上浒充更大学 蠕虫病毒的特性 SHANGHAI JLAO TONG UNIVERSITY 第一,利用漏洞主动进行攻击 第二,与黑客技术相结合,潜在的威胁和损失更大 第三,传染方式多 第四,利用网络,传播速度快 第五,清除难度大 第六,破坏性强 信息安全工程学院
信息安全工程学院 蠕虫病毒的特性 第一,利用漏洞主动进行攻击 第二,与黑客技术相结合,潜在的威胁和损失更大 第三,传染方式多 第四,利用网络,传播速度快 第五,清除难度大 第六,破坏性强
上游充通大学 蠕虫病毒的机理 SHANGHAI JLAO TONG UNIVERSITY 蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 ·引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。 当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC,RPC等 漏洞。 信息安全工程学院
信息安全工程学院 蠕虫病毒的机理 蠕虫病毒由两部分组成:一个主程序和另一个是 引导程序。 • 主程序收集与当前机器联网的其他机器的信息。利用 漏洞在远程机上建立引导程序。 • 引导程序把“蠕虫”病毒带入了它所感染的每一台机 器中。 当前流行的病毒主要采用一些已公开漏洞、脚本、 电子邮件等机制进行传播。例如,IRC, RPC 等 漏洞
上游充通大学 蠕虫病毒实例 SHANGHAI JLAO TONG UNIVERSITY ©MSN蠕虫病毒 ©1.基本特征: ·名称:lM-Worm.Win32.Vebcam.a ·原始大小:188,928字节 压缩形式:PESpin ·编写语言:Microsoft Visual Basic6.0 ·文件名称:LMAO.pif,LOL.scr,naked drunk.pif等。 信息安全工程学院
信息安全工程学院 蠕虫病毒实例 MSN蠕虫病毒 1. 基本特征: • 名称:IM-Worm.Win32.Webcam.a • 原始大小:188,928字节 • 压缩形式:PESpin • 编写语言:Microsoft Visual Basic 6.0 • 文件名称:LMAO.pif,LOL.scr,naked_drunk.pif等
上浒充通大学 SHANGHAI JLAO TONG UNIVERSITY 2.行为分析: ()蠕虫运行后,将释放一个名为CZ.EXE文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝。 信息安全工程学院
信息安全工程学院 2.行为分析: • (1)蠕虫运行后,将释放一个名为 CZ.EXE 文件到 C盘根目录,并将它拷贝到%system%目录下,文件 名为winhost.exe。然后,将文件属性设置为隐藏、只 读、系统,同时将该文件创建时间改成同系统文件日 期一样,进行欺骗迷惑。同时蠕虫会在C盘跟目录随 机生成一个文件,扩展名为PIF或EXE等,该文件用 来向MSN好友传播。此外,病毒还会在%system%目 录下生成msnus.exe,该文件为蠕虫自身拷贝
上游充通大学 SHANGHAI JLAO TONG UNIVERSITY (2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载: ·位置:Software\Microsoft\Windows\CurrentVersion\Run ·键名:win32 ·键值:winhost.exe 位置: Software\Microsoft\Windows\CurrentVersion\RunServices ·键名:win32 ·键值:winhost..exe 信息安全工程学院
信息安全工程学院 (2)将自身加入到注册表启动项目保证自身在系统重启 动后被加载: • 位置:Software\Microsoft\Windows\CurrentVersion\Run • 键名:win32 • 键值:winhost.exe • 位置: Software\Microsoft\Windows\CurrentVersion\RunServices • 键名:win32 • 键值: winhost.exe