蠕虫病毒的特征与防治.docVIP

算法设计与分析课程论文

PAGE4

研究生课程论文

(2008-2009学年第二学期)

蠕虫病毒的特征与防治

摘要

随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。

关键词:蠕虫，病毒特征，病毒防治

1引言

“蠕虫”这个生物学名词于1982年由XeroxPARC的JohnF.Shoeh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫的目的是做分布式计算的模型试验。1988年Morris蠕虫爆发后，EugeneH.Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种技术手段[1]。

2蠕虫病毒的特征及传播

1、一般特征:

(1)独立个体，单独运行;

(2)大部分利用操作系统和应用程序的漏洞主动进行攻击;

(3)传播方式多样;

(4)造成网络拥塞，消耗系统资源;

(5)制作技术与传统的病毒不同，与黑客技术相结合。

2、病毒与蠕虫的区别

(l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在;

名:gov、mil、borlan、bsd、example等，病毒同样会避免包含以下信息的电子邮件帐户:accoun、ca、certific、、icrosoft、info、linux等，当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址，不将其加入到发送地址链表中。

Worm.Mydoom.a病毒主程序流程如图3-1所示，后门程序shimgapi.dll如图3-2所示：

开始

开始

初始化变量

初始化变量

检测注册表HKLM和HKUC下是否存在键Software\Mcirosoft\Windwos\CurrentVersion\Explorer\ComDlg32\Version，存在则代表已感染，否则创建该键，表示第一次感染

检测注册表HKLM和HKUC下是否存在键Software\Mcirosoft\Windwos\CurrentVersion\Explorer\ComDlg32\Version，存在则代表已感染，否则创建该键，表示第一次感染

第一次感染

第一次感染

否是

创建互斥体SwebSipcS

创建互斥体SwebSipcSmtxSO

创建互斥体SwebSipcSmtxSO

创建临时随机文件并用Notepade.exe打开(乱码)失败成功

创建临时随机文件并用Notepade.exe打开(乱码)

返回

返回

生成库文件shima

生成库文件shimapi.dll，并装载该库

当前时间是否大于终止时间，大于则返回

当前时间是否大于终止时间，大于则返回

将病毒自身拷贝生成文件

将病毒自身拷贝生成文件taskmon.exe

修改注册表增加病毒自启动项，HKLM\Software\Microsoft\Windows\CurrentVersion\Run

修改注册表增加病毒自启动项，HKLM\Software\Microsoft\Windows\CurrentVersion\Run”TaskMon”=”%system%taskmon.exe”

判断日期是否满足触发条件，若满足则创建线程无限循环链接Sco网站，并发送信息进行DOS攻击

判断日期是否满足触发条件，若满足则创建线程无限循环链接Sco网站，并发送信息进行DOS攻击

打开注册表找到kazaa共享路径，并将当前运行进程文件副本拷贝至该目录下，扩展名为.exe、.scr、.pif、.bat四者之一

打开注册表找到kazaa共享路径，并将当前运行进程文件副本拷贝至该目录下，扩展名为.exe、.scr、.pif、.bat四者之一

创建无限循环扫描线程扫描wab文件、IE临时文件、硬