信息安全技术_11病毒防范技术与杀病毒软件.ppt

第 7 讲 病毒防范技术 7.1 病毒防范技术与杀病毒软件 7.2 解析计算机蠕虫病毒 第 7 -2讲 解析计算机蠕虫病毒 凡是能够引起计算机故障，破坏计算机数据的程序我们都统称为计算机病毒。所以，从这个意义上说，蠕虫也是一种病毒。但与传统的计算机病毒不同，网络蠕虫病毒以计算机为载体，以网络为攻击对象，其破坏力和传染性不容忽视。 第 7 讲 病毒防范技术 1. 蠕虫病毒的定义 蠕虫病毒和普通病毒有很大区别。一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生 (有的只存在于内存中) ，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。 第 7 讲 病毒防范技术 根据其发作机制，蠕虫病毒一般可分为两类 一类是利用系统级别漏洞 (主动传播) ，主动攻击企业用户和局域网的蠕虫病毒，这种病毒以“红色代码”、“尼姆达”以及“SQL蠕虫王”为代表，可以对整个因特网造成瘫痪性的后果； 另一类是针对个人用户，利用社会工程学 (欺骗传播) ，通过网络电子邮件和恶意网页等形式迅速传播的蠕虫病毒，以爱虫、求职信病毒为例。 在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难；第二种病毒的传播方式比较复杂和多样，少数利用了应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失非常大，同时也很难根除。比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位。 第 7 讲 病毒防范技术 (1) 蠕虫病毒与普通病毒的异同 普通病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就称为“宿主”。例如，当病毒感染Windows可执行文件时，就在宿主程序中建立一个新节，将病毒代码写到新节中，并修改程序的入口点等，这样，宿主程序执行的时候就可以先执行病毒程序，然后再把控制权交给原来的宿主程序指令。可见，普通病毒主要是感染文件，当然也有像DIR II这样的链接型病毒和引导区病毒等。 蠕虫一般不采取插入文件的方法，而是在因特网环境下通过复制自身进行传播，普通病毒的传染主要针对计算机内的文件系统，而蠕虫病毒的传染目标是因特网内的所有计算机局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等，这些都成为蠕虫传播的良好途径。网络的普及与发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且其主动攻击性和突然爆发性将使人们手足无策。参见表7.5。 表7.5 蠕虫病毒与普通病毒的异同 普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机(2) 蠕虫的破坏和变化 1988年，一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络；而后来的红色代码和尼姆达病毒疯狂的时候曾造成几十亿美元的损失；2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使因特网严重堵塞，作为因特网主要基础的域名服务器 (DNS) 的瘫痪造成网民浏览因特网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此病毒造成的直接经济损失至少在12亿美元以上。 第 7 讲 病毒防范技术 通过对蠕虫病毒的分析，可以知道蠕虫发作的一些特点和变化。 1) 利用操作系统和应用程序的漏洞主动进行攻击。例如，由于IE浏览器的漏洞，使得感染了“尼姆达”病毒的邮件在不打开附件的情况下就能激活病毒；“红色代码”是利用了微软IIS服务器软件的漏洞 (idq.dll远程缓存区溢出) 来传播的；SQL蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行大肆攻击。 2) 传播方式多样。如“尼姆达”和“求职信”等病毒，其可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。 3) 病毒制作技术与传统的病毒不同。许多新病毒是利用当前必威体育精装版的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的有哪些信誉好的足球投注网站。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。 4) 与黑客技术相结合，潜在的威胁和损失更大。以红色代码为例，感染后，机器web目录下的 \scripts子目录将生成一个root.exe文件，可以远程执行任何命令，从而使黑客能够再次进入。 第 7 讲 病毒防范技术 (1) 蠕虫病毒与普