计算机蠕虫

计算机蠕虫（共12篇）

计算机蠕虫 篇1

1 网络蠕虫的搜索策略

1.1 选择性随机扫描 (Selective Random Scan)

在扫描中运用随机扫描会对整个计算机中的IP地址进行随机扫描, 而通过选择性的随机扫描可以有效的关于主机中存在的漏洞问题进行集作为扫描的地址, 这种方法也是随机扫描中策略的一种。在选择的目标中按照算法进行随机生成, 但是对于在整个互联网中存在的未分配以及地址保留的状况是不在扫描的行列的。

1.2 顺序扫描 (Sequentia1 Scan)

在主机被蠕虫感染后我们可以进行顺序扫描, 就是针对c类网络进行地址传播, 然后根据优先本地原则, 这时候蠕虫通常会在自身所在的网络IP地址中进行选择, 假定蠕虫扫描的目标地址中的IP是b, 那么下一个扫描中的IP地址则是B+1或者是B-1。这时候在扫描中蠕虫就会用过网络进行自主传播。这种策略的是不能对一台主机进行重复的扫描的。这样容易引起网络的拥堵, W32.Blaster则是较为典型的顺序扫描蠕虫。

1.3 蠕虫的实体结构

在计算集中蠕虫程序不同于一般的应用程序, 在整个程序中其结构上更具有复杂性, 并且在进行分析中发现, 蠕虫病毒程序的整体结构是由一下几个部分构:首先是未编译的源代码, 其次是已经编译的链接模块, 第三是可以运行的代码和脚本。所以蠕虫一般都是有以上这几个部分构成的。

2 计算机蠕虫病毒对抗

2.1 病毒检测技术

常规计算机病毒的检查主要是针对引导区和可以执行的文件以及内部存储空间等病毒的特征进行分析对比, 以此来学照整个病毒在被感染以后所留下的线索。

2.1.1 检查磁盘的主引导扇区

在硬盘中的主引导区中主要是用来区别表或者是文件的分配表, 在整个文件的目录区是蠕虫病毒攻击的对象, 在其中引导型病毒则是在磁盘中的引导扇区来进行攻击, 当发现与此有关的异常现象, 可以用引导区来进行判断。

2.1.2 检查可执行文件

在后缀为COM和EXE等进行检查, 可执行为文件的长度或内容以及属性等来判断其中是否感染了病毒。在一般的检查中, 对于这些程序的头部, 就是前面的二十个字节, 主要是由于大多数的病毒会改变整个文件的首部。

2.2 启发式扫描技术

病毒和正常程序的主要区别可以从很多的方面体现, 通常对于一个应用的程序在开始的指令是进行检查的命令行那么输入有无参数项和清屏或者保存原来屏幕显示等, 那么病毒程序就不会这样做, 它主要指通过最初的指令来进行远距离跳转和搬移代码等, 在进行搜索中对于某路径下的指令操作其中序列。这些显著的不同之处, 一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术 (Heuristic Scalming) 实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。与其他扫描技术性比较, 启发式的扫描技术可以说能为整个网络中的系统信息判断提供基础, 从而来判定是否是未被感染的。

3 利用 DNS 服务器抑制蠕虫的传播

3.1 入侵检测系统的工作原理

入侵检测则主要是在特定的环境中进行区别其中的恶意攻击, 并且以此做出反应。在入侵中IDS系统会自行进行检测, 从而对网络中的资源进行实时检测。IDS在检测中发现未被授权的对象入侵, 就会自主查杀。IDS主要分为两类 : 主机IDS (HIDS) 以及网络IDS (NIDS) 。在HIDS上安装在受监控主机上, 这样就拥有了对整个敏感文件的特殊访问特权。在HIDS就会利用这一个较为特殊访问特权对异常行为进行监控。NIDS存在于网络中, 通过捕获发往其他主机的流量来保护大量网络设施。

3.2 利用 DNS 服务器抑制蠕虫传播的系统设计与实现

3.2.1系统详细说明

对于服务器的检测。主要是根据分析从而建立蠕虫的规则:并且对于网络中的数据包进行提取:并就数据包进行匹配;以此来判断蠕虫的自动生成IP列表。

DNS服务器。在检测中对服务器获取的染毒计算机中的IP地址进行列表;根据染毒计算机IP地址列表配置视图;将染毒计算机导向WEB服务器。

web的服务器。主要是对于HTTP协议的web现实界面进行预警的。

3.2.2 系统优缺点

在目前采用的系统中, 路由策略主要是由于蠕虫的行为特性决定的, 一般情况下蠕虫病毒具有相似性, 这样不可避免的影响到程序的正常封堵。当网络管理中发现蠕虫所感染的主机时候, 使用者本身并没有发现机器被蠕虫感染, 当发现时候在进行封堵, 那么对用自身的帮助并不大。

采用基本的DNS服务来进行查杀蠕虫病毒的方案也具有不可行性, 比如在NAT的网络中, 当一台机器出现问题, 从而网关被查封, 那么整个相同网络中机器的网关都会被查封。在大部分的蠕虫传播时候, 会通过IP来进行测试, 这样可以有效的组织蠕虫的攻击。

摘要：网络蠕虫对计算机造成的损失已经被日益重视, 计算机蠕虫带来的危害是巨大的, 动辄照成数亿的损失, 这相当于一场小型规模的战争。当前社会信息化程度逐渐增多, 蠕虫带来的损害已经越来越大。现在这种条件决定了当前对抗蠕虫的重要性。防治网络蠕虫病毒工作是一项较为艰难的事情, 笔者经过实践指出网络蠕虫的基本防止对策, 并且分析了在互联网中对于如何抗击蠕虫病毒, 通过dns服务器中的ID进行相关的欺骗, 并且以此来抑制蠕虫传播。

关键词：蠕虫病毒,入侵检测,DNS服务器,计算机网络安全

参考文献

[1]尹俊艳.蠕虫病毒传播机理研究及其实现[J].湖南科技学院学报, 2005 (11) .

[2]田雪峰, 钟求喜, 苏金树.蠕虫早期检测系统研究[J].信息安全与通信保密, 2005 (7) .

[3]李志东, 云晓春, 杨武, 等.基于公共特征集合的网络蠕虫特征码自动提取[J].计算机应用, 2005 (7) .

[4]张立秋, 常会友, 刘翔.基于网络的入侵防御系统[J].计算机工程与设计, 2005 (4) .

计算机蠕虫 篇2

2.打开注册表编辑器，删除下列值：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

”Win32USB2Driver“=”smsc.exe“

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

”Win32USB2Driver“=”smsc.exe“

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

”Win32USB2Driver“=”smsc.exe“

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

”Win32USB2Driver“=”smsc.exe"

3.到系统目录下删除文件：smsc.exe即可

注:

%WINDIR%是Windows系统的核心动态库所在目录，在Windows9X/ME下默认为:C:WINDOWS,Windows/XP下默认为:C:WINNT，

手工删除混合蠕虫

，

%SYSTEM%是Windows系统的核心动态库所在目录，在Windows9X/ME下默认为:C:WINDOWSSYSTEM,Windows2000/XP下默认为:C:WINNTSYSTEM32。

古老蠕虫化石的新发现 篇3

这种生物被称为“怪诞虫”，曾经是世界上最常见的动物之一。它拥有超凡脱俗的外观，而这样的外观也间接导致了其进化过程中的错位，从而使得它在解剖学上留下了诸多疑问，让科学家大惑不解。

怪诞虫的化石并不是第一次被发现，然而先前的研究并未获得重大成果，科学家未能找到这种生物的头部。而在此次发现的化石上，科学家终于惊奇地发现其中隐藏着一对构造简单的眼睛和一圈针尖状的牙齿，这才终于搞清了怪诞虫头部的准确位置。

马丁·史密斯是剑桥大学的教授，也是这项研究的负责人，他说：“从前很多研究人员一直对怪诞虫的头部位置议论纷纷，而这次的发现无疑具有极为重要的科学意义。”

怪诞虫的周长大约35毫米，从现有发现的化石来看，它应该是距今5亿年的前寒武纪时期的海洋生物，这一时期也是大量大型动物化石出现的时期。

事实上，早在20世纪70年代，科学家就已经开始研究怪诞虫了。那时候，科学家普遍认为怪诞虫可以根据身体下的针状触角在海底行走，行走的过程中，在它背后挥舞的触角则发挥了分辨方向的作用。然而如今的发现却证明，当初的结论其实错误地颠倒了这种生物的正面和后面。

史密斯：“化石的尾部有一个很大的黑色球体，就像是气球一般，科学家起初以为那是头部。”在用功能强大的电子显微镜对标本进行了多次观察后，科学家终于确定了怪诞虫拥有眼睛和牙齿，而尾部的黑色球体，用通俗的话来说，就是它的排泄物。史密斯说：“说得更专业一点，这是此种生物在排掉体内的阻力之后，因为压力差而吸收了海底的部分泥层，而在体内形成的一种‘汤’状物质。”这么说来，先前的观点可谓错得离谱。

地球上的生物经历了翻天覆地的进化历程，而这次怪诞虫的发现，对研究那段原始生物向复杂生物迅速进化的时期有着非凡的意义。既然怪诞虫拥有眼睛，就证明了其至少对光明和黑暗有了基本的视觉意识。“怪诞虫极有可能分辨出白天和黑夜，但视觉的极限应该不会超过200米。”史密斯说，“所以，如果有捕食者正朝一只视觉正常的怪诞虫游来，那么它应该不会及时发现潜在的危险。”

在这次的发现中，除了眼睛，还有牙齿。怪诞虫的牙齿排列呈环形，而牙齿本身则呈针尖状，更像是一圈锋利的尖刺，这一圈尖刺倒向喉咙的方向。这一发现可以为科学家提供有趣的猜想：怪诞虫的进食方式应该是用嘴吸入一片富含浮游生物的水，随后将水过滤出来，在这个过程中，它那一圈锋利、密实的牙齿就会紧紧裹挟住被吸入口中的浮游生物，让它们无处可逃。

不仅如此，牙齿的发现还为怪诞虫找到了一位现代生物亲戚——天鹅绒虫。当然，这项结论还未得到完全的证实，但无疑为怪诞虫的进化找到了一个合理的方向。毕竟正如其名字本身，怪诞虫一度让科学家们困惑万分，甚至认为这可能是一个独立的物种，根本就不能将其进行合理的分类。而现在，科学家则认为怪诞虫应该属于一个庞大的生物分支——蜕皮动物。蜕皮动物是一个含义非常广泛的分类，其中包括蜘蛛、蜈蚣在内的节肢动物，以及上述的天鹅绒虫。

“这个分支里的动物在进化史的早期拥有相当多的未知成分。”史密斯说，“虽然我们知道，既然它们叫‘蜕皮动物’，那顾名思义，说明它们的共同点之一便是要蜕皮。然而我们依然没有发现连接这些动物的物理特性究竟是什么。”

因此，尽管怪诞虫的新发现意义非凡，但仍然留下了诸多没有解释的问题。生物进化史是一张极为复杂、庞大的拼图，这次发现也只是为这张巨型拼图增添了一小块而已，未来的探索之路还很漫长。

计算机蠕虫病毒检测技术分析 篇4

1. 蠕虫病毒

1.1 蠕虫病毒的特征[1]

蠕虫病毒做为恶意代码的一个分支, 设计者在设计时就使它拥有智能化、自动化的性能, 能够综合网络攻击、密码学和计算机病毒等各种技术, 在不需要计算机使用者进行干预的情况下, 即可运行攻击程序或代码。它具有自主扫描和攻击网络上存在系统漏洞的节点主机, 通过局域网或者国际互联网从一个节点快速传播到另外一个节点。进而造成计算机大面积的感染, 属于智能化、自动化和高技术化的电脑病毒, 也就是说蠕虫病毒具有行踪隐蔽、善于利用漏洞、自主攻击的特征, 发作时可以很快造成网络拥塞、系统性能降低、安全隐患大大降低等危害行为, 同时它具有反复性和高度破坏性等特征, 在所有计算机病毒对计算机和网络的破坏程度上具有很大的危害性。

1.2 蠕虫病毒的分类

根据蠕虫病毒在计算机及网络中传播方式的不同, 人们大致将其分为五种。

1.2.1 电子邮件 (E-mail) 蠕虫病毒

通过电子邮件传播的蠕虫病毒, 它以附件的形式或者是在信件中包含有被蠕虫所感染的网站链接地址, 当用户点击阅读附件时蠕虫病毒被激活, 或在用户点击那个被蠕虫所感染网站链接时被激活感染蠕虫病毒。

1.2.2 即时通讯软件 (IM) 蠕虫病毒

即时通讯软件 (IM) 蠕虫病毒是指利用即时通讯软件, 如QQ、MsN等通过对话窗口向在线好友发送欺骗性的信息, 该信息一般会包含一个超链接, 因为是在接受窗口中, 可以直接点击链接并启动IE, IE就会和这个服务器连接, 下载链接病毒页面。这个病毒页面中含有恶意代码, 会把蠕虫下载到本机并运行, 这样就完成了一次传播。然后再以该机器为基点, 向本机所能发现的好友发送同样的欺骗性消息, 继续传播蠕虫病毒。

1.2.3 P2P蠕虫病毒

P2P蠕虫是利用P2P应用协议和程序的特点、有漏洞的应用程序存在于P2P网络中进行传播的蠕虫病毒。人们根据它发现目标和激活的方式, 将P2P蠕虫分为:伪装型、沉默型和主动型三种。

1.2.4 漏洞传播的蠕虫病毒

漏洞传播的蠕虫病毒就是基于漏洞来进行传播的蠕虫病毒, 一般分为两类:基于Windows共享网络和UNIX网络文件系统 (NFS) 的蠕虫;利用攻击操作系统或者网络服务的漏洞来进行传播的蠕虫。

1.2.5 搜索引擎传播的蠕虫病毒

基于搜索引擎传播的蠕虫病毒, 通常其自身携带一个与漏洞相关的关键字列表, 通过利用此列表在搜索引擎上搜索, 当在搜索结果中找到了存在漏洞的主机, 来进行攻击。其特点是流量小, 目标准确, 隐蔽性强, 传播速度快, 在整个传播过程中, 它和正常的搜索请求一样, 所以能够容易的混入正常的流量, 而很难被发现。

2. 计算机蠕虫病毒的检测技术

2.1 基于特征匹配的检测技术[2]

对于已知蠕虫的检测, 可以采用基于特征匹配的检测技术。具体方法是检测蠕虫的主要特征:服务端口号、协议类型、蠕虫特征字符串等。根据这三种特征, 生成一个特征规则库。特征匹配检测技术就是对采集到的网络数据包按照一定的流程与特征规则库中的规则进行匹配对比操作, 以发现蠕虫的攻击。

基于特征匹配的检测蠕虫的技术具体程如下: (1) 检查网络上的每一个数据包, 寻找攻击特征; (2) 将与攻击特征相同长度的一组字节从可疑数据包首部中取出, 并对两组字节进行特征比较; (3) 如果比对的结果相同, 就表示检测到一个可能的攻击; (4) 如果比较结果不同, 则从网络数据包的下一个字节位置重新开始比对; (5) 直到检测到攻击, 或网络数据包中的所有字节均匹配完毕, 则表示一个攻击特征匹配; (6) 检测结束; (7) 对每一个攻击特征, 重复第一步开始的匹配比较; (8) 直到每一个攻击特征全部匹配完毕, 对数据包的匹配操作完毕。

但是该检测技术存在两个根本性的缺陷, 第一就是持续运算所需的计算量极其巨大, 占用了巨大的资源, 第二是探测字节的准确性较差, 不能满足要求。

2.2 基于协议分析的特征匹配检测技术

计算机网络的核心就是网络协议, 如流行的TCP/IP协议, 所以网络协议分析技术在网络安全领域是一项非常重要的技术。网络协议分析的实质是对网络上的数据进行相应的协议分析。网络上的协议多样, 所以产生的数据也是各不相同的。但是每一个网络数据归根结底都是基于协议产生的, 即任意一个网络数据都使用了一定的网络协议。我们通过对网络数据包进行协议分析, 就能够得到数据包的整个协议内容。

协议分析的流程主要包括三个方面:捕获数据包、过滤数据包以及具体的协议分析。目前单一检测方法还不能检测到基于网络攻击的所有蠕虫。因此, 多种技术协同工作就成为一个重要的蠕虫检测技术研究方向。融合了传统特征匹配技术的优点, 并与协议分析技术共同协作来检测蠕虫攻击, 并作出响应然后阻止攻击是关系整个系统安全性的重要因素。

在具体的检测中, 检测系统首先通过截获网络数据包, 并送往协议命令解析模块, 然后通过具体的协议字段来判断各层协议, 以解析出数据包的数据部分, 再根据系统所拥有的规则库进行特征匹配对比, 判断该数据包是否有入侵企图, 最后交由响应系统对该数据做出相应的响应处理。

2.3 基于概率的检测技术

对于一些未知特征码的蠕虫病毒的检测, 目前主要有两种方法:事后的人工分析和实时的自动检测发现。所谓的事后人工分析, 是指当网络管理员发现网络系统异常后, 研究网络数据包的踪迹, 提取出蠕虫病毒的特征码, 加入特征库, 方便以后的检测。此办法虽能控制蠕虫的进一步扩散, 但由于蠕虫病毒遵循自己的传播方法和途径正在传播, 在事后人工分析和处理的过程中网络的大部分的计算机实际己经被感染了。而实时自动检测发现, 可以通过实时流量监测、内容分析等手段自动去发现蠕虫病毒的传播。在蠕虫爆发的早期就可提供蠕虫预警措施, 为阻断蠕虫攻击提供及时的信息。蠕虫病毒的共性告诉我们, 被感染的主机会利用扫描算法去探测某个地址的固定端口, 以试图感染其他主机, 所以会对节点主机产生首次连接的请求。而根据蠕虫扫描探测的这一特性, 比对计算单位时间内的首次连接失败概率值是否超过蠕虫判断阙值, 是基于概率检测蠕虫攻击检测技术的主要方法。现在较好的概率检测方法是基于概率的贝叶斯检测方法, 该方法能在系统的检测率和误报率之间找到最佳的阈值平衡点, 是一种非常有效的检测技术。

2.4 基于蜜罐技术的检测方法

蜜罐就是设置一台不作任何安全防范措施而且连接到网络的计算机, 但是它又与一般计算机不同, 在它内部运行着多种多样的数据记录程序和特殊用途的“自我暴露程序”, 其实质就是一台存在多种漏洞的计算机, 而且管理员清楚它本身上有多少个漏洞, 当有网络入侵行为时, 蜜罐就将入侵行为记录下来, 帮助管理员分析解决问题。所以说蜜罐是一个安全资源, 它的价值就在于被探测、攻击和损害[3]。

在网络安全领域, 蜜罐应用的范围包括检测攻击, 阻止攻击, 捕获和分析自动化的攻击。计算机蠕虫作为一种自动化攻击的程序, 我们就可以利用蜜罐的捕获和分析自动化攻击的能力在内网对未知蠕虫进行检测识别, 并利用蜜罐提取出未知蠕虫特征。

蜜罐是一个体系结构, 根据其结构类型, 目前主要包括以下两种:

2.4.1 蜜罐网络

蜜罐网络基本体系结构就是在外网与蜜罐网络之间部署了一个防火墙, 进出蜜罐网络的所有数据连接, 都必须通过防火墙, 所以可以很方便地在该防火墙上设置一定的规则, 对进出蜜罐网络的数据连接进行控制, 对网络上所有的流量进行捕获, 从而分析出其特征码。

蜜罐网络中的防火墙是一道隔离墙, 攻击者如果一旦控制了蜜罐网络中某台陷阱主机, 并试图利用该主机作为僵尸主机对外网发起连接时, 管理员就可以通过防火墙上设置的外出连接限制功能阻断该连接, 使攻击者不能利用蜜罐危害其他非蜜罐主机;管理员如果发现内部蜜罐网络被攻击者攻击, 并希望阻断攻击者, 也可以在防火墙上很容易实现这一目的。同时在这个结构中, 蜜罐主机捕获的数据也不用存储在本地, 可以通过内部网任意存放在一台单独的安全的主机上, 使数据捕获的安全性有了更大的保证。

2.4.2 虚拟的蜜罐网络

虚拟的蜜罐网络就是利用虚拟机 (虚拟操作系统) 来构建虚拟蜜罐网络的技术[4]。设计者将虚拟蜜罐网络运行在一台物理机器上, 并通过虚拟操作系统软件, 在该系统上虚拟运行多个操作系统, 这样从外部看起来, 就像是有多个系统单独独立运行一样。虚拟蜜罐网络系统具有成本低廉, 易于布设和管理的优点。但是缺点也是明显的, 首先存在着单点失效的问题, 由于整个蜜罐网络依赖某个单主机的硬件, 一旦某一个共享的硬件出了问题, 则整个蜜罐网络就失去了作用;另外虚拟多个操作系统, 对真实主机的性能要求就比较高, 其网络带宽的要求也秀高;同时安全性不是很高, 攻击者在获取了某个虚拟主机的控制权以后, 就能够影响被其他虚拟系统共享的所有资源;最后只能安装特定的几种系统, 因为系统硬件的某些限制, 不能够任意设置蜜罐主机的操作系统, 必须要考虑到硬件和软件的兼容性。

2.4.3 蜜罐检测技术的优点

蜜罐检测技术的优点, 如可以大大减少所要分析的数据;另外蜜罐技术还能够捕获新的攻击方法和技术, 包括未知的工具、策略和蠕虫等;同时蜜罐对资源的要求很低;最后就是蜜罐技术的原理、概念简单, 没有特殊的运算规则发现、维护稳定的表格, 或者更新的签名等, 因此, 错误率和错误配置的可能性会较小。

3. 结束语

当然, 在具体的网络安全检测各种蠕虫病毒时, 为了提高检测的准确率和效率, 人们大都将各种检测技术进行混合搭配使用, 使各种单一的检测技术的优点能够互补结合, 从而更加高效的进行网络安全的防治, 方便人们的使用。

摘要：互联网技术的飞速发展给人们工作和生活带来方便和高效的同时, 各种病毒的出现给网络的正常运行带来极大危害, 本文在列举了蠕虫病毒的特征和巨大危害基础上, 详细讨论了蠕虫病毒的多种检测技术, 并对其工作原理及特点做出了剖析。

关键词：蠕虫病毒,检测技术

参考文献

[1]肖颖, 云晓春, 辛毅.基于搜索引擎蠕虫的分析与检测[J], 计算机工程与应用, 2006, 42 (7) :112一115.

[2]张冶江, 李之棠, 陆垂伟等.P2P蠕虫的分析与对策[J], 华中科技大学学报, 2007, 35 (zl) :228一231.

[3]邹文, 唐心玉.蜜罐与蜜网技术的研究与分析[J], 电脑知识与技术, 2008, (7) :1214一1216.

“Skype蠕虫”病毒技术细节 篇5

此程序为worm类型程序

1.创建名为syksp2.0.0.4gM-2oo8&-825190的互斥体，防止进程中有多个病毒进程运行，

2.修改用户hosts文件，把以下网址重定位。

89.72.142.99 symantec.comsecurityresponse.symantec.com

168.226.208.159 www.symantec.comsecurityresponse.symantec.com

116.249.149.146 pandasoftware.com

201.163.176.59 www.pandasoftware.com

201.68.47.134 sophos.com

78.3.225.30 www.sophos.com

209.127.21.131 mcafee.com

139.189.165.92 www.mcafee.com

217.102.51.14 downloads-us1.kaspersky-labs.com

229.47.179.141 www.downloads-us1.kaspersky-labs.com

131.152.41.115 updates1.kaspersky-labs.com

…

3.在system32文件夹下释放wndrivsd32.exe、winlgcverx.exe、sdrivec32.exe、mshtmlsh32.exe 文件，并添加注册表自启动项HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentversionRunOnce “Service Start2” = mshtmlsh32.exe、HKEY_LOCAL_MACHINE

SoftwareMicrosoftWindows NTCurrentversionWinlogon “Windows Sysdat” = explorer.exe mshtmlsh32.exe，

4.在explorer.exe中创建远程线程，每隔6秒查找进程中是否存在病毒进程，如果没有则运行病毒程序，实现进程保护。

5.病毒会将生成的dsc027.scr通过skype模拟键盘和鼠标操作发送给其他联系人,发送消息如下：

your photos looks realy nice

where I put ur photo :D

I used photoshop and edited it

look what crazy photo Tiffany sent to me,looks cool

haha lol

now u populr

really funny

…

6.遍历磁盘，把自己命名为game.exe和zjbs.exe拷备到可移动的磁盘中，添加autorun.inf得用户双击打开磁盘时同时运行病毒。

7.查找并结束以下进程:ACKWIN32、ADAWARE、ADVXDWIN、AGENTSVR.、AGENTW、ALERTSVC、ALEVIR ALOGSERV、AMON9X、AMON、ANTI-TROJAN、ANTIVIRUS、ANTS、APIMONITOR、APLICA32…

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

蠕虫涉足波士顿马拉松爆炸 篇6

通过波士顿马拉松大爆炸 散播蠕虫以窃取信息

波士顿马拉松爆炸案发生后不到24小时内，已经侦测到超过9000封以“波士顿爆炸案”为名的垃圾邮件，更发现黑客以主题为“Aftermath to explosion at Boston Marathon”的垃圾邮件发动社交工程攻击。该垃圾邮件携带恶意链接，使用者点击后将看到一段来自波士顿爆炸现场的影片，同时会下载名为“WORM_KELIHOS.NB”的蠕虫程序。该蠕虫程序会通过被感染设备窃取使用者FTP的账号密码与本机中的电子邮件地址，更会监控受感染设备的网络流量以达成窃取信息牟利的目的。为了避免被追查，黑客精心设计许多来自阿根廷、中国台湾、乌克兰、日本等地区的蠕虫程序下载点。

【U盘遭蠕虫感染后，该蠕虫会以“快捷方式”文件夹取代U盘中所有的文件夹，使用者一旦点击，电脑等设备马上被感染】

此蠕虫也会通过U盘等介质传播，并隐藏其中所有文件夹。使用者在遭感染的设备上看到的是与原文件夹名称相同，图标相同的文档，用户在点击并查看文件的同时，该蠕虫将成功扩散感染至电脑。目前，PC-cillin 2013云安全版已经在第一时间封锁此恶意链接网页所使用的域名。

趋势科技（中国区）产品经理申鹤表示：“全球关注的话题一直都是黑客社交工程攻击的最爱，因为人性中的好奇心，往往是驱使用户点击恶意链接的最好诱饵。这次攻击的主要目的是窃取受感染设备内的信息以牟利。在近期，用户应该对与波士顿爆炸案相关的网络信息保持戒心，并选择PC-cillin 2013云安全版等具备网页信誉评比、蠕虫封锁功能的信息安全软件，才能有效捍卫个人信息与设备安全。”

2

计算机蠕虫 篇7

关键词：支持向量机,计算机系统性能,网络蠕虫病毒

0 前 言

随着互联网的日趋普及和网络攻击技术的不断变化,网络蠕虫病毒已成为今后网络系统面临的最大安全威胁之一。网络蠕虫通过自我复制和传播,攻击计算机操作系统或应用系统特定的安全漏洞,从而获取计算机上部分或全部控制权。目前,防范蠕虫病毒最常见的解决办法是利用杀毒软件,在已经掌握的病毒信息的基础上防范和检测网络蠕虫的入侵。当一种新型的网络蠕虫出现以后,反病毒软件的库信息更新会出现不可避免的延迟。随着世界信息化和网络化程度越来越高,在短时间内蠕虫病毒就会造成巨大的危害。

最近,基于人工智能的机器学习理论越来越多地应用于检测未知恶意代码的研究中。目前,用于异常检测的方法主要有统计、神经网络、支持向量机、遗传算法、数据挖掘等,其中支持向量机(SVM)是由Vapnik提出的、在统计学理论基础上发起来一种适用于小样本情况的通用学习方法。在样本有限情况下,SVM算法得到的是现有信息下的最优解。它通过结构风险最小化原则来提高推广能力,并最终转化为一个二次寻优型问题,从理论上解决了在神经网络等方法中无法避免的局部极值问题。SVM算法通过核函数的使用以避免高维特征空间的复杂计算,同时解决了维数灾难问题,使其算法复杂度与样本空间维数无关[1,2,3]。

本研究提出的检测模型是基于对已知蠕虫病毒对计算机性能参数所造成影响的监测结果,自动生成用于训练分类器的数据集,并利用支持向量机分类器进行分类判决以检测未知的网络蠕虫。

1 支持向量机

SVM是从统计学习理论发展而来的一种模式识别方法,是目前较为流行的适用于小样本训练的大边缘分类器。下面对该算法进行简要介绍。

给定{(xi,yi),xi∈RN,yi∈{-1,+1},i=1,…n},用向量X=(x1,…,xn)代表一次采样的计算机性能参数集,每次采样包含了系统的323个计数器值作为特征向量,这些特征是由计算机的性能计数器实时检测主机性能提供的,旨在反映计算机异常。相应的向量输出标记为yi,对计算机未感染网络蠕虫的输入向量输出标记为+1;对判决为感染病毒的输入向量标记为-1。SVM将输入数据映射到高维特征空间并构建最优分离超平面,可以将给定的输入样本正确地划分为正常和异常两类,并使得被分开的两类数据间的分类间隔尽可能大。

1.1 线性分类

对于如上描述的样本集(xi,yi),如果满足线性可分条件,则求解最优分类面的问题即为求解满足下式条件,且使分类间隔$2/\left|w\right|{}^2$最大的分类平面:

yi[(w·xi)+b]-1≥0 (1)

利用Lagrange优化方法可以把最优分类面问题转化为对偶问题,可得最优分类函数为:

f(x)=sgn[(∑αiyi(xi·x)+b)] (2)

其中,Λ=(α1,…,αn)T是拉格朗日乘子,值不为0的αi对应的样本为支持向量。

1.2 非线性分类

对非线性问题,可以通过非线性变换,使分类面求解转换为某个高维空间中的线性问题,在变换空间求最优分类面。给定核函数K(xi,yi),运用拉格朗日方法,SVM分类判决即为对如下的对偶优化问题进行求解:

$\max Q(\alpha )={\displaystyle \sum _{i=1}^n\alpha }{}_i-\frac{1}{2}{\displaystyle \sum _{i,j=1}^n\alpha }{}_i\alpha {}_{j}y{}_{i}y{}_j{\rm K}(x{}_i,y{}_j)(3)$

且满足:$st.{\displaystyle \sum _{i=1}^n\alpha }{}_{i}y{}_i=0,0\le \alpha {}_i\le C,\forall i=1,\cdots n$。

式中 C—正则化参数;αi—拉格朗日乘子,其非0值对应的样本为支持向量。最后的分类器为:

$f(x)=\mathrm{sgn}({\displaystyle \sum _{\text{支}\text{持}\text{向}\text{量}}\alpha }{}_{i}y{}_i{\rm K}(x{}_i,x)+b)(4)$

在SVM中不同的内积核函数将形成不同的算法,应用较多的核函数,主要有:线性核函数、多项式核函数、Sigmoid核函数和径向基核函数等4类。本研究实验采用的为线性核,核函数为:K(x,y)=x·y。

2 蠕虫检测系统模型

实验中蠕虫检测模型主要是利用支持向量机分类器对反映计算机系统性能的特征向量集进行规则建模,并对测试样本进行判决分类,从而达到检测蠕虫病毒的效果。为了使该检测方法更具有推广性,实验中建立了由3台计算机组成的本地局域网,并模拟计算机的正常工作状态,进行系统特征数据采集工作。

2.1 数据集产生

2.1.1 计算机性能描述

实验中所用计算机为Windows XP系统,Intel P4 3.00 GHz,512 M内存。利用系统的Windows Performance Counter来监测和采样系统特征,主要的系统特征如下:ICMP(27 Counters), IP(17), Memory(29), Network Interface(17), Physical Disk(21), Process(27), Processor

(15), System(17), TCP(9), Thread(12), UDP(5)。实验中利用性能计数器采样每2 s采样如上323个特征,连续采样20 min,生成原始数据训练集。

为了使检测模型能够在计算机正常工作环境具有较高的判决准确率,并具有广泛的代表性,实验中考虑到用户正常使用对计算机性能参数造成的影响。实验数据采样过程中在采样计算机上开启了若干应用程序,包括网络浏览器、Word、Excel、Windows Media Player以及FTP下载,使分类器能够将正常的计算机使用对性能的影响和资源占用因素融入最后生成的判决规则和规则模型之中,使模型能够更加准确地判决蠕虫病毒造成的计算机性能异常,并减小误报率。

2.1.2 蠕虫病毒样本

蠕虫病毒有多种类别,区别主要在于其负载和IP的扫描方式上。实验中所选取的蠕虫样例主要是高负载,并具有不同的IP扫描方式。目的是为了在产生的判决规则中包含蠕虫病毒最普遍的判决特征。选取的蠕虫如下:

(1) Win32.Dabber.A。能够随机扫描IP地址。传播时利用Win32.Sasser.D并打开一个FTP服务来进行自我升级。计算机感染后,病毒在用户登录时自动运行,该蠕虫的特殊性在于其传播依赖于其他蠕虫病毒。

(2) Win32.Deborm.Y。能够自我传播,主要攻击本地IP地址。该蠕虫注册为MS Windows服务并在用户登录时自动运行。选取该病毒的原因在于其高负载,包含了3种特洛伊木马病毒。

(3) Win32.Sasser.D。能够在扫描网络时利用本机IP地址进行自我优化。该蠕虫执行时会打开128个进程来扫描网络,在CPU运算和网络传输上造成高负载。其自身能够打开本机的FTP服务进程来进行自我升级。

(4) Win32.Slackor.A。利用MS Windows共享服务的漏洞进行传播。该蠕虫能够注册并在用户登录时自动运行,包含大量的特洛伊负载,能够打开一个IRC服务进程来接收远程控制命令。

2.2 数据预处理

数据挖掘中,训练集包含的大量特征向量会产生极大的运算量,并且冗余的特征向量会降低判决的准确率。所以在加载到分类器进行训练之前,要对数据集预处理,进行特征选择[4,5,6]。

特征选择的目的是在维持准确率的前提下,尽量减少特征向量的数量。实验中采用信息增益(Gain Ratio)算法进行特征选择,信息增益算法是利用特征属性对决策属性的信息增益作为特征向量的属性重要性度量的特征选取方法。首先给出集合S,则S的信息熵定义为(其中,C为S的一个子集):

$E(S)=-{\displaystyle \sum _{c\in C}\frac{|S{}_c|}{|S|}}\cdot \log {}_2\frac{|S{}_c|}{|S|}(5)$

然后通过测量“在减少某一特征A时,所带来的熵减少程度IG(S,A)”来评估特征A的信息包含量,如下所示(其中,集合V包含了特征A的所有可能取值):

${\rm I}G(S,A)=E(S)-{\displaystyle \sum _{v\in V(A)}\frac{|S{}_v|}{|S|}}\cdot E(S{}_v)(6)$

2.3 评估方法

为了评估分类算法的准确率,实验中采用True Positive(TP)来代表样本被正确判决为Positive的概率,False Positive(FP)为Positive样本被误判的几率,True Negative(TN)表示样本被正确判决为Negative的几率,False Negative(FN)为Negative样本被误判的几率。实际上用于评估的样本数量用(A)标识,则由以下公式评估算法的判决准确率:

${\rm T}{\rm P}=\frac{{\rm T}{\rm P}{}^A}{{\rm T}{\rm P}{}^A+F{\rm N}{}^A}(7)$

$F{\rm P}=\frac{F{\rm P}{}^A}{F{\rm P}{}^A+{\rm T}{\rm N}{}^A}(8)$

${\rm T}otal\_Accuracy=\frac{{\rm T}{\rm P}{}^A+{\rm T}{\rm N}{}^A}{{\rm T}{\rm P}{}^A+{\rm T}{\rm N}{}^A+F{\rm P}{}^A+F{\rm N}{}^A}(9)$

3 实验结果及分析

实验中首先考察了蠕虫检测模型的实时性,实验采用WEKA软件中的SVM算法包,并采用默认参数配置的C-SVM算法进行分类建模。对计算机性能计数器的全部323个参数进行建模的情况下,采用单一蠕虫样本数据集训练所需时间平均为3.3 s,对于“两个以上的蠕虫样本进行分类建模所需时间平均在4.5 s以上,特征数目在30以内”的情况下,系统建模时间少于0.6 s。

在实验中利用信息增益算法进行特征提取,检测包含不同数量特征向量的训练集训练分类器的判决准确率,实验中考察了信息增益在前5、30、100的特征向量集与全部特征向量对分类器的影响。判决准确率考察结果,如图1所示。实验讨论了蠕虫病毒检测模型对已知网络蠕虫(作为训练集)和未知蠕虫(作为测试集)的检测准确率。

实验中按照测试集中包含的样本数目将实验分为4个测试过程。在每个测试过程中,将一部分病毒样本作为测试集,剩余的作为训练集,并重复这一过程,考察所有样本作为测试样本的分类准确率,并求其平均值作为该测试过程的分类准确率。

实验中,x=0点坐标代表“4种病毒样本全部作为训练集”,并采用十折交叉验证方法(10-fold cross validation)来评估检测方法的准确率,即将训练数据集分为10部分,每次用90%的数据进行训练,剩余10%的数据集用于验证,并将该过程重复10次。

如图1所示,当选取的特征向量数目为30个时,在不同测试过程中有着较好的准确率;特征向量为5个时虽然在x=0点有高准确率,但是推广性差,随着训练集中样本数目的减少,准确率显著下降[7,8,9];其他两种情况下,训练集都包含了若干冗余特征,干扰了分类器的分类建模,致使判决准确率下降。

在实验中构建的蠕虫病毒检测模型选取信息增益排名前30的特征进行分类训练和判决检测,实验显示:在x=0点检测模型的判决准确率最高,即检测模型对已知蠕虫病毒的检测准确率达95%以上;在对未知蠕虫检测准确率的考察中,模型对单一蠕虫样本的判决准确率在86%以上。随着测试集中蠕虫样本的增加,作为训练集的样本数目相应减少,判决准确率逐渐下降。

4 结束语

本研究提出了一种基于SVM分类算法和计算机性能监测的网络蠕虫主动检测模型,能够在网络蠕虫大规模传播前发起预警。该模型能够自动生成数据训练集,并利用支持向量机作为分类器进行分类判决,具有很好的推广性和实用性。

从实验中可以看到,SVM算法对于小样本的分类识别有着很高的判决准确率和很好的实时性。实验中,系统对于已知蠕虫样本的判决准确率在95%以上;对于单一的未知的蠕虫样本,有着平均86%的检测准确率。随着训练集中蠕虫样本数目的增加,检测系统的判决准确率有显著的提高,这是由SVM算法的自身特性决定的。

在限制系统建模时间以保证系统实时性的前提下,若能增加训练和验证的病毒样本种类,相信本研究提出的未知蠕虫检测模型的判决正确率能够更高,所产生的系统判决规则具有更加广泛的适用范围。

参考文献

[1]MOSKOVITCH R,GUS I,PIVDERMAN S.Detection ofUnknown Computer Worms Activity Based on Computer Be-havior using Data Mining[C]//Computational Intelligenceand Data Mining,Honolulu:[s.n.],2007:202-209.

[2]张雪芹,顾春华,林家骏.基于支持向量机的Windows主机入侵检测系统[J].华东理工大学学报:自然科学版,2006,32(3):341-345.

[3]王勇,章熙骏,章辉华,等.一种Windows主机入侵检测实验系统[J].计算机工程,2006,32(10):132-134.

[4]张剑飞.数据挖掘中的贝叶斯网络构建与应用[J].高师理科学刊,2006,26(3):35-37.

[5]段丹青,陈橙乔,杨卫乎.基于SVM主动学习的入侵检测系统[J].计算机工程,2007,33(1):153-155.

[6]衣治安,吕曼.基于支持向量机的入侵检测方法[J].大庆石油学院学报,2007,33(1):82-84.

[7]李卓,刘斌,刘铁男.支持向量机及其在油田生产中的应用[J].大庆石油学院学报,2005,29(1):77-79.

[8]任江涛,孙婧昊.一种基于信息增益及遗传算法的特征选择算法[J].计算机科学,2006,33(10):193-195,251.

计算机蠕虫 篇8

计算机病毒是指那些具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。它有如下定义:

⑴计算机病毒是一个程序,一段可执行码;

⑵计算机病毒有独特的复制能力;

⑶计算机病毒可以很快地蔓延,又常常难以根除;

⑷它们能附着在各种类型的文件上;

⑸当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。

通过以上的定义我们可以看出所谓的计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活对计算机资源进行破坏的一组程序或指令集合。

2 蠕虫病毒

计算机病毒发展到今天已经有各种各样的形式和版本,有与主流黑客技术融合的,还有不利用文件寄生,采用线程插入等技术的。从传统的以破坏应用程序、破坏数据等,到如今主要破坏网络应用,甚至某些病毒从制作、传播、升级等形成产业链等。本文只探讨对医院HIS系统危害最大,破坏性最强的蠕虫病毒。

蠕虫是一种通过网络来传输的恶性病毒,它具有病毒的一些共性,如:传播性、隐蔽性、破坏性等。同时也具有自己的一些特性,如:不利用文件寄生(有的只存在在内存中)、对网路造成拒绝服务、和黑客技术相结合等。在产生的破坏性上,蠕虫病毒也不是一般病毒可以比拟的,网络的发展使得蠕虫可以在短时间内蔓延到整个网络,造成网络瘫痪。最早,病毒和蠕虫是两个独立的概念。病毒是指具有破坏作用的恶意代码,蠕虫主要是通过网络传播,破坏作用不是很大。而现在病毒具备的传染性很强,蠕虫也开始具备破坏性,甚至带有木马的性质,它们之间的界线已经开始模糊。

3 蠕虫病毒的特点及破坏性

3.1 蠕虫病毒发作的特点

⑴作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆达”,以及”求职信”等。

⑵形式多样如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。

⑶技术新颖与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。

⑷与黑客技术相结合潜在的威胁和损失更大以红色代码为例,感染后机器的web目录的scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。

蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞和软件上的缺陷。如远程溢出,微软ie和outlook的自动执行漏洞等等。需要软件厂商和用户共同配合,不断地升级软件。还有人为的缺陷,主要指的是计算机用户的疏忽。对于利用email传播蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。

3.2 蠕虫病毒的破坏性

蠕虫病毒一般是由主程序和引导程序两部分组成的。主程序一旦在计算机得到建立,就可以去收集与当前机器联网的其他机器的相关信息,通过读取公共配置文件并检测当前联网信息,尝试利用系统的缺陷在远程机器上建立引导程序。它的破坏性由表1可以体现出[4]。

4 在HIS系统中防范蠕虫病毒的措施

对蠕虫病毒防范的最好措施是购买合适的杀毒软件,经常升级病毒库,以便能够查杀最新的病毒。提高防杀毒意识,不要轻易去点击陌生的站点,不随意查看陌生邮件,尤其是带有附件的邮件。

具体到我院HIS系统上,我们做到了内外网分离,严格控制上外网的权限。加装网路控制监控软件和物理防火墙。禁止一些危险的端口和服务。在内网中禁用USB接口、光驱、软驱等输入设备。加装正版网络杀毒软件如趋势、诺顿等。加强网络管理人员的网络安全意识。建立应急响应系统,将风险降到最小。建立灾难备份系统。对于数据库和数据库系统,必须采用定期备份,多机备份的措施,防止意外灾难下的数据丢失。以上措施可以有效地保证我院HIS系统的安全运行。

网络的发展一定程度上促使病毒的发展,而日新月异的计算机技术,更加给病毒提供了存在空间。因此,在研究已经出现的病毒的同时,我们需要具有一定的忧患意识,不断提升防病毒技术。

参考文献

[1]潘懋忱.浅谈计算机网络和系统病毒及其防范措施[J].硅谷信息科学,2008(3):19-20.

[2]王玮,等.医院信息系统中的安全保障[J].中国医疗设备,2008(1):63-65.

[3]张震江,赵军平.医院网络与信息安全的问题和对策[J].医疗卫生装备,2006,27(11):34.

美以放“蠕虫”伊朗被“离心” 篇9

制造

两国计算机专家制造出这种病毒后, 在以色列内盖夫沙漠迪莫纳核基地展开测试, 以确保病毒能对伊朗核设施内的离心机造成有效破坏。

以色列为此专门建造离心机, 模拟伊朗纳坦兹核设施内的离心机。一名美国核专家说, 测试病毒入侵效果, 必须对攻击目标了如指掌, “这种病毒之所以能发挥作用, 是因为以色列做过试验”。

美国前总统乔治·布什卸任前, 美以启动这项计划。现任美国总统贝拉克·奥巴马获悉后, 下令加速实施。

报道披露, 英国和德国在知情或不知情的情况下为制造Stuxnet病毒提供帮助。

入侵

Stuxnet发起攻击、破坏离心机时, 同时用假数据欺骗操作和监控人员。

按一名计算机专家的说法, 整个过程如同好莱坞大片场景:入侵装有监控头的银行等建筑物, 同时设法让监控屏幕播放先前录像, 显示一切正常, 以蒙骗保安。

按照设定程序, Stuxnet侵入离心机操控系统后, 首先记录正常离心机正常运转时的数据。攻击成功后, 离心机运转速度失控, 直至瘫痪。为最大限度达到破坏效果, 病毒同时向监控设备发送那些“正常数据”, 令监控人员无法及时察觉。

美以情报官员说, Stuxnet导致纳坦兹核设施大约五分之一离心机瘫痪。但一些官员认为, 入侵行动只算得上部分成功, 因为其他离心机工作正常。

网络蠕虫目标发现策略研究 篇10

关键词：网络安全,蠕虫,目标发现策略

0概述

网络蠕虫是当今网络安全中最重要的威胁之一 。目前网络蠕虫已经进入新的发展阶段,呈现出目的性更强、技术更先进、目标发现策略更多样化的特点,其危害性越来越大。

近年来,随着CodeRedII、MsBlast和MyDoom等蠕虫的爆发,人们越来越重视对蠕虫的研究。目标发现策略是其中一个重要研究内容,主要涉及蠕虫发现新感染目标的方法及其效率,对其研究的主要目的是充分认清蠕虫的威胁。文献[1]中利用数学模型对比分析了均衡扫描、命中列表扫描、分治扫描等目标发现策略,并分析了不同目标发现策略对蠕虫监测的影响。文献[2]中利用模拟的方法对蠕虫的传播算法进行研究,并对传播算法进行了优化分析。文献[3,4]中探讨了未来可能出现的高速蠕虫,指出如果采用恰当的目标发现策略,未来蠕虫可以在数分钟甚至数十秒内感染整个Internet。文献[15,16]研究了重点扫描,蠕虫优先扫描漏洞主机密度较大的地址空间。还有些人探讨了网络蠕虫传播的新方法。文献[8]分析了即时通信软件所面临的蠕虫威胁,文献[9]探讨了QQ蠕虫的两种实现方式并作了对比分析。文献[10,11]探讨了网页蠕虫的基本原理。文献[12]指出未来蠕虫可能利用WiFi通信信道、红外和蓝牙技术进行传播。另外,文献[5]按照目标发现策略将蠕虫分为五类:扫描蠕虫、预先生成目标列表蠕虫、外部列表蠕虫、内部目标列表蠕虫和被动蠕虫,但是并没有对内部目标列表蠕虫进行深入分析。

本文主要对目前已经存在和将来可能会出现的蠕虫目标发现策略进行研究。

1目标发现策略对蠕虫的影响

目标发现策略在蠕虫传播中起着非常关键的作用,它决定了一个蠕虫是否可以大规模地感染网络上的主机。例如,CodeRed v1由于随机产生目标IP地址的算法有问题,导致蠕虫传播效率的低下;CodeRed v2改进后才得到大规模的传播[6]。

总的来说,目标发现策略主要影响蠕虫的传播速度、隐蔽性和渗透性:

(1) 影响蠕虫的传播速度

不同的目标发现策略具有不同的目标发现效率,效率越高,蠕虫的传播速度越快。CodeRed需要十几个小时才能感染整个Interntet,而Flash蠕虫只需要数十秒的时间就可以感染整个Internet[3]。

(2) 影响蠕虫的隐蔽性

蠕虫传播时所附带的网络特征是目前检测蠕虫爆发的主要依据。采用不同目标发现策略的蠕虫产生的网络特征度不同,也就具有不同的隐蔽性。例如采用随机扫描的蠕虫会在网络上产生大量的失败连接,基于命中列表的网络蠕虫只会有少量的失败连接。

(3) 影响蠕虫的渗透性

蠕虫的渗透性越强,传播范围就越广,造成的危害也就越大。不同的目标发现策略具有不同的渗透性,例如本地优先扫描策略有利于蠕虫感染位于同一个防火墙防护下的主机,拓扑相关的目标发现策略则有利于蠕虫渗透入一些内部网络。

2蠕虫目标发现策略

2.1目标发现策略分类

理想化的目标发现策略能够使蠕虫在最短的时间内非常隐蔽地发现易感染主机。现实中已经存在的和将来可能出现的目标发现策略多种多样,各具特点。它们有些直接扫描网络上的存在漏洞的主机,有些利用已经收集到的主机列表,有些利用感染系统或者主机上的信息来发现新的目标。按照蠕虫发现目标所利用的信息和方法的不同,可以把目标发现策略按照图1进行分类。

一般而言,采用拓扑无关策略的蠕虫具有更快的速度,而采用拓扑相关的策略的蠕虫具有更强的渗透性。一些危害性很大的蠕虫会同时包含多种不同类别的目标发现策略,例如Nimda,以同时具有高速和强渗透等特性。

2.2拓扑无关策略

2.2.1 基于扫描的策略

当蠕虫不知道存在漏洞主机的位置,最简单的办法就是对整个IP地址空间进行随机扫描。基于扫描的蠕虫可以在很短的时间内传播到其它的网络中,具有很强的扩散性。但同时又会产生大量的失败连接,不利于它的隐藏。根据扫描方式的不同,可以分为均衡随机扫描、选择性扫描、分治扫描和顺序扫描四类。

(1) 均衡随机扫描

均衡随机扫描就是从整个地址空间中随机抽取一个IP地址作为目标进行扫描。采用均衡随机扫描时,扫描空间中每个IP地址被扫描的可能性相同。

(2) 选择性扫描

由于存在漏洞的主机在地址空间中分布并不是均匀的,优先扫描存在漏洞主机密度较大的地址空间和避免扫描不可能存在漏洞主机的地址空间都会加快蠕虫的传播速度。目前选择性扫描主要包括以下三种:

1) 本地优先扫描

根据存在漏洞的主机具有一定的聚合性的特点,本地优先扫描策略以更大的概率扫描与感染主机属于同一个A类或者B类地址的主机。本地优先策略除了可以加快蠕虫的传播,还有利于蠕虫在同一防火墙防护的网络中传播。

2) 路由扫描

目前IPv4地址空间中有大量的IP地址没有分配、保留用处或者用于多播,存在漏洞的主机肯定不会出现在这些地址空间中。路由扫描利用A类地址分配信息或者BGP路由表信息,避免蠕虫扫描那些不可能存在漏洞主机的IP地址空间,可以将其传播速度提高2～3倍以上。另外,由于BGP前缀与国家、自治系统或者一些机构存在对应关系,利用BGP信息还可以进行选择性攻击。

3) 重点扫描

重点扫描就是利用重点抽样(重点抽样是让小概率事件更频繁地发生,从而减少正确估计某个概率所需要的样本数目)。估计出存在漏洞主机的分布概率,然后优先扫描漏洞主机密度较大的空间地址。对于IPv4地址空间,要得到一个相对正确的漏洞主机分布概率,存在漏洞主机的样本数至少为10000台。

(3) 分治扫描

采用分治扫描的蠕虫之间相互协作、无重叠地进行扫描。每个蠕虫都有自己负责的一个IP地址空间,当蠕虫感染一台主机以后,就将自己的地址空间分出一部分给被感染的主机。当蠕虫的扫描空间小于某一个特定的值以后,可以采用其它简单的随机扫描策略。分治扫描策略的不足是存在“坏点”问题,即在蠕虫的传播过程中,如果一台感染主机停止运行或者蠕虫被清除,它负责的地址空间中没有被扫描的主机将不会被蠕虫所感染。

(4) 顺序扫描

顺序扫描蠕虫每次随机选择一个IP地址作为扫描的起始点,然后以该IP地址为基点在地址扫描空间中顺序选择主机进行扫描。顺序扫描策略兼具随机扫描和分治扫描的某些优点,不仅避免了大量重复扫描的缺点,还可以有效判断整个网络是否完全被感染。如果蠕虫扫描的某个地址已经被感染,表明接下来的地址段中主机也已经被蠕虫扫描,它就重新随机选择一个新的扫描起始地址;当一个蠕虫连续若干次随机选择的主机都被感染,则认为整个网络上存在漏洞的主机均被感染,停止扫描活动。

2.2.2 基于目标列表的策略

如果蠕虫知道网络中存在漏洞主机的位置,就可以采用目标列表的方法来发现目标主机。根据目标主机列表生成方式的不同,可以分为预先生成目标列表[3,4]和外部生成目标列表[4]这两类。

(1) 预先生成目标列表

预先生成目标列表指的是在蠕虫发放之前蠕虫作者就已经搜集到一个存在漏洞主机的列表,蠕虫在传播时携带该列表并感染上面的主机。预先生成目标主机列表方式可以克服蠕虫爆发初期慢启动的缺点,加速蠕虫的传播。如果列表中不能包括全部的存在漏洞主机,蠕虫先感染在列表上的所有目标主机,然后再采用其它的目标发现策略;具有所有漏洞主机列表的蠕虫可以在数十秒内完全感染网络上漏洞主机。预先生成目标列表最大的困难是漏洞主机列表的收集,一般可以采用隐蔽扫描、分布式扫描、DNS查找、网络爬虫、公共的调查和监听等来发现这些潜在的目标[4]。

(2) 外部生成目标列表

外部生成目标列表方式指的是在蠕虫运行过程中,利用一些外部服务器来获得目标主机的列表,因此它不用携带目标主机地址列表。这种蠕虫在传播时首先要请求查询服务器以获取新的攻击目标。可以利用的服务器有很多种类,例如游戏服务器、搜索引擎等。Santy蠕虫就是使用Google来发现运行phpBB的站点。

2.3拓扑相关发现策略

拓扑相关发现策略主要是利用感染主机所在的物理拓扑信息或者由感染机上软件所构成的逻辑拓扑信息来发现目标主机。根据利用拓扑信息的不同,可以分为基于邮件、基于P2P、基于即时通信、基于网页、基于移动设备和基于被动监听[4]的目标发现策略。

(1) 基于网络邮件

电子邮箱的地址簿构成了一个逻辑网络,邮件蠕虫可以利用邮箱地址簿来发现新的感染目标,通过电子邮件来把蠕虫传播到网络上其他用户的主机上,比较著名的邮件蠕虫有Melissa、SoBig、MyDoom等。邮件蠕虫需要邮件使用者打开邮件或者邮件的附件才能够被激活。由于邮件蠕虫一般不需要操作系统或者软件中存在漏洞,并且很多邮件用户安全知识有限且信任收到的大部分电子邮件,因此邮件蠕虫的危害性非常大。

(2) 基于P2P网络

目前,P2P网络应用最广泛是在文件共享领域,比较常见的系统有Gnutella、Kazaa和eDonkey等。利用P2P的文件共享或者P2P软件中存在的漏洞,可以很容易实现蠕虫的传播。由于P2P协议种类繁多,并且不是主流协议,目前它可以逃避绝大部分的IDS和防火墙的检测。

(3) 基于即时通信软件

即时通信软件蠕虫主要依靠目前比较流行的即时通信软件例如QQ、AIM、ICQ、MSN等来进行传播。它和邮件蠕虫很相似,需要用户的活动才能激活蠕虫。当蠕虫感染系统后,就向在线好友发送包含超级链接的欺骗性信息,如果好友点击超连接,其所使用的主机就被蠕虫感染。目前基于即时通信软件的蠕虫还不能在网关级别来查杀,只能等到蠕虫到达用户机器上时才可以对其进行检测和查杀[8]。

(4) 基于网页

很长时间内,人们都忽视了网页蠕虫。但是随着技术的不断发展,网页蠕虫的各种理论逐渐成熟起来,2005年出现的第一个网页蠕虫——Samy[12]。随着电子商务、电子政务的不断应用,基于网页蠕虫的危害性也就凸显得更加重要。目前关于网页蠕虫的检测和防护研究还很少,这将是今后蠕虫研究的重点之一。

(5) 基于移动设备

近年来,笔记本等移动设备的大量使用也为蠕虫的传播提供了便利,802.11b无线局域网的使用更是有利于蠕虫的传播。另外,随着红外和蓝牙技术的不断发展,也为蠕虫的传播提供了有利条件[13],实际上利用蓝牙技术进行传输的蠕虫已经出现[14]。当蠕虫检测到感染主机接入一个新的网络后,就开始扫描感染所在网络中的主机。蠕虫通过这些移动设备进行传播,可以很容易地绕过入侵检测系统和防火墙传播到一个网络内部。因此随着大量移动设备的使用,对蠕虫的防护将是一个巨大的挑战。

(6) 被动监听

被动式蠕虫不同于其他的蠕虫,它主要通过监听本地网络通信的方式来发现新的攻击目标。被动式蠕虫不需要发送数据包来探测目标系统的存在,它可以伪装成为正常的网络通信。另外,这种方式还很容易结合操作系统指纹探测技术,只攻击存在漏洞的系统。因此,采用被动监听发现策略的蠕虫在传播时只会产生少量的失败连接,具有较强的隐蔽性。另外,当网络由IPv4提升到IPv6以后,由于IPv6网络具有抗扫描性[7],它可以很有效地抵抗基于主动扫描的网络蠕虫,但是对于这种被动传输的蠕虫却无能为力。

3结束语

目标发现策略作为蠕虫核心要素之一,不但影响蠕虫的传播效率,还影响蠕虫的隐蔽性和渗透性。本文比较全面地对目前已经存在和将来可能出现的目标发现策略进行研究,对它进行分类并分析了各种目标发现策略。但是本文中并没有对各种目标发现策略的效率、隐蔽性和渗透性进行深入的量化分析,这是今后我们在蠕虫方面研究的方向。

计算机蠕虫 篇11

报告显示,2009年上半年,中国互联网安全情况得到了很大改善,恶意软件数量大幅减少,与半年前相比降幅近21%。但相对于其他地区,中国的流氓软件明显更加泛滥; 特洛伊木马仍然非常流行,蠕虫病毒增速加快; 密码盗窃程序和监视工具的流行程度也在上升,在一定程度上是因为以在线游戏者为目标的恶意软件不断增多。其中,企业的电脑更容易受到蠕虫病毒的攻击,家庭用户的电脑更容易被安装上木马软件。

网络钓客的目标网站类型比过去更广泛,金融机构、社交网络和电子商务网站仍然是网络钓鱼尝试的首选目标。值得警惕的是,中国差不多有1%的网站存在挂马,超过了全球平均数量的十几倍,全球的平均比例仅为0.07%。

早在7年前,微软推出可信赖计算理念,创立了适用于Linux等多平台系统的“软件安全开发生命周期”(SDL)的方法论。最新一期报告显示,2009年上半年,在所有配置中,采用全新安全内核设计的微软操作系统Windows Vista SP1 的感染率比 Windows XP SP3 低 61.9%。

浅谈网络蠕虫及防范技术 篇12

网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序。它综合黑客技术和计算机病毒技术, 通过利用系统中存在漏洞的节点主机, 将蠕虫自身从一个节点传播到另外一个节点。1988年, 著名的“小莫里斯”蠕虫事件成为网络蠕虫攻击的先例。随着网络技术应用的深入, 网络蠕虫对网络系统安全的威胁日益增加。在网络环境下, 多模式化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高, 传播变强, 影响面更广, 造成的损失也更大。

下面我们来一起了解一下这只爬进我们电脑里和网络中的小蠕虫。

1 网络蠕虫的组成与运行机制

网络蠕虫主体功能模块由四个模块构成:探测模块、传播模块、蠕虫引擎模块和负载模块。1) 探测模块。完成对特定主机的脆弱性检测, 决定采用何种攻击渗透方式。该模块利用获得的安全漏洞建立传播途径。2) 传播模块。该模块可以采用各种形式生成各种形态的蠕虫副本, 在不同主机间完成蠕虫副本传递。例如, “Nimda”会生成多种文件格式和名称的蠕虫副本。3) 蠕虫引擎模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集, 内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。4) 负载模块。即网络蠕虫内部的实现伪代码。如下所示:

网络蠕虫运行机制主要分为三个阶段, 如图1所示:

第一阶段, 已经感染蠕虫的主机在网络上搜索易感的目标主机, 这些易感机器具有蠕虫代码执行条件, 例如易感机器有蠕虫可利用的漏洞。网络蠕虫发现易感目标取决于所选择的传播方法, 好的传播方法使网络蠕虫以最少的资源找到网上易传染的主机, 进而能在短时间内扩大传播区域。

第二阶段, 已经感染蠕虫的主机把蠕虫代码传送到易感目标主机上。传输方式有多种形式, 如电子邮件、共享文件、网页浏览、缓冲区溢出程序等。

第三阶段, 易感目标主机执行蠕虫代码, 感染目标主机系统。目标主机感染后, 又开始第一阶段工作, 寻找下一个易感目标主机, 重复二、三阶段的工作, 直至蠕虫从主机系统被清除掉。

2 网络蠕虫常用技术

2.1 网络蠕虫扫描技术

网络蠕虫利用系统漏洞进行传播, 良好的传播方法能够加速蠕虫传播, 使网络蠕虫以最少的时间找到互联网上易感的主机。网络蠕虫改善传播效果的方法是提高扫描准确性, 快速发现易感的主机。目前, 网络蠕虫采取了三种改善传播效果的方法:一是减少扫描未用的地址空间;二是在主机漏洞密度高的地址空间发现易感主机;三是增加感染源。根据网络蠕虫发现易感主机的方式进行分类, 传播方法可分成三类, 即随机扫描、顺序扫描、选择性扫描。选择性扫描是网络蠕虫的发展方向, 进一步可以细分为选择性随机扫描、基于目标列表的扫描、基于路由的扫描、基于DNS的扫描、分而治之的扫描。下面分别说明网络蠕虫的几种主要扫描原理。

2.1.1 随机扫描

基本原理是网络蠕虫在整个IP地址空间内随机抽取一个地址进行扫描, 这样网络蠕虫感染的下一个目标是非确定性的。“Slammer”蠕虫的传播方法就采用随机扫描感染。

2.1.2 顺序扫描

基本原理是网络蠕虫根据感染主机的地址信息, 按照本地优先原则, 选择它所在网络内的IP地址进行传播。若蠕虫扫描的目标地址IP为A, 则扫描的下一个地址IP为A+1或者A-1。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略可避免网络蠕虫扫描到末用地址空间。但是对同一台主机可能重复扫描, 引起网络拥塞。“W32.Blaster”是典型的顺序扫描蠕虫。

2.1.3 选择性扫描

基本原理是网络蠕虫在事先获知一定信息的条件下, 有选择地搜索下一个感染目标主机。选择性扫描又细分为以下几种:1) 选择性随机扫描:是指网络蠕虫按照一定信息搜索下一个感染目标主机, 将最有可能存在漏洞的主机地址集作为扫描的地址空间, 以提高扫描效率。2) 基于目标列表扫描:是指网络蠕虫在寻找受感染的目标前, 预先生成一份可能易传染的目标列表, 然后对该列表进行攻击尝试和传播。网络蠕虫采用目标列表扫描实际上将初始的蠕虫传染源分布在不同的地址空间, 以提高传播速度。3) 基于路由的扫描:是指网络蠕虫根据网络中的路由信息, 如BGP路由表信息, 有选择地扫描IP地址空间, 以避免扫描无用的地址空间。采用随机扫描的网络蠕虫会对未分配的地址空间进行探测, 而这些地址大部分在互联网上是无法路由的, 因此会影响到蠕虫的传播速度。如果网络蠕虫能够知道哪些IP地址是可路由的, 则它就能够更快、更有效地进行传播, 并能逃避一些对抗工具的检测。4) 基于DNS扫描是指网络蠕虫从DNS服务器获取IP地址来建立目标地址库。该扫描策略的优点在于获得的IP地址块具有针对性和可用性强的特点。e) 分而治之的扫描:是网络蠕虫之间相互协作, 快速搜索易感染主机的一种策略, 网络蠕虫发送地址库的一部分给每台被感染的主机, 然后每台主机再去扫描它所获得的地址。主机A感染了主机B后, 主机A将它自身携带的地址分出一部分给主机B, 然后主机B开始扫描这一部分地址。分而治之的扫描策略通过将扫描空间分成若干个子空间, 各子空间由已感染蠕虫的主机负责扫描, 这样就可能提高网络蠕虫的扫描速度, 同时避免重复扫描。

2.2 网络蠕虫漏洞利用技术

网络蠕虫发现易感目标主机后, 利用易感目标主机所存在的漏洞, 将蠕虫程序传播给易感染的目标主机。常见的网络蠕虫漏洞利用技术主要有:

*主机之间信任关系漏洞。网络蠕虫利用系统中的信任关系, 将蠕虫程序从一台机器复制到另一台机器。1988年的“小莫里斯”蠕虫就是利用了UNIX系统中的信任关系脆弱性来传播的。

*目标主机的程序漏洞。网络蠕虫利用它构造缓冲区溢出程序, 进而远程控制易感目标主机, 然后传播蠕虫程序。

*目标主机的默认用户和口令漏洞。网络蠕虫直接使用口令进入目标系统, 直接上传蠕虫程序。

*目标主机的用户安全意识薄弱漏洞。网络蠕虫通过伪装成合法的文件, 引诱用户点击执行, 直接触发蠕虫程序执行。常见的例子是电子邮件蠕虫。

*目标主机的客户端程序配置漏洞, 如自动执行网上下载程序。网络蠕虫利用这个漏洞, 直接执行蠕虫程序。

3 网络蠕虫防范技术

网络蠕虫已经成为网络系统的极大威胁, 防范网络蠕虫需要多种技术综合应用, 包括网络蠕虫监测与预警、网络蠕虫传播抑制、网络蠕虫漏洞自动修复、网络蠕虫阻断等, 下面介绍一下近几年的网络蠕虫检测防御技术。

3.1 网络蠕虫监测与预謦技术

网络蠕虫监测与预警技术的基本原理是在网络中安装探测器, 这些探测器从网络环境中收集与蠕虫相关的信息, 然后将这些信息汇总分析.以发现早期的网络蠕虫的行为。当前探测器收集的与蠕虫相关的信息类型有以下几类:本地网络通信连接数;ICMP协议的路由错误包;网络当前的通信流量;网络服务分布;域名服务;端口活动;CPU利用率;内存利用率。

而数据挖掘、模式匹配、数据融合等技术方法则用于分析蠕虫信息。著名的Gr IDS是一个检测蠕虫攻击的实验系统, 它在收集网络通信活动的数据的基础上, 构建成网络节点动行为图 (AcnvnyGraph) , 然后把节点行为图与蠕虫行为模式图进行匹配, 以检测网络蠕虫是否存在。而软件Snort则通过网络蠕虫的特征来监测蠕虫行为。

3.2 网络蠕虫传播抑制技术

网络蠕虫传播抑制技术的基本原理是利用网络蠕虫的传播特点, 来构造一个限制网络蠕虫传播的环境。现在, 已有的网络蠕虫传播抑制技术主要基于蜜罐技术。其技术方法是在网络系统设置虚拟机器或虚假的漏洞, 这些虚假的机器和漏洞能够欺骗网络蠕虫, 导致网络蠕虫的传播能力下降。例如, 用LaBrea对抗蠕虫工具, 能够通过长时间阻断与被感染机器的TCP连接来降低网络蠕虫的传播速度。

3.3 网络系统漏洞检测与系统加固技术

网络蠕虫的传播常利用系统中所存在的漏洞, 特别是具有从远程获取系统管理权限的高风险漏洞。2003年的冲击波蠕虫就是利用微软操作系统DCOM-RPC缓冲区溢出漏洞。由此可见, 网络蠕虫的防治关键问题之一是解决漏洞问题, 包括漏洞扫描、漏洞修补、漏洞预防等。保护网络系统免遭蠕虫危害的重点也就在于及早发现网络系统中存在的漏洞, 然后设法消除漏洞利用条件, 限制漏洞影响的范围, 从而间接达到破坏网络蠕虫传播和发作的条件和环境。漏洞检测可以由通用的漏洞扫描软件或者特定漏洞扫描工具实现。网络管理员通过漏洞检测来发现系统中所存在的漏洞分布状况, 分析评估漏洞的影响, 以制定相应的漏洞管理措施。系统加固是指通过一定的技术手段, 提高目前系统的安全性, 主要采用修改安全配置、调整安全策略、安装补丁软件包、安装安全工具软件等方式。例如.主机的安全配置要求是尽量关闭不需要的服务, 避免使用默认帐号和口令。而漏洞修补则是根据漏洞的影响, 通常从安全公司、软件公司或应急响应部门中获取补丁软件包, 然后经过测试, 再最后安装到需要加固的系统中。

4 网络蠕虫免疫技术

网络蠕虫通常在受害主机系统上设置一个标记, 以避免重复感染。网络蠕虫免疫技术的基本原理就是在易感染的主机系统上事先设置一个蠕虫感染标记, 欺骗真实的网络蠕虫.从而保护易感主机免受蠕虫攻击。

5 网络蠕虫阻断与隔离技术

网络蠕虫阻断技术还有很多, 主要利用防火墙、路由器进行控制。例如合理地配置网络或防火墙, 禁止除正常服务端口外的其他端口, 过滤含有某个蠕虫特征的包, 屏蔽己被感染的主机对保护网络的访问等。这样就可以切断网络蠕虫的通信连接, 从而阻断网络蠕虫的传播。

6 网络蠕虫清除技术

网络蠕虫清除技术用于感染蠕虫后的处理, 其基本方法是根据特定的网络蠕虫感染系统后所留下痕迹, 如文件、进程, 注册表等信息, 分析网络蠕虫的运行机制, 然后有针对性地删除有关网络蠕虫文件或进程。清除网络蠕虫有手工或专用工具。采用手工方式应熟知蠕虫的发作机制, 通常需要在受害机器上进行“蠕虫特征字符串查找、注册表信息修改、进程度列表查看”等操作。目前, 蠕虫专用工具是由安全公司或应急响应部门提供的, 用户只需要简单安装后即可运行。

参考文献

[1]卿斯汉, 网络攻防技术原理与实战[M].科学出版社.