3 worm-share课件.pptVIP

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ 恶意软件 开设本课程的目的是使学生了解并掌握计算机恶意代码所涉及的基本知识和防范技术，提高计算机安全保护意识，具备防范恶意代码的基本能力 教学安排 恶意软件概述和基础知识 传统的计算机病毒 网络蠕虫 网页（移动）恶意代码（木马） 后门 木马 rootkit 网络蠕虫 什么是蠕虫？ 为什么使用蠕虫？ 蠕虫的简史 蠕虫的组成 蠕虫传播的障碍 蠕虫的发展 蠕虫的防治 什么是蠕虫 计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本通过网络传播到另外的计算机上的程序代码。 蠕虫的定义中强调了自身副本的完整性和独立性 蠕虫 为什么使用蠕虫 技术的体现 接管大量系统 使得追踪困难 可以发动其他攻击--DDOS 蠕虫的简史 Xerox PRAC， 1980年 Morris Worm， 1988年11月2日 WANK Worm， 1989年10月16日 ADM Worm， 1998年5月 Millennium， 1999年9月 Ramen Worm， 2001年1月 Lion Worm， 2001年3月23日 Adore Worm， 2001年4月3日 Cheese Worm， 2001年5月 Sadmind/IIS Worm， 2001年5月 CodeRed Worm， 2001年7月19日 Nimda Worm， 2001年9月18日 Slapper， 2002年9月14日 Slammer， 2003年1月25日 Dvldr32， 2003年3月7日 MSBlaster， 2003年8月12日 Nachi， 2003年8月18日 蠕虫的简史 MyDoom.C 2004年2月9日 Witty Worm 2004年3月20日 Sasser Worm 2004年4月30日 Santy Worm 2004年12月21日 蠕虫的行为特征 1 .主动攻击 2 .行踪隐蔽 3 .利用系统、网络应用服务漏洞 4 .造成网络拥塞 5 .降低系统性能 6 .产生安全隐患 7 .反复性/破坏性 蠕虫的组成 蠕虫的组成 弹头 如何获得控制权（打开传输通道）： 缓存区溢出探测； 文件共享攻击； 电子邮件； 其它的错误配置； 传播引擎 FTP TFTP HTTP SMB 其它UDP/TCP 目标选择算法 电子邮件列表 主机列表（hosts） 被信任的系统（MAC/IP） 邻域网 域名服务查询 任意选择一个目标网络地址（A/B/C,32bits） 扫描引擎 检测有效的目标： NMAP; Xscan; …… Ref: /tools/1.html 有效荷载 打开一个后门 安装代理/肉鸡 执行一些运算 …… 蠕虫的工作流程 案例分析--Nimda 弹头: (2001年9月，他既是蠕虫，也是病毒） Microsoft的IIS web服务器漏洞：可以执行不位于web目录下的文件； 感染浏览器所在的主机：访问有漏洞的IIS; Outlook漏洞：MIME的头等； Windows文件共享； 探测其他蠕虫留下的后门：Code Red II等； 案例分析--Nimda 传播引擎： Web—HTTP; Outlook—SMTP; File share—SMB; IIS—TFTP; 案例分析--Nimda 目标选择算法： 电子邮件—地址簿/html； 随机生成一系列的目标IP地址，探测漏洞； 案例分析--Nimda 有效荷载： 共享c盘； 激活guest账号； MyDoom 2004年2月发现，该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具（KaZaA ）的共享目录来欺骗下载。 病毒发作时会启动64个线程进行DoS（）攻击，造成系统和网络资源的严重浪费。 Sasser 2004年4月30，利用WINDOWS平台的 Lsass 漏洞进行广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。 该病毒并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来达到感染的目的。　　 Sasser Sasser是直接在SHELLCODE里面完成了一个FTP程序，BIND一个5554端口，支持几种最基本的FTP命令。 Lsass认证进程中的溢出 Santy蠕虫 描述： 2004年12月21日发现，截止到12月22日，google可以统计到被santy蠕虫破坏的网站已经达到26000多； 利用论坛系统phpBB的漏洞传播； 智能特性： 从有哪些信誉好的足球投注网站引擎google得到攻击站