蠕虫和特洛伊木马介绍
– 引导型
• 主引导区 • 操作系统引导区
– 文件型
• 操作系统 • 应用程序 • 宏病毒
引导型病毒—引导记录
• 主引导记录(MBR)
引导代码及 出错信息
主引导程序(446字节)
主分区表 (64字节)
结束标记 (2字节)
A
分区1(16 字节) 分区2(16 字节) 分区3(16 字节) 分区4(16 字节) 55AA
– Rsh,rexec:用户的缺 省认证 – Sendmail 的debug模式 – Fingerd的缓冲区溢出 – 口令猜测
CR I
• 主要影响Windows NT系 统和Windows 2000
– 主要影响国外网络 – 据CERT统计,至8月初已 经感染超过25万台
• 主要行为
– 利用IIS 的Index服务的 缓冲区溢出缺陷进入系 统 – 检 查 c:\notworm 文 件 是 否存在以判断是否感染 –中 文 保 护 ( 是 中 文 windows就不修改主页) – 攻击白宫!
。 。
int21
。 int8
是26日?
正
。 。
举例—小球病毒(Bouncing Ball)
• 在磁盘上的存储位置
000号扇区 001号扇区
病毒的第一部分 正常的引导扇区
文件分配表 … FF7
第一个空簇
病毒的第二部分 … … …
感染后的系统启动过程
启动
将病毒程序的第一部分送入内存高端 将第二部分装入内存,与第一部分 拼接在一起 读入真正的Boot 区代码, 送到0000:TC00处 修改INT 13 中断向量,指向病毒
其中x.x.x.x是被攻击的IP地址,dir可以是任意命令,比如删除系 统中的文件,向外发送机密数据等,这个后门后来也成为了nimda 病毒的一个传播模式。 下面是cert/cc上提供的被攻击服务器日志(CA-2001-11)
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 – 2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 –
2. 3.
4.
5.
CodeRed II
增加了特洛依木马的功能,并针对中国网站做了改进
1. 2. 3. 4. 5. 计算IP的方法进行了修改,使病毒传染的更快; 检查是否存在CodeRedII原子,若存在则进入睡眠状态防止反复 感染,若不存在则创建CodeRedII原子; 创建300个线程进行传染,若系统默认语言为简体中文或繁体中 文,则创建600个线程; 检查时间。病毒作者的意图是传播过程在2001年10月1日完成, 之后,蠕虫会爆发而使系统不断重新启动。 在系统中安装一个特洛依木马:
– Email、文件共享、页面浏览、 –MS IIS目录遍历、Code Red 后门
• 影响
– – – – 群发电子邮件,付病毒 扫描共享文件夹, 扫描有漏洞的IIS, 扫描有Code Red后门的IIS Server
红色代码病毒
• 红色代码病毒是一种结合了病毒、木马、 DDOS机制的蠕虫。
– 2001年7月中旬,在美国等地大规模蔓延。 – 2001年8月初,出现变种coderedII,针对中文 版windows系统,国内大规模蔓延。 – 通过80端口传播。 – 只存在与网络服务器的内存,不通过文件载 体。 – 利用IIS缓冲区溢出漏洞(2001年6月18日发布)
激活autoopen宏
写入 Normal.dot
有毒文件.doc
启动 无毒文件.doc Normal.dot
激活病毒
注意事项
• Macro 可以存在模板里,也可以存在文档 里 • RTF文件也可以包含宏病毒 • 通过IE 浏览器可以直接打开,而不提示下 载
提纲
• • • 计算机病毒 网络蠕虫 特洛伊木马
病毒检测原理
• 特征匹配
– 例如,在香港病毒:1F 58 EA 1A AF 00 F0 9C:
POP AX JMP F000∶AF1A PUSHF
• 行为监控
– – – – 对中断向量表的修改 对引导记录的修改 对.exe, .com文件的写操作 驻留内存
• 软件模拟
防范与检测
• • • • • • • • • • 数据备份 不要用移动介质启动(设置CMOS选项) 设置CMOS的引导记录保护选项 安装补丁,并及时更新 安装防病毒软件,及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护
文件型病毒—文件结构
• .COM文件
PSP Header (256 bytes) Code, Data, Stack Segment(s) (64K Bytes) 代码、数据、堆栈在通 一段中 在内存中的.COM是磁 盘文件的镜像
.EXE 文件
PSP Header (512 bytes) Code Segment(s) (64K ) Data Segment(s) (64K ) Stack Segment(s) (64K )
计算机病毒、蠕虫和特洛伊木马
提纲
• • • 计算机病毒 网络蠕虫 特洛伊木马
计算机病毒
• • • • • • • 病毒结构模型 病毒的分类 引导型病毒 文件型病毒 宏病毒 病毒举例 病毒防范
计算机病毒的结构
传染条件判断 传染模块
传染代码
表现模块
表现及破坏条件判断 破坏代码
计算机病毒的分类
• • • • 按攻击平台分类:DOS,Win32,MAC,Unix 按危害分类:良性、恶性 按代码形式:源码、中间代码、目标码 按宿主分类:
宏病毒(Macro Virus)
• 历史:
– 1980年,Dr. Fredrick Cohen and Ralf Burger 论文 – 1994年,Microsoft Word 第一例宏病毒 – Word, Excel, Access, PowerPoint, Project, Lotus AmiPro, Visio, Lotus 1-2-3, AutoCAD, Corel Draw.
蠕虫(Worm)
• • • • 一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile) 占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播
– 利用系统漏洞; – 利用电子邮件(无需用户参与)
莫里斯蠕虫事件
• 发生于1988年,当时 导致大约6000台机器 瘫痪 • 主要的攻击方法
红色代码病毒的检测和防范
• • • • 针对安装IIS的windows系统; 是否出现负载显著增加(CPU/网络)的现象; 用netstat –an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx..%u0078%u0000 %u00=a HTTP/1.0这样的攻击记录; • 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe 以及root.exe; • 检查注册表文件中是否增加了C和D虚拟目录,以及文件 保护功能是否被禁止。 • 在任务管理器中检查是否存在两个explorer.exe进程。
转移到 0000:TC00处,开始真正的系统引导
触发条件--修改后的INT 13
进入INT 13中断
是否为读盘?
N N
执行正常的 INT 13程序
Y
所读盘是否 是自身?
是否带病毒?
Y 执行正常的
INT 13程序
不发作 N 执行正常的 INT 13程序
Y
是否整点 或半点
N
调用传染过程 感染磁盘
Y
修改INT8 开始发作 执行正常的 INT 13程序
DOS Loaded
引导型病毒—感染与执行过程
系统引导区
。 。。。 病毒 引导 正常执行
。 病毒
。 。 。
病毒的激活过程
内 int2F int4A 存 时钟中断处理 DOS中断处理 空 外设处理中断 实时时种警报中断 间
正常程序 正常程序 正常程序 空闲区 空闲区 带病毒程序 空闲区 空闲区 空闲区 int8 int8 int8 int8 int8 病 毒 int8 int8
CR II
• ed by RC I
– 影响波及全球 – 国内影响尤其广泛
• 主要行为
– 所利用缺陷相同 – 只感染windows2000系统,由于一些参数的问 题,只会导致NT死机 – 休眠与扫描:中文windows,600个线程
Nimda 简介
• 影响系统:MS win9x, wind2k, win XP • 传播途径:
CodeRed I
在侵入一台服务器后,其运行步骤是:
1. 设置运行环境,修改堆栈指针,设置堆栈大小为218h字节。接着 使用RVA(相对虚拟地址)查找GetProcAddress的函数地址,然 后就获得其他socket、connect、send、recv、closesocket等函数地 址; 如果C:\notworm在,不再进一步传染; 传染其他主机。创造100个线程,其中99个用户感染其他WEB服 务器,被攻击IP通过一个算法计算得出; 篡改主页,如果系统默认语言为“美国英语”,第100个进程就 将这台服务的主页改成“Welcome to !, Hacked By Chinese!”,并持续10个小时。(这个修改直接在内存 中修改,而不是修改*.htm文件); 如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建 立连接,并发送98k字节数据,形成DDOS攻击。
