篇一:蠕虫病毒
计算机病毒原理与对抗
实验报告—蠕虫病毒
院 (系):
专 业:
班 级:
学 生:
学 号:
指导教师:
2016年5月
一.实验目的
1.了解计算机蠕虫的定义
2.了解计算机蠕虫攻击原理
3.了解漏洞溢出原理养成良好的编程习惯
4.尝试编写计算机蠕虫专杀工具
二.实验原理
1.蠕虫定义
计算机蠕虫,就是通常我们所说的计算机蠕虫病毒,因其与计算机病毒有着很大的不同,因此我们在这里将其称之为计算机蠕虫,而不说它是蠕虫病毒。 a.计算机蠕虫与计算机病毒的定义
计算机蠕虫是这样一个程序,他能在计算机中独立的运行,并将自身的一个拷贝传播到另一个计算机上。
计算机病毒是一段代码,他能把自身加到其他程序,包括操作系统上。它不能独立的运行,而需要有它的宿主程序的运行来激活它。
b.计算机蠕虫与计算机病毒的区别
c.计算机蠕虫的主要工作方式
计算机蠕虫的一般工作方式是:“扫描->攻击->复制”。
(1)扫描
一般计算机蠕虫通过根据宿主机上的IP按照一定规律生成IP地址进行网段扫描,当发现存活主机后开始攻击。由于这一阶段计算机蠕虫向网络中发送大量的探测数据,所以很容易造成网络堵塞,这也是蠕虫病毒的最大危害之一。
(2)攻击
当计算机蠕虫发现存活主机后,通过向存活主机发送漏洞溢出数据(代码),来对存活主机进行漏洞溢出,当溢出成功后,基本上就获得了溢出主机的控制权,继而向存活主机拷贝自己的副本。
(3)复制
计算机蠕虫通过向存活主机拷贝自己的方式实现自身的繁殖。
d.计算机蠕虫技术
通过上面的介绍,不难发现,计算机蠕虫实际上和计算机病毒有着根本的不同,其存在的目的只是复制自己,它也是计算机应用技术的产物,现在的计算机蠕虫编写者已将计算机蠕虫技术和计算机病毒技术融合,进而产生了极具破坏型的计算机蠕虫病毒,这些新型的蠕虫病毒,专以窃取破坏他人计算机上的信息为目的,通过感染目的主机,在目的主机上留下足够权限的后门,以供攻击者进一步控制目的主机使用。这种计算机蠕虫病毒的流行给社会经济带来了极大的危害。但同时我们也看到,有一些善意的计算机蠕虫病毒的存在,像“冲击波清除者”这样的计算机蠕虫,利用“冲击波”蠕虫病毒的传播方式进行传播,当进入目标主机后,它会主动修复当前主机的漏洞,并在一特定时间后删除病毒自身文件。虽然像“冲击波清除者”这样的病毒是善意的,但由于它在网络中的扫描,还是会给计算机网络通信带来严重的负担。
2.缓冲区溢出
通过向程序的缓冲区(堆、栈等)中写入超出其长度的数据,造成缓冲区溢出。缓冲区的溢出可以破坏程序执行流程,使程序转向执行其它指令。利用缓冲区溢出可以达到攻击主机的目的。
缓冲区溢出的根本原因在于语言本身的一些特性。从数据结构的角度来说,最根本的原因是由于指针、数组的存在,导致了一系列存储操作上的问题。而直接的原因则是“没有对数组的越界加以监视和限制”。程序编写者的经验不足或粗心大意使得缓冲区溢出几乎无处不在,导致程序不够健壮,为缓冲区溢出攻击留下了隐患。
3.实验蠕虫病毒工作原理
由于计算机蠕虫是利用系统漏洞进行传播的,当计算机漏洞还没有相关补丁的时候,就只能靠手工手段来清除蠕虫病毒了,一个专杀工具可以节省多次手工操作的麻烦。
一般来讲,每一种蠕虫病毒都存在一些特征,利用这些特征,很容易就可以实现病毒的清除。实验中我们利用virus_main.exe来模拟计算机蠕虫病毒,virus_body.exe来模拟有溢出漏洞的程序。该病毒具有如下特点:
在感染的主机上开启3001端口。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run下建立一个名为LookAtMe的启动键值,用来在每次计算机启动是加载程序的执行,并且计算机蠕虫程序体始终都是一个叫virus_main.exe的可执行文件。病毒在运行期间还会向网络中发送ARP探测请求,来寻找下一个攻击目标,如探测到存活主机,它会向目标存活主机的3000端口发送溢出代码,溢出成功后,在目标主机上开启3001端口准备接受蠕虫拷贝程序。
下面是实验中杀毒例程的流程图:
三.实验步骤
1.验证病毒感染过程
(1)确定主机A与B处于同一网段内。
(2)主机A进入实验平台,单击工具栏“实验目录”按钮进入蠕虫病毒实验目录,执行漏洞程序test_virus_body.exe,并启动协议分析器,设置过滤器仅捕获ARP数据包。主机B同样进入蠕虫病毒实验目录,执行蠕虫模拟程序virus_main.exe,这时主机B会不断弹出网页。
(3)主机A单击协议分析器工具栏刷新按钮,查看ARP协议相关数据,会发现存在很多以主机B的IP地址为源的ARP请求数据包。请观察被探测IP地址顺序,它们大多数是 连续 (连续/非连续)的。
(4)主机A等待被蠕虫病毒探测,直到被感染(成功现象为:主机A
被病
篇二:w32.downadup.b蠕虫病毒详解及清除攻略
w32.downadup.b蠕虫病毒详解及清除攻略
最近经常到几个工厂走动,发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建autorun.inf文件,若用户进入硬盘空间,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。W32.Downadup.B病毒介绍
Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky]蠕虫
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。 它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后,它会将其自身复制为下列文件中的一个或多个:
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll它创建具有下列特征的新服务:
服务名称:[PATH TO WORM]
显示名称:[WORM GENERATED SERVICE NAME]
启动类型:自动
接下来通过创建下列的注册表项注册为服务:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:* Boot * Center * Config * Driver * Helper * Image *
Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections" = "00FFFFFE"
接下来,蠕虫会结束下列两项 Windows 服务:
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。 然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:
请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。如果建立成功,则蠕虫将自身作为下列文件复制到共享:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:
*
* http://getmyip.co.uk
* http://checkip.dyndns.org
蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期:
* baidu.com * google.com * yahoo.com * msn.com * ask.com * w3.org * aol.com * cnn.com * ebay.com * msn.com * myspace.com然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。
然后蠕虫以下列格式基于该日期生成域名列表:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意: [TOP LEVEL DOMAIN] 表示下列顶级域:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意: [GENERATED DOMAIN NAME] 表示蠕虫创建的域名,例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置:
http://[GENERATED DOMAIN NAME]。[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。
蠕虫还会与其他受感染计算机通信,通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。
W32.Downadup.B病毒专杀方法
1.安装微软安全更新MS08-067,安装地址:
/china/technet/security/bulletin/ms08-067.mspx
2.禁用系统还原(WindowsMe/XP)
如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
3.更新病毒定义。
4.查找并终止服务
(1)单击“开始”>“运行”。
(2)键入services.msc,然后单击“确定”。
(3)查找并选择检测到的服务。
(4)单击“操作”>“属性”。
(5)单击“停止”。
(6)将“启动类型”更改为“手动”。
(7)单击“确定”,然后关闭“服务”窗口。
(8)重新启动计算机。
5.根据需要,查找并删除任务计划
(1)单击“开始”>“程序文件”。
(2)单击>“附件”。
(3)单击>“系统工具”。
(4)单击>“任务计划”。
(5)找到并选择任务计划。
(6)单击删除此项目
(7)单击是并关闭“任务计划”窗口。
(8)重新启动计算机。
6.运行全面系统扫描
7.从注册表中删除键值
(1)单击“开始”>“运行”。
(2)键入regedit,
(3)然后单击“确定”。
(4)导航至下列注册表项并将其删除:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"
[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Start"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
(5)根据需要,将下列注册表项恢复到其以前的值:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections"="00FFFFFE"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
(6)退出注册表编辑器。
注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有