网络蠕虫病毒的防范与检测.doc

网络蠕虫病毒的防范与检测.doc:..网络蠕虫病毒的检测及防范1•引言蠕虫可以被分成两个部分,一部分是一个引导程序或称为传病媒体,这部分程序首先进入冃标系统,用于引入蠕虫的其他部分;另一部分是蠕虫的主体程序。,它与普通病毒的不同之处在于普通病毒需要在计算机的駛盘或文件系统中繁殖,而蠕虫程序具有自给能力。典型的蠕虫程序只会在内存中维持一个活动副本,甚至根本不向硬盘中写入它自C的任何信息,十分具有隐蔽性。实际上,蠕虫程序具有两种不同的变形。第一•种只会在第一台计算机中运行,像一般应用程序一样。这种程序只会把系统的网络连接作为自己的信道,从而把自身复制到其他系统中,或者进行信息中继。根据蠕虫程序编写者的设计意图。它既可能在原始系统中超下一份副本,也可能在完成向另一个主机进行复制后,就不再留下副本。第二种计算机蠕虫程序实际上使用网络连接作为神经系统,使程序代码屮的不同段运行在多个系统上。如果在此基础上有一个中心点对这些代码段的工作进行协调(就像人的大脑一样),则这种蠕虫程序就被称为“章鱼程序”。3•网络蠕虫病毒的破坏性:网络蠕虫程序是一个程序或者说是-个程序序列,它由两部分组成:一个主程序和一个引导程序。主程序一旦在计算机上建立,就会去读取公共配置文件并运行显示当前网络上联机状态信息的系统使用程序,来达到它收集与当前计算机联网的其他计算机信息的目的。然后,它会尝试利用网络缺陷到这些远程计算机上建立其引导程序(也称为“钓鱼”程序)。正是通过这个程序,蠕虫进入了它感染的每一台计算机。当蠕虫程序通过窃取口令、盗取特权、借助操作系统本身的错误和漏洞来达到非法入侵的目的后,蠕虫程序已经获取了系统用户的特权,可以读取被保护的敏感数据,可以做种种特权动作,具备了做严格破坏动作的能力。蠕虫程序的破坏行为类似于抢夺系统资源、影像系统效率,通常造成的后果是系统崩溃。如RobertMorris编写的蠕虫实际上并没有任何有意的破坏1=1的,就是在它遇到的每台计算机的后台都运行一个小进程。这可能完金不被人们注意,但是这个程序有一个很小的编程缺陷,当它在对一台主机进行传染Z前,蠕虫程序不会检查该系统是否已经感染,因而会造成对系统的多重传染。虽然-•个蠕虫进程只占用计算机很小的处理能力,但是几十个或者上百个这样的进程却可以使系统瘫痪。蠕虫病毒的典型传播方式是通过网络连接或电子邮件,出一台计算机传播到另一台计算机,通过网络复制自身,但并不感染文件系统。不过蠕虫也可以用来重写某些特定内存区的方法进行破坏,在蠕山运行中也可以破坏程序。4•网络蠕虫常见的“外衣”:网络蠕虫通过网络连接传播的时候,都会先将自己伪装,让人对其放松警惕。而它的“外套”通常都极具诱惑性,会使人误以为是什么轻松有趣或有用的信息。(1)假借游戏升级文件来传播。“外衣”的蠕虫病毒,它的大小是6686字节。它把自C伪装成一个很流行的游戏Minesweeper的升级程序来传播。它采用高级语言来编写,包括两个部分:VBS组件和可执行组件。VBS组件将可执行部分发送给MSOutlook地址薄屮的每个人。当该蠕虫程序执行时,会自动检查蠕虫文件位