蠕虫病毒特点分析之解析并防范电脑蠕虫病毒

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

蠕虫病毒特点分析之解析并防范电脑蠕虫病毒

2004-11-05 作者：天极网阅读量：

二、网络蠕虫病毒分析和防范

蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞，这里的漏洞或者说是缺陷，我们分为2种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软ie和outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering)，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会报着好奇去点击的。对于企业用户来说，威胁主要集中在服务器和大型应用软件的安全上，而个人用户而言，主要是防范第二种缺陷。

1.利用系统漏洞的恶性蠕虫病毒分析

在这种病毒中，以红色代码，尼姆达和sql蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击，由于网上存在这样的漏洞比较普遍，使得病毒很容易的传播!而且攻击的对象大都为服务器，所以造成的网络堵塞现象严重!

以2003年1月26号爆发的sql蠕虫为例，爆发数小时内席卷了全球网络，造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司，系统都陷入了瘫痪，其它的网络用户也被迫断线，更为严重的是许多银行的自动取款机都无法正常工作，美国许美国银行统计，该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响!

这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的，利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。SQL Server监听UDP的1434端口，客户端可以通过发送消息到这个端口来查询目前可用的连接方式（连接方式可以是命名管道也可以是TCP），但是此程序存在严重漏洞，当客户端发送超长数据包时，将导致缓冲区溢出，黑客可以利用该漏洞在远程机器上执行自己的恶意代码。

微软在200年7月份的时候就为这个漏洞发布了一个安全公告，但当sql蠕虫爆发的时候，依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁，从而被蠕虫病毒所利用，蠕虫病毒通过一段376个字节的恶意代码，远程获得对方主机的系统控制权限，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件，仅仅存在与内存中。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。

通过以上分析可以知道，此蠕虫病毒本身除了对网络产生拒绝服务攻击外，并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码，后果将不堪设想!

责任编辑：水蜜桃
文章来源：天极网 2004-11-05