向于从网络数据中发现网络蠕虫病毒和通过对主机的分析发现蠕虫病毒两个方面。从网络数据中发现网络蠕虫病毒主要是在病毒的扫描和攻击过程中进行分析处理，通过对主机的分析发现蠕虫病毒则是在复制激活过程中进行分析处理。设计思路也是从第4步入手进行研究，利用对新进程的监测来发现网络蠕虫的过程。系统研究一共分为4个部分完成：(1)病毒诱骗。设置诱捕器诱捕网络蠕虫;(2)病毒分析。对进程进行分析找出属于网络蠕虫的进程;(3)数据提取。提取出网络蠕虫的特征代码;(4)数据分发。向网络中发布病毒数据，供其他计算机下载，实现网络联动防毒。

2.1 病毒诱骗

对病毒的诱骗需要通过设置合适的诱捕器来实现。如何让网络蠕虫长驱直入是诱补器的任务，诱捕器一般有两种方式来实现，一种是直接在真实的系统上来实现，还有一种是通过VMware来实现，在VMware中运行的Windows操作系统其实和真实的并没有两样，而且VMware还提供了多网卡设置，方便实现多点布局。在实验时两种方式都经过了测试，在系统受到病毒感染时虚拟机的方式更容易对系统进行恢复。对诱捕器进行了如下的设置:

(1)重新安装一个新的操作系统，安装完成后不需要打任何补丁。

(2)打开网络属性选项，将计算机的IP地址设置成和被监测网络的地址在同一个网段内。

(3)在用户管理里将Administrator的用户密码设置为空。

(4)在控制面板的服务中，选中Automatic Updates服务将其设置为禁用。

(5)进入系统工具里将任务计划里的任务全部删除。

(6)安装进程监测程序，并启用监测功能开始进入监测状态。

这样诱捕系统就设置完成了，诱捕系统设置完成后一般可以将Windows系统本身进行的进程调用和启动过程控制在极少数的范围内，这个结论可以从下面的研究过程中得出。这样诱捕器就可以放置到被监测的网络里开始进行诱捕工作了。下面就是对新进程进行监测和分析的实现过程。

2.2 病毒分析

安装完诱捕系统后，如何对新进程进行监测和发现新进程创建时如何对新进程识别并对认定为不安全的进程阻断是一个关键点。实现了对不安全进程的阻断也可以对诱捕系统进行防护，同时也可以防止诱捕器被病毒感染而成为网络蠕虫的新节点。基于进程创建事件的程序设计过程分为两部分:进程创建过程的分析、创建系统钩子钩住系统创建进程中的API关键函数。

2.2.1 进程创建过程的分析

因为本监测系统是对整个Windows系统进行监测，因此只能使用系统钩子。为了能找到合适的截取点，以便实施钩子程序，有必要对windows系统的进程创建过程进行详细分析，Windows的系统进程创建过程是一个不对外公布的秘密，但仍可以利用一些内核级的调试工具进行跟踪，找到Windows中进程创建过程中所调用的各种函数和流程，这里使用windbg来进行的。

2.2.2 创建系统钩子钩住系统创建进程中的API关键函数NtCreateSection

钩住API函数NtCreateSection是在驱动程序中实现的，但NtCreateSection函数的地址的获取需要在应用程序里实现。这样当系统调用NtCreateSection进行进程创建时会首先调用驱动程序里的函数，这时会激活驱动程序工作，驱动程序根据传过来的进程相关的信息可以对程序源文件进行分析，看是否为系统本身的程序，如果不是就阻断进程的继续执行并提取出特征代码上传到数据服务器中，并通知其它计算机进行数据更新，让其他计算机具有防止此进程的执行，同时用udp广播的方式向管理机(根据IP地址区别)的指定端口发消息进行网络蠕虫预警，提醒管理员注意。

2.3 对新进程的特征代码的提取

获取到网络蠕虫后要实现网络联动和其他计算机主机的自动防疫可以将蠕虫的程序和特征代码一并取出并上传到计算机服务器中，然后通知其他主机自行下载更新数据就可以实现自主防疫的效果，也就实现了自主的网络联动防毒的能力。根据杀毒软件的经验，本文采用了目前比较成熟的方式来实现特征码的提取工作，在这里取蠕虫程序中一段6字节(每字节16位二进制，一共96位二进制)数据做为其特征码存储，虽然算法简单，但最大可以表示296种不同的数据。但通过使用winhex工具对可执行文件源文件进行分析发现大部分的执行程序源文件里偏移量在1000以内会存在很多空白区(数值为0)和FF的数据内容，如果读取这些数据作为特征码的话就容易造成不同的程序取出的特征码出现相同的现象，因此需要用一种数据提取算法来预防这种情况的出现。

2.4 发布、自主防疫和预警的实现

将特征码发布采取FTP上传的方式上传到服务器上，服务收到上传数据后可以以声音或变换图形的形式来发出报警进行网络蠕虫预警，然后再发消息通知其他计算机下载更新病毒数据。通知计算机更新数据的过程可以通过两种方式来实现，一是向所有连接到服务器的计算机发出更新消息，还有一种是在安装了监管系统客户端的计算机上设定定时更新功能来实现自动更新数据，但是采用第一种方式的响应速度要快得多，因为消息的传递是在发现网络蠕虫后就发出了，是即时的所以可以实现快速联动的效果。一旦计算机更新了病毒数据库，当具有相同特征代码的进程创建时就会被阻断其执行过程，这样就可实现未染毒计算机的自动免疫了。

3 结语

目前学校网络实验室管理工作人员面临着计算机软件更新工作量大、病毒泛滥、保护系统经常被破坏等问题。如果能找到一种方法，能实现主动阻止网络病毒爆发又能有效地控制学生上机的行为，使学生在上课期间不能运行一些被禁止的软件或其他有损计算机的操作，诸如有破坏性的程序、聊天程序、无关网站、游戏、电影播放软件等等，同时又能实现软件的自动增量更新、自动清除垃圾数据、自动更改计算机IP地址和计算机名等功能，将是解决这些问题的一个很好的办法。本文通过对网络蠕虫传播机制的研究，找到一种可以对网络蠕虫进行自动诱捕来实现从被动防御转向主动防御的过程。

参考文献

[1]戴伏英.网络和计算机游戏成瘾的预防[J].中国学校卫生,2005,26(7):45-85.

[2]吴欣.学校机房违规软件监控系统[J].教育信息化,2005,27(6):122-124.

[3]刘丹,等.计算机机房管理中若干问题的探讨[J].河南机电高等专学院学报,2005,13(2):65-67.

[4]王少东.计算机专业机房管理的技术手段[J].南京工程学院学报,2004,2(1):67-72.

网络蠕虫病毒 篇2

本文根据蠕虫病毒的发作机制，将其分为利用系统级别漏洞(主动传播)和利用社会工程学(欺骗传播)两种，并从用户角度中将蠕虫病毒分为针对企业网络和个人用户2类，从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!

一、蠕虫病毒的定义

1.蠕虫病毒的定义

计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速发展的时候，蠕虫病毒引起的危害开始显现!从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系，一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和 技术相结合等等!在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪!

根据使用者情况可将蠕虫病毒分为2类，一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果!以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例.在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难，

第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在就已经被各大杀毒厂商发现，但直到底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中，将分别分析这两种病毒的一些特征及防范措施!

2.蠕虫病毒与一般病毒的异同

蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!

普通病毒 蠕虫病毒 存在形式 寄存文件 独立程序 传染机制 宿主程序运行 主动攻击 传染目标 本地文件 网络计算机

网络蠕虫病毒 篇3

关键词：蠕虫,网络安全,病毒,异常检测

随着信息化的发展,网络已经渗入到人们生活的各个领域。人们可以在Internet上享用大量的信息资源,但与此同时,人们也受到一些恶意代码的攻击。在过去的几年里,Internet蠕虫对网络安全的威胁日益严重。自1988年第一个蠕虫病毒开始在局域网内活动到1998年底的第一个Internet网上传播的蠕虫病毒(appy99),就向人们展示了它们的巨大破坏力。所谓网络蠕虫是一种能够独立运行,并能通过寻找和攻击远方主机的漏洞进行自主传播的恶意代码。他不同于病毒。具有它们自己独特的传播方式和巨大的破坏力。进入21世纪蠕虫病毒先后在全世界引起了几次巨大轰动。像我们熟悉的“冲击波”蠕虫、Nimda蠕虫、狮子蠕虫等等。都给人们留下了深刻的印象。这些都引起了网络安全人员的广泛关注。

当前人们对蠕虫的防范还很被动仅限于先知的蠕虫,对于未知的蠕虫防范还没有很好的方法。目前人们只能通过对单机进行漏洞的检索实现系统漏洞尽可能的完善,通过安装防火墙的方式来对蠕虫病毒进行防范。所以现在很多网络安全研究人员对于实现一个行之有效的方案来对未知蠕虫进行检测作着努力。本文介绍了蠕虫病毒的特征及几种曾经产生破坏很大的几种蠕虫病毒的运行机制的研究,另外本文还对未知蠕虫的检测和报警提出了方案。

1 网络蠕虫的特性

为了能够防范蠕虫的爆发,就必须要了解蠕虫在爆发和传播的过程中有那些特性。网络蠕虫的传播条件之一是系统程序中存在的漏洞。蠕虫是无须计算机使用者干涉即可运行的独立程序,它通过不停的地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。目前的蠕虫常用的传播模式是扫描—攻击—现场处理—复制。在蠕虫的传播机制当中,扫描主机漏洞是蠕虫传播的前提,影响蠕虫传播的主要因素是如何能快速找到新的目标主机,所以扫描方法的性能直接影响决定着蠕虫传播的速度。目前蠕虫病毒常用的集中扫描方法有随机扫描、Hit-list扫描、路由扫描、分而治之扫描、DNS扫描几种扫描方法。在获得目标主机后蠕虫就对目标主机发动攻击,获得一定权限,并把自身复制到目标主机上并激活。这就完成了一次传播过程。

网络蠕虫的传播与生物中蠕虫病毒的传播存在相似性,因此对于网络蠕虫的传播同样可以套用生物病毒传播的模型来表示:dI(t)/dt=βI(t)S(t)其中I(t)表示中已经被感染的计算机的数量,S(t)表示网络中存在漏洞、可以被蠕虫感染计算机的数量,β表示影响蠕虫传播的因素。公式左边是被感染的计算机数量的增量与单位时间的比值,也就是蠕虫传播的速度。从公式中很直观的看出,公式右边三个因子中任何一个因子的减小都会降蠕虫的传播速度。所以从蠕虫的传播模式和特征行为,我们可以得出蠕虫在传播过程中所共有的一些特征:

1)单一性:大量相同的数据包在蠕虫爆发初期出现,这是由于蠕虫发出的扫描包大多数是相同的,另外蠕虫在进行复制时传输的文件也是相同的;

2)自主性:网络上感染规模不断增大这是由于蠕虫是自主传播,不受管理员的干涉,被感染主机数量以及扫描都呈指数级迅速增长。这个可以有上边的模型看出;

3)随机性:被感染主机会随机探测某个地址的固定端口,网络上会出现大量目标地址不可达或连接请求失败;

4)利用软件漏洞,造成网络拥塞,系统消耗资源,留下安全隐患的特性。

2 蠕虫的运行技术介绍

进入21世纪几次蠕虫的爆发也给人们留下了深刻的印象,下面介绍几个蠕虫的运行过程来更好的认识蠕虫。以便于对它们的防范措施达到更好的效果。

2.1 红色代码(CODE RED)

2001年8月爆发的Code Red利用IIS WEB服务器.IDA缓冲区溢出漏洞传播。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。Code Red主要有如下特征:入侵IIS服务器,code red会将WWW英文站点改为:

"Hello!Welcome to www.Worm.com!Hacked by Chinese!";

与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中,并借助这个服务器的网络连接攻击其它的服务器。这也正是蠕虫与计算机病毒之间最大的区别。

红色代码根据上述漏洞将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:notworm,如果该文件存在,蠕虫将停止感染其他主机。在被感染主机上蠕虫将进行如下操作感染其他主机:

1)起初始蠕虫环境,进行自我复制。并开始获得控制权。

2)建立起n个蠕虫线程。(n一般取100)。

3)前n-1个线程会传播感染其它主机。

4)第n个线程会检查自身是否运行于一个英文版本的Windows NT/2000。

如果是,它将会替换该主机页面Welcome to http://www.worm.com!,Hacked By Chinese!该信息会在10小时后自动消失,除非再次受到感染。如果不是英文版本,它也会被用作感染其它主机。

5)每个线程会检查当地时间如果时间位于20:00 UTC和23:59 UTC间,该线程会往www.whitehouse.gov发送100K字节数据。如果小于20:00 UTC,它会继续传播感染其它主机。

“红色代码”蠕虫能够造成大范围的访问速度下降甚至阻断。它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。所以导致全世界很多的网络陷于瘫痪状态,所产生的破坏性我们是无法估计的。

2.2 SQL杀手

2003年2月爆发的SQL杀手蠕虫病毒是利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,对未安装MS SQL Server2000 SP3的系统进行攻击并获得控制权。导致蠕虫的讯速传播并且形成整个互联网范围内的拒绝服务攻击,网络带宽大量被占用。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。

SQL杀手的运行过程为:该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。

“SQL杀手”病毒与“红色代码”病毒有着惊人的相似之处。直接危害都是导致网络流量堵塞,服务器宕机。都利用了“缓存区溢出”这一黑客技术对存在漏洞的机器进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件,不对系统数据造成破坏,也不破坏硬件设备。都是利用微软流行软件中的漏洞,通过已知的开放的端口,使用广播数据包方式进行自身的传播和复制。都可以随机计算出大量的IP地址,对他们发起DoS攻击,使得被攻击的电脑网速特别慢,最终由于网络流量负载严重而宕机。

2.3“冲击波”蠕虫

2003年8月12日爆发的“冲击波”蠕虫是利用RPC(remote procedure call)漏洞攻击计算机。RPC是Windows操作系统使用的一个应用层协议,它提供了一种进程间通信机制。而“冲击波”蠕虫就是利用RPC存在的漏洞对计算机进行攻击的,它会不断的扫描网络中存在RPC漏洞的计算机进行攻击,一旦攻击成功,蠕虫就会传输到该计算机上并运行。感染的主机可能造成RPC服务终止,系统被自动关闭,由于蠕虫占用大量的资源,以至于不能在Internet Explorer中打开新窗口,复制粘贴不能进行等现象,感染蠕虫还可能导致系统不稳定,有可能造成系统崩溃,它扫描端口号是TCP/135,传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe。这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。

病毒行为和传播方式:

1)病毒运行时会建立一个名为“BILLY”的互斥线程,当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast.exe”的进程。

2)病毒运行时会将自身复制为:%systemdir%msblast.exe,%systemdir%指的是操作系统安装目录中的系统目录,Windows 2000XP/2003默认为C:Winntsystem32。

3)在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名为“windows auto update”的启动项目,值为“msblast.exe”,使得每次启动计算机时自动加载病毒。

4)感染病毒的计算机会尝试连接20个随机的IP地址,并且对有此漏洞的计算机进行攻击,然后该病毒会休息(sleep)1.8秒,然后扫描下20个随机的IP地址。病毒扫描IP地址(A.B.C.D,如:IP为192.168.0.1时,A=192 B=168 C=0 D=1)符合如下规则:

(1)3/5的可能当D等于0时,A、B、C为0到255的随机数。

(2)另外2/5的可能,病毒扫描子网并取得染毒计算机的IP地址,提取其中的A、B值,并设置D值为0,然后提取C的值。如果C的值小于等于20的时候,病毒不对其进行改变。

例如:染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描;如果C的值大于20,则病毒会从C减去19和C值之间随机选择一个数。例如:感染计算机的IP地址为192.168.135.161,则病毒将扫描的IP地址为192.168.{115-134}.0。

5)病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求(即攻击代码),然后被攻击的计算机将在TCP4444端口开启一个Command Shell。

6)监听UDP69端口,当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后,将发送Msblast.exe文件,并让受攻击的计算机执行它,至此受攻击的计算机也感染此病毒。

7)如果当前日期是8月或者当月日期是15日以后,病毒将发起对windowsupdate.com的拒绝服务(DoS)攻击。

蠕虫程序除了在网络上产生大量的负载和占用网络带宽,还导致系统自动重起。因此在蠕虫爆发期间Windows自动重起现象大量出现,所以只要计算机连接因特网,在数分钟内就会收到错误攻击包,导致Windows自动重起。与网络断开,则不会出现这种现象。

除了以上提到的几种Internet蠕虫,还有很多恶意蠕虫病毒,例如:2001年9月爆发的Nimda(又称概念病毒)蠕虫,2003年1月爆发的Slammer蠕虫,2004年12月发现的PerlSanty蠕虫,等等。这些蠕虫病毒都存在很多相同的特性,都是通过微软公司系统的漏洞对计算机进行攻击,都能够在网络上随机扫描存在漏洞的计算机进行自主传播。这些病毒都网络安全的时代带来了巨大的威胁。在这里由于篇幅的原因就不在介绍其他的蠕虫病毒的运行过程了。

3 网络蠕虫的防范措施研究

鉴于以上介绍的蠕虫的特征几运行过程,我们目前并没有一种很理想的防范未知蠕虫的方案。在目前国内外对蠕虫的检测报警系统也出现了很多,但都不能尽人如意。也没有得到广泛的推广。而目前还是采用被动的方式对蠕虫病毒进行防范。由于蠕虫是基于系统的某个漏洞而进行攻击和传播的,所以对于防护工作就产生了很大的难度。操作系统和其他应用程序中必然存在其他的一些未知漏洞,不断的被发现和修补,想让我们的系统达到完美的境界还是不可能的。另外蠕虫的传播具有自主性,所以传播速度惊人,像在2003年1月的“Slammer”是有史以来传播嘴快的蠕虫病毒,在10分钟内就感染了90%多有漏洞的计算机。同年8月11日,又爆发的有名的“冲击波”蠕虫,在国内两天时间里使数千个局域网陷于瘫痪状态。所以对于蠕虫的防范措施和报警系统应该着眼于以下两点:

1)是能够在第一时间发现蠕虫;

2)是在最短的时间内对蠕虫的传播能够进行控制。

现在已经出现了很多对未知蠕虫的发现系统,这些系统都是基于蠕虫的特征行为提出的解决方案。虽然可以发现网络中的异常,但是也没有更好的办法对蠕虫病毒进行控制,减少蠕虫造成的损失。基于此提出了一个路由检测报警与防范方案。

3.1 对未知蠕虫进行检测

对蠕虫在网络中产生的异常,有多种的方法可以对未知的蠕虫进行检测,比较通用的方法是对流量异常的统计分析,对TCP连接异常的分析,理论依据是:正常主机对外访问是有限的,因而很少会出现连接失败;蠕虫在确定攻击目标是随机的,因此很容易出现连接失败现象。另外在上述两种分析的基础上,在路由建立一个监测模块,对所产生的数据进行分析。这样可以更全面的检测网络中的未知蠕虫。

当蠕虫病毒在网络上扫描具有漏洞的目标机时,会存在许多空的或者不可达的IP地址,从而在一段时间里,蠕虫主机会接收到大量的来自不同路由器的数据包。通过对这些数据包进行检测和统计,在蠕虫的扫描阶段将其发现,然后对蠕虫主机进行隔离,对蠕虫其进行分析,进而采取防御措施。

路由监测模块对数据包进行收集、解析,并根据源和目的地址进行分类,如果一个IP在一定时间(T)内对超过一定数量(N)的其它主机的同一端口(P)进行了扫描,则产生一个发现蠕虫的报警。这种方法可以检测出具有高速,大规模传染模型的网络蠕虫。(很难检测针对某个网络的传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫,可以认为对整个网络来说,他们的危害比较小)这种方法也是针对蠕虫的随机性提出来的,是最方便最直接的对蠕虫检测方法。

3.2 蠕虫防范策略

当蠕虫被发现时,要在尽量短的时间内对其进行响应。首先产生报警,通知管理员,并通过防火墙、路由器将感染了蠕虫的主机隔离;然后对蠕虫进行分析,进一步制定检测策略,尽早对整个系统存在的不安全隐患进行修补。防治蠕虫再次传染,并对感染了蠕虫的主机进行蠕虫的删除工作。

1)利用防火墙防范:通过控制防火墙的策略,对感染主机的对外访问数据进行控制,防止蠕虫对外网的主机进行感染。同时如果发现外网的蠕虫对内网进行扫描和攻击,也可以和防火墙进行互动,防止外网的蠕虫传染内网的主机。

2)交换机防范内网传播:交换机通过SNMP协议进行联动,当发现内网主机被蠕虫感染时,可以切断感染主机同内网的其他主机的通讯,防止感染主机在内网的大肆传播,同时可以控制因为蠕虫发作而产生的大量的网络流量。同时为了适应用户的网络环境,最好还能提供Telnet配置网络设备的接口,这样可以和网络任何支持Telnet管理的网络设备进行联动。

3)就是分析蠕虫病毒对其进行查杀并对响应的漏洞进行补丁的安装。防止蠕虫进一步感染其他网络上的计算机。

本方案能够很快发现网络中的异常扫描,通过路由监测模块对数据的分析,处理可以对异常扫描做出判断,并出现报警信息,在通过和防火墙和交换机的互动来对蠕虫病毒进行隔离。这样就达到了能在第一时间发现蠕虫病毒并对蠕虫病毒的自动传播速度进行了限速。所以此方案还是比较使用的一种的检测防范方案。但本方案对那些针对网络传播特定的蠕虫和慢速传播的蠕虫不能做出很好的判断。

4 结束语

蠕虫的大规模爆发,使互联网的安全威胁正逐渐逼近每一个普通用户。由蠕虫引起的Internet安全威胁事件每年以指数增长,近年来的增长态势变得的尤为迅猛。所以对蠕虫病毒的检测防范有着重要的意义。该文对此阐述了蠕虫病毒的特点及蠕虫病毒的运行机制,并针对具体情况提出了一种比较使用的检测防范方案。

对于蠕虫的我们还要进一步对其进行研究,研究蠕虫的网络流量特性;建立更加完善的自动预报警系统;目前虽然出现了很多对未知蠕虫的预报警方案,但都还不健全。目前对慢速蠕虫的防范还没有有效的方法,我们应该对慢速蠕虫的传播模型几防治引起足够的重视。目前随着技术的不断推进,蠕虫病毒也出现了新的特点,更多的黑客技术将会用到蠕虫编写中来,所以对于蠕虫病毒的检测防范是一个比较漫长的过程。

参考文献

[1]Nicholas Weaver Potential Strategies for High Speed Active Worms A Worst Case Analysis[EB/OL].http://www.cs.berkeley.edu/nweaver/worms.pdf.

[2]云晓春.Internet蠕虫主动遏制[R].北京:全国网络与信息安全技术研讨会专题报告,2004.

[3]栾新民,廖闻剑.Nimda蠕虫分析与防范[J].计算机应用研究2002,19(11):155-158.

[4]卿斯汉,文伟平,蒋建春,等.一种基于网状关联分析的网络蠕虫预警新方法[J].通信学报,2004,25(7):62-70.

[5]邱晓鹏,张玉清,冯登国.蠕虫攻防技术综述[C].全国网络与信息安全技术研讨会专题论文集,2004:57-62.

[6]左晓栋,戴英侠.“狮子”蠕虫分析及相关讨论[J].计算机工程,2002,28(1):16-17.

[7]龚俭,王倩,陆晟.计算机网络安全[M].南京:东南大学出版社,2000:5-243.

[8]谭毓安.新型网络病毒一红色代码病毒的分析和防范[J].计算机系统应用,2002(2).

[9]谭毓安.新型蠕虫病毒."SQL杀手"的分析和防范[J].计算机应用系统,2002(11).

[10]Shoch J,Hupp J.The"Worm"Programs-early Experiments with aDistributed Computation[J].Communications of the ACM,1982,2(3):172-180.

、木马、蠕虫病毒联手感染电脑 篇4

、木马、蠕虫病毒联手感染电脑

。今日提醒用户特别注意以下病毒：“普罗斯特变种rq”(Hack.Prosti.rq)和“下载者变种nk”(Troj.Downloader.nk)。

“普罗斯特变种rq”(Hack.Prosti.rq) 病毒，运行该病毒会在被感染用户系统留下后门，后门种植者可以通过该后门控制感染的机器，

“下载者变种nk”(Troj.Downloader.nk木马病毒，病毒运行后通过可用的网络连接特定的网站下载其它病毒。

医院局域网蠕虫病毒处理与分析 篇5

1 故障现象

某部门反映计算机经常死机, 重启后, 正常工作了一段时间, 但不久后故障又重现。经现场观察, 发现计算机死机时出现的错误提示有2种, 如图1 (a) (b) 所示。

与此同时, 同网段的另一部门也反映出现类似情况。

2 故障分析与处理

(1) 进行计算机软、硬件故障排查。把出现故障的计算机连接到实验环境下进行长时间测试, 一切正常;反之, 把备用的计算机安装到上述部门故障依旧, 将其重新安装到实验环境又一切正常。经多次实验, 排除计算机软、硬件故障。

(2) 我院网络根据不同地理位置划分不同的VLAN, 并在VLAN之间应用访问控制列表技术, 可以有效防止广播风暴、防止病毒跨网段扫描端口。而出现问题的2台计算机恰好在同一VLAN之内, 分析可能是病毒导致计算机出现问题。用最新版本的杀毒软件对出现问题的计算机进行病毒查杀, 查杀的结果是:出现问题的计算机没有病毒。

(3) 进一步现场勘察, 并用Netstatan查看计算机TCP/UDP端口状态, 发现以上部门计算机报错时, TCP 445端口正与同网段内的不同计算机进行通信, 使CPU和内存利用率迅速达到100%, 从而使计算机资源耗尽, 出现死机等现象。由此, 可以确定是由同网段内计算机病毒攻击导致问题的发生, 且同网段内可能有多台计算机感染病毒。

(4) 我们把重点放在与故障部门计算机TCP 445端口进行通信的计算机上, 并根据计算机IP地址进行快速定位。经查看这些计算机, 发现一个共同的特点:使用netstat-an命令, 发现计算机根据IP地址从小到大不断扫描同网段计算机TCP 445端口, 并出现很多SYN-SENT连接请求, 这正是蠕虫病毒的传播特点, 可以确定不断扫描同网段计算机TCP 445端口的多台计算机感染蠕虫病毒。

(5) 如何处理蠕虫病毒成为我们面临的主要问题。利用杀毒软件对计算机进行查杀, 发现感染Worm.Win32MS08-067.d蠕虫病毒, 但杀毒完成后重启计算机病毒依然存在, 无法彻底清除。

(6) 进行病毒分析。 (1) 查阅反毒部门的病毒分析报告, 这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞, 将自己植入未打补丁的计算机, 并以局域网、U盘等多种方式传播, 对网络系统危害性极大。蠕虫的传播速度是指数级的, 一旦一台计算机感染了蠕虫后, 他就会按一定策略向相邻的计算机进行传播, 网络中大量主机很快就会被病毒感染, 而这些被感染的主机会不断扫描新的目标, 进而大规模消耗网络资源[1]。 (2) 该病毒感染Win2000或WinXP系统, 针对services exe、"svchost.exe-k netsvcs"、"svchost.exe-k NetworkService"进程进行DNS查询以及TCP传输过程拦截;对杀毒软件关键字进行过滤, 其中包含rising、avast、nod32、mcafee等;停止wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务, 并且改为手动。

(7) 病毒处理。对全网段计算机进行处理, 更新微软系统补丁MS08-067, 在系统安全模式下利用微软恶意软件删除工具和杀毒软件进行联合扫描, 彻底请除了网络内的病毒, 保证医院信息网络工作的正常开展。

3 分析病毒起因

我院信息网络是完全独立的, 并与外网隔离, 各工作站封闭U口、禁用光驱等。在封闭的网络内感染病毒, 可见系统内一定有漏洞或缺口。通过对本网段的工作站进行分析, 发现我院输血科需用U盘从血站导入数据, 判断可能是由此引起蠕虫病毒。随即对输血科的U盘进行查杀, 发现U盘内果然存在WormWin32.MS08-067.d蠕虫病毒。

4 安全措施

医院信息系统是实时、高稳定的系统, 必须避免类似问题的再度发生。

4.1 安装网络版杀毒软件并定期升级

设置空闲时间自动扫描, 可以根据杀毒软件日志反映网络中的病毒状况, 做到病毒早期发现、及时处理。

4.2 安装内网管理系统

通过在线和离线2种方式对计算机外设进行屏蔽, 彻底杜绝非法接入, 并进行异常流量、系统进程、网络进程等监控。如特殊情况需接入U盘等外设, 必须由信息中心进行病毒查杀、认证后方可使用。

4.3 建立补丁分发系统

对各工作站系统漏洞、安全漏洞及时更新补丁, 使病毒没有可乘之机。

4.4 完善网络

对VLAN进行重新设置, 为需要U盘等外设接入的输血科单独配置一个VLAN, 并利用访问控制列技术, 拒绝常见病毒端口的访问, 防止类似影响网络正常工作的情况发生。

4.5 管理措施

进行全院安全教育, 使各使用部门认识到医院信息系统的重要性、病毒的危害性等, 并制定相应的管理制度和惩罚措施。

5 体会

医院信息网络要求连续无故障工作, 可以采用冗余备份等方式保证硬件设备引起的网络故障。但对于蠕虫、木马、ARP等病毒的防治则需要从管理和技术上不断完善, 通过不断学习, 掌握病毒的攻击原理, 提高防范意识, 随时监控网络运行状况, 采取相应的有效措施, 防患与未然, 从而保证网络的安全运行[2]。

参考文献

[1]思科系统 (中国) 网络技术有限公司.下一代网络安全[M].北京:北京邮电大学出版社, 2006:63-64.

计算机蠕虫病毒防治与清除 篇6

1.1 选择性随机扫描 (Selective Random Scan)

在扫描中运用随机扫描会对整个计算机中的IP地址进行随机扫描, 而通过选择性的随机扫描可以有效的关于主机中存在的漏洞问题进行集作为扫描的地址, 这种方法也是随机扫描中策略的一种。在选择的目标中按照算法进行随机生成, 但是对于在整个互联网中存在的未分配以及地址保留的状况是不在扫描的行列的。

1.2 顺序扫描 (Sequentia1 Scan)

在主机被蠕虫感染后我们可以进行顺序扫描, 就是针对c类网络进行地址传播, 然后根据优先本地原则, 这时候蠕虫通常会在自身所在的网络IP地址中进行选择, 假定蠕虫扫描的目标地址中的IP是b, 那么下一个扫描中的IP地址则是B+1或者是B-1。这时候在扫描中蠕虫就会用过网络进行自主传播。这种策略的是不能对一台主机进行重复的扫描的。这样容易引起网络的拥堵, W32.Blaster则是较为典型的顺序扫描蠕虫。

1.3 蠕虫的实体结构

在计算集中蠕虫程序不同于一般的应用程序, 在整个程序中其结构上更具有复杂性, 并且在进行分析中发现, 蠕虫病毒程序的整体结构是由一下几个部分构:首先是未编译的源代码, 其次是已经编译的链接模块, 第三是可以运行的代码和脚本。所以蠕虫一般都是有以上这几个部分构成的。

2 计算机蠕虫病毒对抗

2.1 病毒检测技术

常规计算机病毒的检查主要是针对引导区和可以执行的文件以及内部存储空间等病毒的特征进行分析对比, 以此来学照整个病毒在被感染以后所留下的线索。

2.1.1 检查磁盘的主引导扇区

在硬盘中的主引导区中主要是用来区别表或者是文件的分配表, 在整个文件的目录区是蠕虫病毒攻击的对象, 在其中引导型病毒则是在磁盘中的引导扇区来进行攻击, 当发现与此有关的异常现象, 可以用引导区来进行判断。

2.1.2 检查可执行文件

在后缀为COM和EXE等进行检查, 可执行为文件的长度或内容以及属性等来判断其中是否感染了病毒。在一般的检查中, 对于这些程序的头部, 就是前面的二十个字节, 主要是由于大多数的病毒会改变整个文件的首部。

2.2 启发式扫描技术

病毒和正常程序的主要区别可以从很多的方面体现, 通常对于一个应用的程序在开始的指令是进行检查的命令行那么输入有无参数项和清屏或者保存原来屏幕显示等, 那么病毒程序就不会这样做, 它主要指通过最初的指令来进行远距离跳转和搬移代码等, 在进行搜索中对于某路径下的指令操作其中序列。这些显著的不同之处, 一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术 (Heuristic Scalming) 实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。与其他扫描技术性比较, 启发式的扫描技术可以说能为整个网络中的系统信息判断提供基础, 从而来判定是否是未被感染的。

3 利用 DNS 服务器抑制蠕虫的传播

3.1 入侵检测系统的工作原理

入侵检测则主要是在特定的环境中进行区别其中的恶意攻击, 并且以此做出反应。在入侵中IDS系统会自行进行检测, 从而对网络中的资源进行实时检测。IDS在检测中发现未被授权的对象入侵, 就会自主查杀。IDS主要分为两类 : 主机IDS (HIDS) 以及网络IDS (NIDS) 。在HIDS上安装在受监控主机上, 这样就拥有了对整个敏感文件的特殊访问特权。在HIDS就会利用这一个较为特殊访问特权对异常行为进行监控。NIDS存在于网络中, 通过捕获发往其他主机的流量来保护大量网络设施。

3.2 利用 DNS 服务器抑制蠕虫传播的系统设计与实现

3.2.1系统详细说明

对于服务器的检测。主要是根据分析从而建立蠕虫的规则:并且对于网络中的数据包进行提取:并就数据包进行匹配;以此来判断蠕虫的自动生成IP列表。

DNS服务器。在检测中对服务器获取的染毒计算机中的IP地址进行列表;根据染毒计算机IP地址列表配置视图;将染毒计算机导向WEB服务器。

web的服务器。主要是对于HTTP协议的web现实界面进行预警的。

3.2.2 系统优缺点

在目前采用的系统中, 路由策略主要是由于蠕虫的行为特性决定的, 一般情况下蠕虫病毒具有相似性, 这样不可避免的影响到程序的正常封堵。当网络管理中发现蠕虫所感染的主机时候, 使用者本身并没有发现机器被蠕虫感染, 当发现时候在进行封堵, 那么对用自身的帮助并不大。

采用基本的DNS服务来进行查杀蠕虫病毒的方案也具有不可行性, 比如在NAT的网络中, 当一台机器出现问题, 从而网关被查封, 那么整个相同网络中机器的网关都会被查封。在大部分的蠕虫传播时候, 会通过IP来进行测试, 这样可以有效的组织蠕虫的攻击。

摘要：网络蠕虫对计算机造成的损失已经被日益重视, 计算机蠕虫带来的危害是巨大的, 动辄照成数亿的损失, 这相当于一场小型规模的战争。当前社会信息化程度逐渐增多, 蠕虫带来的损害已经越来越大。现在这种条件决定了当前对抗蠕虫的重要性。防治网络蠕虫病毒工作是一项较为艰难的事情, 笔者经过实践指出网络蠕虫的基本防止对策, 并且分析了在互联网中对于如何抗击蠕虫病毒, 通过dns服务器中的ID进行相关的欺骗, 并且以此来抑制蠕虫传播。

关键词：蠕虫病毒,入侵检测,DNS服务器,计算机网络安全

参考文献

[1]尹俊艳.蠕虫病毒传播机理研究及其实现[J].湖南科技学院学报, 2005 (11) .

[2]田雪峰, 钟求喜, 苏金树.蠕虫早期检测系统研究[J].信息安全与通信保密, 2005 (7) .

[3]李志东, 云晓春, 杨武, 等.基于公共特征集合的网络蠕虫特征码自动提取[J].计算机应用, 2005 (7) .

计算机蠕虫病毒的解析与防范 篇7

一、蠕虫的程序结构及工作流程

1. 蠕虫病毒的程序结构通常包括三个模块:

(1) 传播模块:负责蠕虫的传播, 它可以分为扫描模块、攻击模块和复制模块三个子模块。其中, 扫描模块负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动。 (2) 隐藏模块:侵入主机后, 负责隐藏蠕虫程序。 (3) 目的功能模块:实现对计算机的控制、监视或破坏等。

2. 根据蠕虫病毒的程序其工作流程可以分为漏洞

扫描、攻击、传染、现场处理四个阶段, 首先蠕虫程序随机 (或在某种倾向性策略下) 选取某一段IP地址, 接着对这一地址段的主机扫描, 当扫描到有漏洞的计算机系统后, 将蠕虫主体迁移到目标主机。然后, 蠕虫程序进入被感染的系统, 对目标主机进行现场处理。同时, 蠕虫程序生成多个副本, 重复上述流程。各个步骤的繁简程度也不同, 有的十分复杂, 有的则非常简单。

二、蠕虫的行为特征

自我繁殖, 蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放后, 从搜索漏洞, 到利用搜索结果攻击系统, 到复制副本, 整个流程全由蠕虫自身主动完成;利用软件漏洞, 任何计算机系统都存在漏洞, 这些就被蠕虫利用系统的漏洞获得被攻击计算机系统的相应权限, 使之进行复制和传播过程成为可能。这些漏洞是各种各样的, 有操作系统本身的问题, 有的是应用服务的问题, 有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性, 导致各种类型的蠕虫泛滥;造成网络拥塞, 在扫描漏洞主机的过程, 判断其他计算机是否存在, 判断特定应用服务是否存在;判断漏洞是否存在等, 这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递, 或者向随机目标发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫, 也会因为它产生了巨量的网络流量, 导致整个网络瘫痪, 造成经济损失;蠕虫入侵计算机系统后, 会在被感染的计算机上产生自己的多个副本, 每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源, 导致系统的性能下降。这对网络服务器影响尤其明显;大部分蠕虫会搜集、扩散、暴露系统敏感信息, 并在系统中留下后门。这些都会导致未来的安全隐患。

三、企业防范蠕虫病毒措施

企业防毒的一个重要方面是管理和策略。推荐的企业防范蠕虫病毒的策略如下:加强网络管理员安全管理水平, 提高安全意识;建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击;建立应急响应系统, 将风险减少到最小。由于蠕虫病毒爆发的突然性, 可能在病毒发现的时候已经蔓延到整个网络, 所以在突发情况下, 建立一个紧急响应系统是很必要的, 在病毒爆发的第一时间即能提供解决方案;建立灾难备份系统。对数据库和数据系统, 必须采用定期备份, 多机备份措施, 防止意外灾难下的数据丢失!

四、个人用户防范蠕虫病毒措施

网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学, 而不是利用系统漏洞!所以防范此类病毒需要注意以下几点:购合适的杀毒软件。如瑞星、诺顿等杀毒软件;经常升级病毒库, 杀毒软件对病毒的查杀是以病毒的特征码为依据的, 而病毒每天都层出不穷, 在网络时代, 蠕虫病毒的传播速度快, 变种多, 所以必须随时更新病毒库, 以便能够查杀最新的病毒;提高防杀毒意识, 不要轻易去点陌生的站点, 有可能里面就含有恶意代码;不要查看陌生邮件, 尤其是带附件的邮件, 由于有的病毒邮件能够利用IE和Outlook的漏洞自动执行, 所以要及时关闭相关的应用程序。

网络蠕虫病毒 篇8

1 飞客 (Conficker) 病毒的防治

一般的电视台网内可能会配置一台杀毒服务器, 不同的杀毒软件对“飞客”病毒的提示不同, 因为很多的蠕虫病毒利用微软的操作系统漏洞传播, 微软专用的恶意软件删除工具给出的提示为Win32/Conficker, 而瑞星杀毒软件对于这种病毒的提示为worm.win32.ms08-67, 赛门铁克软件给出的提示为W32.Downadup, 除此之外飞客病毒还会有一些变种, 但基本病毒的名称都包含以上几类。

1.1 感染症状

飞客病毒对台内网络共享模式的NAS磁盘影响十分严重, 不断造成网络磁盘断开, 而且网内传染速度快, 很难杀净。一般有安装杀毒软件的计算机可能会给出一些提示, 例如Symantec Endpoint软件的防火墙会提示“192.168.0.101的主机系统阻止了来自网络内192.168.0.6的入侵”, 这种提示具有反复性和频繁性, 往往会每隔几十秒或是1分钟左右就给出提示。

另外, 感染了飞客病毒的主机会有一些典型的症状, 例如可以查看任务计划里是不是有AT*.job (*=1、2、3、4、5、6、7、8、9……) , 如图1所示。任务计划内容中的病毒位置如图2所示。

1.2 查杀病毒

需注意的是, 必须断网杀毒, 防止再次被感染。

清除病毒有两种方法。

(1) 利用端口及系统进程查看工具发现可疑程序进行删除

通常我们可以使用查看进程和线程的软件Ice Sword或是Wsyscheck, 如果要查看系统可疑的通信端口, 也可以使用Process Monitor或是Tcpview软件, 这些系统辅助软件, 都可以结束当前由病毒创建的可疑进程。Ice Sword和Wsyscheck在结束问题进程之后, 还可以定位可疑程序的系统路径, 找到问题文件直接删除, 如果这个可疑的文件 (或是病毒) 在调用系统其他进程, 形成了关联, 那么就还要用到Unlocker, 用这个软件解除可疑程序和系统进程之间的锁定关系, 这样就可以清除病毒了。

(2) 利用杀毒软件及绿色版的专杀工具进行查杀

对操作系统不太熟悉的技术人员, 使用这种方法更简便, 注意一定要利用多个专杀工具同时组合并反复查杀。如360安全卫士、瑞星kakasetupv6、大蜘蛛的专杀Dr.Web Cure IT, ESET的EConficker Remover.exe等。

1.3 系统修复

有时候病毒文件可能会隐藏在系统文件夹中或是某些系统的关键部位, 清除病毒可能会导致系统注册表受损, 使用SREng软件, 在软件中的“注册表”项目上左键在对应要修复的项上单击修复, 如果是处理疑难病毒, 双击运行SREng, 选择“智能扫描”, 就可保存扫描报告, 便于以后分析。

2 威金病毒的防治

2.1 病毒表现

(1) 某些杀毒软件的实时监控无法启动, 例如瑞星的实时监控中心。

(2) 部分图标变得模糊。

(3) 进程里面出现logo1_.exe、0Sy.exe等莫名其妙的东西, Windows目录下会出现vdll.dll、logo1_.exe、rundl132.exe文件, 感染几乎所有exe程序文件, 应用程序图标出现粉末 (图标变花) 目录下还会有_desktop.ini隐藏文件。

(4) C盘隐藏文件出现_desktop.ini (隐藏文件) 。

(5) 磁盘的autorun被修改, 以至于双击磁盘盘符时提示出错。

2.2 清除方法

结束以下进程:logo1_.exe、rundl132.exe (注意第六个为数字1而不是L) 、explorer.exe (该病毒会把v Dll.dll加载到该系统进程中去, 最好是用进程管理工具直接结束掉这个DLL) , 另外有类似OS.exe的进程也一并结束掉。

到Windows目录删除“logo1_.exe”、“rundl132.exe”、“vdll.dll”文件, 这些进程都是隐藏的, 需要把系统设置为“显示隐藏文件”。

运行gpedit.msc打开组策略, 依次单击用户配置——管理模块——系统——指定不给Windows运行的程序, 点启用, 然后点显示添加logo1_exe (也就是病毒的源文件) 。

找到并删除%Windir%下的Logo1_.exe、rundl132.exe、v Dll.dll文件, 其中v Dll.dll可能在其他目录中。

打开注册表, 索引HKEY_LOCAL_MACHINESoftwareSoftDownload WWW, 删除auto键值。

索引HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrent VersionWindows, 删除load键值。

打开%system%driversetc下hosts文件, 删除“127.0.0.1 localhost”一行后所有内容。

在Windows目录下新建文件“logo1_.exe”、“rundl132.exe”、“vdll.dll”, 并把属性设为“只读”, 这样病毒也就无法运行了。

这样电脑基本上可以对该病毒免疫了, 既使中了该病毒, 也发作不了。

如果应用程序都被感染了病毒, 重启后, 就会弹出“rundl132.exe不是有效的应用程序”和“无法加载注册表中C:Windowsrundl132.exe”的对话框, 要么删除所有被感染的应用程序, 然后从其他地方复制没感染病毒的过来, 要么就是在搜索里用“*.exe”找出所有的exe文件, 然后每个运行一下“:L”, 最后从注册表里找出“rundl132.exe”的启动项。

3 尼姆达病毒的防治

3.1 病毒现象

“尼姆达”的传染方式和“梅丽莎”病毒以及“爱虫”病毒的传染方式非常相近, 总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封“来历不明”的电子邮件, 会发现随信有一个名为Readme.exe (可执行自述文件) 的附件, 如果该附件被打开, “尼姆达”就顺利地完成了侵袭电脑的第一步。接下来, 该病毒不断搜索局域网内共享的网络资源, 将病毒文件复制到用户计算机中, 并随机选择各种文件作为附件, 再按照用户储存在计算机里的邮件地址发送病毒, 以此完成病毒传播的一个循环过程。

可以利用网络监控来查找尼姆达病毒, 主要有两种方式。

第一种方式就是利用交换机查看, 例如思科公司的交换机Cat6500和Catalyst 4500自带netflow功能, 利用这种流量的智能管理控制, 侦测端口的通信流量, 发现某一个IP地址的访问输入输出流量异常, 就怀疑可能为病毒主机。

第二种方式是通过协议分析软件来查看网络流量和异常主机, 在前几年局域网网关病毒ARP爆发的时候, 使用NBTSCAN工具可以快速取到PC的真实IP地址和MAC地址, 这里笔者推荐使用sniffer pro软件, 利用这款软件可以快速查看局域网内的所有主机网卡数据包状态。

3.2 病毒查杀

尼姆达病毒的查杀除了可以使用第一种病毒介绍的通用蠕虫工具以外, 也有专杀工具, 效果比较好的是江民和金山。

尼姆达病毒也有一些变种, 为防止病毒传播, 系统漏洞补丁注意打上微软的MS00-078补丁。

4 总结

电视台网内的安全更多依靠技术人员的管理实现, 技术人员的安全意识就尤为重要, 系统所有的服务器管理员账户密码不能为空, 很多蠕虫病毒自动复制过程中就会利用空口令去传播。另外, 还应注意以下几点。

(1) 微软的操作系统要经常利用WSUS服务器经常更新分发补丁。

(2) 必须实现专网专用, 唯一入口采用多级过滤机制。可以在制作网或播出网的专网与外部通信之间建立三级联动病毒查杀服务器, 通过文件共享方式拷贝。如图3所示, 先使用卡巴斯基杀毒后, 文件传输给服务器2利用瑞星杀毒, 再传输给服务器3利用NOD32杀毒。新建网络计算机硬件条件允许, 尽可能按照网络版杀毒软件, 为了防止唯一入口崩溃情况下, 或是技术人员自身疏忽在某个系统服务器内部感染了病毒。

(3) 利用软件防火墙封堵端口。通过Zone Alarm或是天网防火墙将无用的端口关掉, 可以增加系统安全性, 降低感染概率。

本文只是对台内杀毒工作的经验总结, 介绍的蠕虫病毒查杀方式比较全面, 但受篇幅限制, 并没有很细, 读者可以作为借鉴, 拓展维护方法, 改善网内安全模式。

摘要：本文对电视台网间传播的3种常见蠕虫病毒的发病现象、查杀方法进行了介绍, 并对电视台制播网络的安全提出了行之有效的建议, 为饱受病毒困扰的技术人员指明了新的道路。

网络蠕虫病毒 篇9

关键词：支持向量机,计算机系统性能,网络蠕虫病毒

0 前 言

随着互联网的日趋普及和网络攻击技术的不断变化,网络蠕虫病毒已成为今后网络系统面临的最大安全威胁之一。网络蠕虫通过自我复制和传播,攻击计算机操作系统或应用系统特定的安全漏洞,从而获取计算机上部分或全部控制权。目前,防范蠕虫病毒最常见的解决办法是利用杀毒软件,在已经掌握的病毒信息的基础上防范和检测网络蠕虫的入侵。当一种新型的网络蠕虫出现以后,反病毒软件的库信息更新会出现不可避免的延迟。随着世界信息化和网络化程度越来越高,在短时间内蠕虫病毒就会造成巨大的危害。

最近,基于人工智能的机器学习理论越来越多地应用于检测未知恶意代码的研究中。目前,用于异常检测的方法主要有统计、神经网络、支持向量机、遗传算法、数据挖掘等,其中支持向量机(SVM)是由Vapnik提出的、在统计学理论基础上发起来一种适用于小样本情况的通用学习方法。在样本有限情况下,SVM算法得到的是现有信息下的最优解。它通过结构风险最小化原则来提高推广能力,并最终转化为一个二次寻优型问题,从理论上解决了在神经网络等方法中无法避免的局部极值问题。SVM算法通过核函数的使用以避免高维特征空间的复杂计算,同时解决了维数灾难问题,使其算法复杂度与样本空间维数无关[1,2,3]。

本研究提出的检测模型是基于对已知蠕虫病毒对计算机性能参数所造成影响的监测结果,自动生成用于训练分类器的数据集,并利用支持向量机分类器进行分类判决以检测未知的网络蠕虫。

1 支持向量机

SVM是从统计学习理论发展而来的一种模式识别方法,是目前较为流行的适用于小样本训练的大边缘分类器。下面对该算法进行简要介绍。

给定{(xi,yi),xi∈RN,yi∈{-1,+1},i=1,…n},用向量X=(x1,…,xn)代表一次采样的计算机性能参数集,每次采样包含了系统的323个计数器值作为特征向量,这些特征是由计算机的性能计数器实时检测主机性能提供的,旨在反映计算机异常。相应的向量输出标记为yi,对计算机未感染网络蠕虫的输入向量输出标记为+1;对判决为感染病毒的输入向量标记为-1。SVM将输入数据映射到高维特征空间并构建最优分离超平面,可以将给定的输入样本正确地划分为正常和异常两类,并使得被分开的两类数据间的分类间隔尽可能大。

1.1 线性分类

对于如上描述的样本集(xi,yi),如果满足线性可分条件,则求解最优分类面的问题即为求解满足下式条件,且使分类间隔$2/\left|w\right|{}^2$最大的分类平面:

yi[(w·xi)+b]-1≥0 (1)

利用Lagrange优化方法可以把最优分类面问题转化为对偶问题,可得最优分类函数为:

f(x)=sgn[(∑αiyi(xi·x)+b)] (2)

其中,Λ=(α1,…,αn)T是拉格朗日乘子,值不为0的αi对应的样本为支持向量。

1.2 非线性分类

对非线性问题,可以通过非线性变换,使分类面求解转换为某个高维空间中的线性问题,在变换空间求最优分类面。给定核函数K(xi,yi),运用拉格朗日方法,SVM分类判决即为对如下的对偶优化问题进行求解:

$\max Q(\alpha )={\displaystyle \sum _{i=1}^n\alpha }{}_i-\frac{1}{2}{\displaystyle \sum _{i,j=1}^n\alpha }{}_i\alpha {}_{j}y{}_{i}y{}_j{\rm K}(x{}_i,y{}_j)(3)$

且满足:$st.{\displaystyle \sum _{i=1}^n\alpha }{}_{i}y{}_i=0,0\le \alpha {}_i\le C,\forall i=1,\cdots n$。

式中 C—正则化参数;αi—拉格朗日乘子,其非0值对应的样本为支持向量。最后的分类器为:

$f(x)=\mathrm{sgn}({\displaystyle \sum _{\text{支}\text{持}\text{向}\text{量}}\alpha }{}_{i}y{}_i{\rm K}(x{}_i,x)+b)(4)$

在SVM中不同的内积核函数将形成不同的算法,应用较多的核函数,主要有:线性核函数、多项式核函数、Sigmoid核函数和径向基核函数等4类。本研究实验采用的为线性核,核函数为:K(x,y)=x·y。

2 蠕虫检测系统模型

实验中蠕虫检测模型主要是利用支持向量机分类器对反映计算机系统性能的特征向量集进行规则建模,并对测试样本进行判决分类,从而达到检测蠕虫病毒的效果。为了使该检测方法更具有推广性,实验中建立了由3台计算机组成的本地局域网,并模拟计算机的正常工作状态,进行系统特征数据采集工作。

2.1 数据集产生

2.1.1 计算机性能描述

实验中所用计算机为Windows XP系统,Intel P4 3.00 GHz,512 M内存。利用系统的Windows Performance Counter来监测和采样系统特征,主要的系统特征如下:ICMP(27 Counters), IP(17), Memory(29), Network Interface(17), Physical Disk(21), Process(27), Processor

(15), System(17), TCP(9), Thread(12), UDP(5)。实验中利用性能计数器采样每2 s采样如上323个特征,连续采样20 min,生成原始数据训练集。

为了使检测模型能够在计算机正常工作环境具有较高的判决准确率,并具有广泛的代表性,实验中考虑到用户正常使用对计算机性能参数造成的影响。实验数据采样过程中在采样计算机上开启了若干应用程序,包括网络浏览器、Word、Excel、Windows Media Player以及FTP下载,使分类器能够将正常的计算机使用对性能的影响和资源占用因素融入最后生成的判决规则和规则模型之中,使模型能够更加准确地判决蠕虫病毒造成的计算机性能异常,并减小误报率。

2.1.2 蠕虫病毒样本

蠕虫病毒有多种类别,区别主要在于其负载和IP的扫描方式上。实验中所选取的蠕虫样例主要是高负载,并具有不同的IP扫描方式。目的是为了在产生的判决规则中包含蠕虫病毒最普遍的判决特征。选取的蠕虫如下:

(1) Win32.Dabber.A。能够随机扫描IP地址。传播时利用Win32.Sasser.D并打开一个FTP服务来进行自我升级。计算机感染后,病毒在用户登录时自动运行,该蠕虫的特殊性在于其传播依赖于其他蠕虫病毒。

(2) Win32.Deborm.Y。能够自我传播,主要攻击本地IP地址。该蠕虫注册为MS Windows服务并在用户登录时自动运行。选取该病毒的原因在于其高负载,包含了3种特洛伊木马病毒。

(3) Win32.Sasser.D。能够在扫描网络时利用本机IP地址进行自我优化。该蠕虫执行时会打开128个进程来扫描网络,在CPU运算和网络传输上造成高负载。其自身能够打开本机的FTP服务进程来进行自我升级。

(4) Win32.Slackor.A。利用MS Windows共享服务的漏洞进行传播。该蠕虫能够注册并在用户登录时自动运行,包含大量的特洛伊负载,能够打开一个IRC服务进程来接收远程控制命令。

2.2 数据预处理

数据挖掘中,训练集包含的大量特征向量会产生极大的运算量,并且冗余的特征向量会降低判决的准确率。所以在加载到分类器进行训练之前,要对数据集预处理,进行特征选择[4,5,6]。

特征选择的目的是在维持准确率的前提下,尽量减少特征向量的数量。实验中采用信息增益(Gain Ratio)算法进行特征选择,信息增益算法是利用特征属性对决策属性的信息增益作为特征向量的属性重要性度量的特征选取方法。首先给出集合S,则S的信息熵定义为(其中,C为S的一个子集):

$E(S)=-{\displaystyle \sum _{c\in C}\frac{|S{}_c|}{|S|}}\cdot \log {}_2\frac{|S{}_c|}{|S|}(5)$

然后通过测量“在减少某一特征A时,所带来的熵减少程度IG(S,A)”来评估特征A的信息包含量,如下所示(其中,集合V包含了特征A的所有可能取值):

${\rm I}G(S,A)=E(S)-{\displaystyle \sum _{v\in V(A)}\frac{|S{}_v|}{|S|}}\cdot E(S{}_v)(6)$

2.3 评估方法

为了评估分类算法的准确率,实验中采用True Positive(TP)来代表样本被正确判决为Positive的概率,False Positive(FP)为Positive样本被误判的几率,True Negative(TN)表示样本被正确判决为Negative的几率,False Negative(FN)为Negative样本被误判的几率。实际上用于评估的样本数量用(A)标识,则由以下公式评估算法的判决准确率:

${\rm T}{\rm P}=\frac{{\rm T}{\rm P}{}^A}{{\rm T}{\rm P}{}^A+F{\rm N}{}^A}(7)$

$F{\rm P}=\frac{F{\rm P}{}^A}{F{\rm P}{}^A+{\rm T}{\rm N}{}^A}(8)$

${\rm T}otal\_Accuracy=\frac{{\rm T}{\rm P}{}^A+{\rm T}{\rm N}{}^A}{{\rm T}{\rm P}{}^A+{\rm T}{\rm N}{}^A+F{\rm P}{}^A+F{\rm N}{}^A}(9)$

3 实验结果及分析

实验中首先考察了蠕虫检测模型的实时性,实验采用WEKA软件中的SVM算法包,并采用默认参数配置的C-SVM算法进行分类建模。对计算机性能计数器的全部323个参数进行建模的情况下,采用单一蠕虫样本数据集训练所需时间平均为3.3 s,对于“两个以上的蠕虫样本进行分类建模所需时间平均在4.5 s以上,特征数目在30以内”的情况下,系统建模时间少于0.6 s。

在实验中利用信息增益算法进行特征提取,检测包含不同数量特征向量的训练集训练分类器的判决准确率,实验中考察了信息增益在前5、30、100的特征向量集与全部特征向量对分类器的影响。判决准确率考察结果,如图1所示。实验讨论了蠕虫病毒检测模型对已知网络蠕虫(作为训练集)和未知蠕虫(作为测试集)的检测准确率。

实验中按照测试集中包含的样本数目将实验分为4个测试过程。在每个测试过程中,将一部分病毒样本作为测试集,剩余的作为训练集,并重复这一过程,考察所有样本作为测试样本的分类准确率,并求其平均值作为该测试过程的分类准确率。

实验中,x=0点坐标代表“4种病毒样本全部作为训练集”,并采用十折交叉验证方法(10-fold cross validation)来评估检测方法的准确率,即将训练数据集分为10部分,每次用90%的数据进行训练,剩余10%的数据集用于验证,并将该过程重复10次。

如图1所示,当选取的特征向量数目为30个时,在不同测试过程中有着较好的准确率;特征向量为5个时虽然在x=0点有高准确率,但是推广性差,随着训练集中样本数目的减少,准确率显著下降[7,8,9];其他两种情况下,训练集都包含了若干冗余特征,干扰了分类器的分类建模,致使判决准确率下降。

在实验中构建的蠕虫病毒检测模型选取信息增益排名前30的特征进行分类训练和判决检测,实验显示:在x=0点检测模型的判决准确率最高,即检测模型对已知蠕虫病毒的检测准确率达95%以上;在对未知蠕虫检测准确率的考察中,模型对单一蠕虫样本的判决准确率在86%以上。随着测试集中蠕虫样本的增加,作为训练集的样本数目相应减少,判决准确率逐渐下降。

4 结束语

本研究提出了一种基于SVM分类算法和计算机性能监测的网络蠕虫主动检测模型,能够在网络蠕虫大规模传播前发起预警。该模型能够自动生成数据训练集,并利用支持向量机作为分类器进行分类判决,具有很好的推广性和实用性。

从实验中可以看到,SVM算法对于小样本的分类识别有着很高的判决准确率和很好的实时性。实验中,系统对于已知蠕虫样本的判决准确率在95%以上;对于单一的未知的蠕虫样本,有着平均86%的检测准确率。随着训练集中蠕虫样本数目的增加,检测系统的判决准确率有显著的提高,这是由SVM算法的自身特性决定的。

在限制系统建模时间以保证系统实时性的前提下,若能增加训练和验证的病毒样本种类,相信本研究提出的未知蠕虫检测模型的判决正确率能够更高,所产生的系统判决规则具有更加广泛的适用范围。

参考文献

[1]MOSKOVITCH R,GUS I,PIVDERMAN S.Detection ofUnknown Computer Worms Activity Based on Computer Be-havior using Data Mining[C]//Computational Intelligenceand Data Mining,Honolulu:[s.n.],2007:202-209.

[2]张雪芹,顾春华,林家骏.基于支持向量机的Windows主机入侵检测系统[J].华东理工大学学报:自然科学版,2006,32(3):341-345.

[3]王勇,章熙骏,章辉华,等.一种Windows主机入侵检测实验系统[J].计算机工程,2006,32(10):132-134.

[4]张剑飞.数据挖掘中的贝叶斯网络构建与应用[J].高师理科学刊,2006,26(3):35-37.

[5]段丹青,陈橙乔,杨卫乎.基于SVM主动学习的入侵检测系统[J].计算机工程,2007,33(1):153-155.

[6]衣治安,吕曼.基于支持向量机的入侵检测方法[J].大庆石油学院学报,2007,33(1):82-84.

[7]李卓,刘斌,刘铁男.支持向量机及其在油田生产中的应用[J].大庆石油学院学报,2005,29(1):77-79.

[8]任江涛,孙婧昊.一种基于信息增益及遗传算法的特征选择算法[J].计算机科学,2006,33(10):193-195,251.