网络蠕虫的传播途径篇1
关键词:网络蠕虫;传播模型;无尺度网络;恶意代码
中图分类号:tp393文献标识码:a文章编号:1009-3044(2009)27-7635-03
Researchofinternetwormtaxonomyandpropagationmodel
XieChun-yan1,maHai-bin2,LianGwei3
(1.CollegeofphysicsScienceandinformationengineering,HebeinormalUniversity,Shijiazhuang050016,China;2.CollegeofCareertechnology,HebeinormalUniversity,Shijiazhuang050016,China;3.internationalSchoolinHebeiprovince,Shijiazhuang050061,China)
abstract:inrecentyears,thewormsthathadadramaticincreaseinthefrequencyandvirulenceofsuchoutbreakshavebecomeoneofthemajorthreatstothesecurityoftheinternet.inordertoclearlyunderstandthethreatcausedbyinternetworm,itisnecessarytoclassifythewormssothatwecanthoroughlystudythem.thetaxonomyprinciplesaremainlybasedonscanningstrategy,propagationway,destructivecapability,wormauthor’smotivationandsoon.thedesignofprecisewormpropagationmodelsmakesforunderstandingthepropagationmechanismofwormsothatwecanutilizemoreefficientpreventionapproaches.thispaperthoroughinvestigatescurrentwormpropagationmodels,whicharemainlybasedonrandomnetworkandscale-freenetwork.acommondrawbackinexistingalgorithmsthatdoesnotconsiderthecostofthelinksispointedoutwhenscale-freenetworkisestablished.Finally,thetrendsofwormareforecastedandsomepreventionwaysarepointedout.
Keywords:networkworm;propagationmodel;scale-freenetwork;maliciouscode
现在网络蠕虫越来越容易传播,从第一个蠕虫――morris蠕虫到现在出现过很多种蠕虫,为了能更好地防御蠕虫,就必须理解蠕虫的不同属性(扫描策略、激活方式、传播途径等)、蠕虫编写者的意图和构建准确的传播模型,尽量变被动挨打为主动出击,降低其造成的损失。
1网络蠕虫的定义及分类
网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫与病毒的最大区别在于它不需要人为干预,而且能够自主不断地复制和通过网络传播。
D.ellis[1]提出了一个“生命周期”(“lifecycle”)的概念,利用生命周期把整个蠕虫的传播过程分成了若干阶段,即初始阶段、激活负载阶段、网络传播阶段、发现感染目标阶段、网络探测阶段、攻击阶段、感染阶段,并给出了蠕虫感染的条件和一般蠕虫的生成算法,详见文献[1]。n.weaver[2]根据目标发现和选择策略、激活方式、蠕虫携带负载的方式、恶意攻击者的类型等角度对蠕虫分类,本文尝试从别的不同角度,如蠕虫的扫描策略,传播途径,破坏能力,蠕虫编写者的意图等角度对蠕虫进行分类。
1.1蠕虫的扫描策略
影响蠕虫传播的主要因素是如何能快速找到新的目标主机,所以扫描方法的性能直接决定着蠕虫传播的速度。下面是几种常用的扫描方法。
1)随机扫描法(RandomScanning):随机扫描是感染蠕虫的计算机在寻找新的攻击目标时不知道哪些计算机系统有漏洞,随机的选择网上计算机进行扫描,所以扫描的目标为ipV4所有地址空间,即Ω=232。一般情况下,随机扫描由于扫描地址空间大,传播速度较慢。
2)基于目标列表的扫描(Hit-listScanning):Staniford[3]介绍了一种基于目标列表的扫描方法,这种蠕虫在传播之前先搜集一些有漏洞的计算机地址列表,传播时先感染这些地址列表中的计算机,然后这些感染的计算机再随机扫描互联网上的其它计算机。采用Hit-list扫描的蠕虫要比采用随机扫描的蠕虫传播的速度快得多。
3)路由扫描法(RoutingScanning):Zou[4]中介绍了一种“路由蠕虫”,它采用BGp路由表中的地址来减小要扫描的地址空间Ω。若采用路由扫描法其探测地址空间将比随机扫描减小,感染率将增大,所以传播速度会增加。但是,“路由蠕虫”由于要携带地址信息,使得自身的代码变长,会降低蠕虫传播速度。
4)分而治之扫描(Divide-ConquerScanning):分而治之扫描的主要思想是:在释放蠕虫之前,作者需要收集一个10000到50000个有漏洞且网络连接良好主机的列表,在传播时,蠕虫给每个受害主机发送一个子列表,受害主机就按照子列表进行扫描。此扫描的特点是:隐蔽性强,通过逐渐分解列表,蠕虫越来越小;扫描造成的流量也进一步减小,更不容易检测。但是,如果分得列表的主机被关掉或死机,那这部分列表就会丢失,这种情况发生的越早,对蠕虫传播的影响越大。
5)DnS扫描法(DnSScanning):蠕虫从DnS服务器得到的ip地址建立目标主机地址列表,优点是这些地址都是可用的,提高了扫描的准确度。缺点也很多:①这个地址列表不易得到;②列表涉及范围太小,因为都是来自同一个DnS服务器;③蠕虫需要携带一个大的地址列表,传播速度受限。
6)扫描方法的性能比较:这几种扫描方法根本不同之处在于目的主机列表的选择上,当列表大小相同时,蠕虫感染其它主机的时间主要取决于这个列表的有效率,因为这个列表可能包括未分配或保留的地址。地址列表的粒度越小,蠕虫扫描越隐蔽,但蠕虫代码也就越大,所以需要在地址列表大小和蠕虫传播速度间找一个合理的平衡。图1给出了上述几种扫描方法的性能比较。
比较三种扫描方法所采用的实验环境为:360000个有漏洞主机,感染率β为0.00000008,hitlist为2000,初始感染主机数为10。由图1比较可知,路由扫描法性能最好,传播速度最快,Hit-list扫描法在初始阶段传播较快,随机扫描法性能最差。其它扫描方法受实验条件所限,在此没作比较。
1.2蠕虫的传播途径
1)利用email:此类蠕虫通过mapi获得感染机器的通讯录中邮件地址列表,然后通过windows的邮件客户端把蠕虫代码作为邮件附件发送给其他主机,而未打补丁的ie会自动执行邮件中的附件,从而使蠕虫激活,即使打了补丁,只要用户打开附件,蠕虫代码也会执行,从而可以感染更多主机。这类蠕虫有求职信蠕虫(w32.wantjob.worm)、小邮差蠕虫(w32.mimail.a.worm)等;
2)利用Ftp:此类蠕虫比较少见,且危害不是很大,例子有Linux.Ramen.worm。
3)利用web服务器:此类蠕虫通过扫描ip地址获得可以利用的iiS服务器,一旦找到可用的iiS服务器,它就设法获得本地的目录列表,然后再利用tFtp发送一个DDL文件到目标服务器上,例子有尼姆达蠕虫(w32.nimda.worm)等。
4)利用浏览器:这类蠕虫比较常见,尼姆达蠕虫是第一个使用这种机制进行传播的病毒,这种传播机制能够使蠕虫代码穿透防火墙。红色代码(w32.Codered.worm)也属此类。
5)利用系统漏洞:此类蠕虫通过microsoftwindows操作系统中的某漏洞进行传播。典型例子是“冲击波”蠕虫(w32.Blaster.worm)。
6)利用数据库:蠕虫可以利用网络上的数据库进行传播,典型例子是w32/SQL.Slammer.worm。
此外,蠕虫的传播途径还有:通过netBios,它利用打开的局域网共享资源进行传播,如w32.Hai.worm、w32.Dalbug.worm等;通过手机,例如首只手机蠕虫-食人鱼蠕虫SymboS.Cabir,它会不断传送恶意程序给涵盖范围内具备蓝芽功能的手机。利用QQ、mSn等即时通讯软件传播,如GFleming、Cool蠕虫等。
1.3蠕虫的破坏能力
根据蠕虫的破坏能力可将蠕虫分为无害型、降低系统或网络性能型、破坏型三类。
1)无害型:此类蠕虫感染主机后,会在主机磁盘上建立很多垃圾文件,减少磁盘的可用空间,除此之外,对系统没有其他影响。早期的很多蠕虫属于此类。
2)降低系统或网络性能型:这类蠕虫会消耗大量主机资源,使主机速度变慢;在网络上形成垃圾流量,造成拥塞,降低网络性能。
3)破坏型:这类蠕虫会删除主机程序、破坏数据、清除系统内存区和操作系统中重要数据。
1.4蠕虫编写者的意图
蠕虫编写者,出于不同的目的,制造了数万种蠕虫,而且由于internet的迅猛发展,人们获得蠕虫知识的途径也越来越多。
1)好奇心型:大量的蠕虫出自学生之手,学习这些编程方法对学生来说是一个很大的挑战,他们往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意识攻击行为,制造出新的蠕虫(如iLoveYou蠕虫、CodeRed蠕虫)。
2)恶作剧型:这些作者单纯为了显示自己的能力,多为自娱自乐或开别人玩笑。但有的蠕虫造成的危害非常大,如Blaster蠕虫,编写导致近百万电脑中毒的振荡波蠕虫作者编写这种蠕虫的原始动机可能只是为了帮助其母亲的小公司招揽生意。
3)政治目的型:任何政治因素都会反映到网络领域。主要表现有:a.敌对国之间利用网络的破坏活动;b.个人及组织对政府不满意而产生的破坏活动。这类黑帽的动机不是钱,几乎永远都是为了政治,一般采用的手法包括更改网页、植入蠕虫等,如Bobax.h蠕虫(萨达姆蠕虫)。
2蠕虫的传播模型
一个精确的蠕虫传播模型可以使人们确定蠕虫在传播过程中的弱点,能更精确的预测蠕虫所造成的损失。目前已有很多学者对蠕虫进行了深入研究,提出了一些模型。
2.1随机网络上的传播模型
本文介绍其中的两种经典模型[2,13],这两个应用最为广泛,研究也最为彻底。
1)经典的、简单的流行病模型(SiS模型)
在此模型中,每一台主机只有两种状态:易感或感染,而且一旦被传染就永远保持感染状态,其状态转移只能表示为:易感感染,其模型表示为公式(1):
其中L(t)表示在时刻t被感染的主机数,n为主机总数,β表示蠕虫传播模型中的感染率。当t=0时,有L(0)个已感染的主机,有n-L(0)个易感的主机。
2)一般的流行病模型:Kermack-mckendrick模型(SiR模型)
在Kermack-mckendrick模型中考虑了感染主机的恢复,它假定在发病期间,一些受感染的主机可以恢复为正常状态或死亡,且对此传染病具有免疫功能,因此每个主机具有三种状态:疑似、感染或恢复,其状态转移可表示为易感感染恢复,或永远保持易感状态。基于上面的简单模型(1)得到Kermack-mckendrick模型,表示为:
其中S(t),R(t)分别表示表示在时刻t易感的主机数和在时刻t从感染主机中恢复的主机数,y表示蠕虫传播模型中的恢复率。从Kermack-mckendrick模型得出了一个重要的理论――传染病爆发定理:一个大规模蠕虫爆发的充分必要条件是初始疑似主机的数目S(0)>ρ,其中ρ=γ/β,表示相对恢复率。
Grassberger指出网络传播的Kermack-mckendrick模型可以等价于网络上的键逾渗问题[5],该结论最近由Sander等推广到了更一般的情形[6]。假设(2)式中的β和γ并不是对每个节点都一致的,而是分别服从分布pi(β)和pr
2.2无尺度网络上的传播模型
随着大量数据的产生和计算机的应用,人们发现在现实世界里真实的网络与随机网络模型相差甚远。许多自然状态下的网络(如万维网)表现出一种特别的属性:少数节点的连接数远高于平均的节点连接数。Barabasia.L.和albertR.教授把这类网络被称为“无尺度网络”,它属于高度非均一性的网络。它具有真实网络中最常见的两个特性:增长(growth)和偏好连接(preferentialattachment)。第一个特点表明无尺度网络可以不断地扩张。第二个特点则意味着两个节点连接能力的差异可以随着网络的扩张而增大;最初连接较多的节点可以形成更多的连接,即“富者愈富”。无尺度网络的生成规则(Ba模型)如下:取初始m0个顶点任意连接或完全连接。每一步在原网络G(t-1)的基础上加上一个新的顶点,同时加上从此顶点出发的m(m≤m0)条边,形成新的网络G(t)。其中新加边的另一个端点按照正比于顶点度数的分布
随机选取。重复以上新加点的过程足够多步所形成的网络的各顶点的度满足幂律分布p(k)~k-z。指数τ=3与模型的参数m0,m无关。数值模拟表明,当m取某一范围内的随机数时,指数也不变。
经典的传播理论认为[9],存在大于零的阈值λ,当λ>λc时蠕虫在网络中迅速传播,并持久存在;当λ
其中ρk(t)表示度为k的感染节点的相对密度,?专ρk(t)表示连接到感染节点的特定链路的概率,
解(5)和(6),可以得到下面自治方程(7)
(8)式是针对非关联网络的,对于关联网络,Boguna和pastor-Satorras给出了SiS模型传播的阈值为[12]
其中Λm为邻接矩阵的最大特征值。Barthelemy等人细致地研究了SiS模型中蠕虫爆发的特性,发现传播的动力学结构是具有层次性的,即从度大的节点群一直到度小的节点群[13]。而通过含权无标度网络上的传播动力学特性的研究发现边权对传播动力学特征有明显的影响[14]。从蠕虫爆发开始,有一段很短的时间,蠕虫以较慢的速度传播,然后迅速上升到一个很高的峰值,继而以幂函数形式下降。在这个过程中,蠕虫优先感染度大的节点,但并没有出现明显的层次效应。
3结论及下一步工作
蠕虫种类繁多,新蠕虫不断出现,其特征难以预见;蠕虫与新技术的融合,使得蠕虫传播速度变快和影响范围变大。下一步工作包括:研究蠕虫的网络传播特性、网络流量特性,并建立数学模型;研究蠕虫传播和网络拓扑结构的关系,完善蠕虫的传播模型,研究各参数对模型的影响,使之更接近实际情况;建立蠕虫自动预警系统等。
参考文献:
[1]ellisD.wormanatomyandmodel.theFirstworkshoponRapidmalcode,2003:42-50,washington,DC,aCmpress.
[2]weavern,paxsonV,StanifordS,etal.ataxonomyofcomputerworms.theFirstworkshoponRapidmalcode(woRm),2003:11-18,washington,DC,aCmpress.
[3]weavern.potentialstrategiesforhighspeedactiveworms:aworstcaseanalysis.U.C.BerkeleyBRaSSgroup.2002.3:1-9.
[4]CliffCZ,towsleyD,Gongw,etal.Routingworm:aFast,Selectiveattackwormbasedonipaddressinformation.Univ.massachusettstechnicalReporttRCSe-03-06,2003.11.
[5]GrimmettGR.percolation.Berlin:Springer-Verlag,1989.
[6]SanderLm,warrenCp,Sokolovi,etal.percolationondisorderednetworksasamodelforepidemics.mathBiosci,2002:180,293-305.
[7]newmanmeJ.Spreadofepidemicdiseaseonnetworks.physReve,2002,66,016128.
[8]pastor-Satorras,R.,a.Vespignani.epidemicspreadinginscale-freenetworks,physicalReviewLetters,2001(86):3200-3203.
[9]andersonRm,mayRm.infectiousDiseasesofHumans.oxford:oxfordUniversitypress,1992.
[10]KephartJo,SorkinGB,ChessDm,etal.FightingComputerViruses.Sciam,1997:277,56-61.
[11]KephartJo,whiteSR,ChessDm.Computersandepidemiology.ieeeSpectr,1993,30,20-26.
[12]Bogu?ám,pastor-SatorrasR.epidemicspreadingincorrelatedcomplexnetworks.physReve,2002,66,047104.
网络蠕虫的传播途径篇2
abstract:wormisalsoavirus.withtheproliferationofthecomputerinternet,wormimposesaconsiderablethreattothesecurityofthenetworksystem.itsdestructivepowerandinfectivitycannotbeignored.Beginningwiththedynamicsofinfectiousdiseases,thispaperdiscussesthebasicpatternsofthemodelondynamicsofinfectiousdiseases,thehazardsofworm,anditspropagatingfeatures.Finally,severalpropagationmodelsofnetworkwormarementioned,andsomeideasonhowtopreventwormvirusareproposed.
关键词:传染病动力学;计算机网络;蠕虫;传播模型
Keywords:dynamicsofinfectiousdiseases;computernetwork;worm;propagationmodel
中图分类号:tp392文献标识码:a文章编号:1006-4311(2012)21-0200-04\
0引言
传染病长期危害着人类健康,它们的不断的流行给人类生存和发展带来了巨大的威胁。2003年出现的SaRS病毒,传染性极强,具有相当的毒力,击倒了很多人,令全世界都感到恐慌,但是病毒及其活动规律同样受数学定律的支配[1]。长期以来,人类都在与传染病进行斗争,并建立了大量的数学模型用于研究和分析各种各样的传染病问题。人们通过对传染病病毒的长期接触和研究,对病毒已经相对了解,也有了一定的预防措施。
今天,计算机网络已经成为人们工作和生活中不可缺少的一部分,但是,计算机网络的普及和发展也给计算机病毒带来了前所未有的发展和进化,给人类的生活和发展带来了很大的负面影响和损失,网络蠕虫对计算机系统安全和网络安全的威胁日益增加。各色的蠕虫病毒的传播途径和复杂的应用环境使网络蠕虫的发生频率只增不降,潜伏性并没有减弱,而是越来越强,覆盖面也不断扩大,不断增加由此带来的损失。自1988年11月第一个互联网蠕虫莫里斯(morris)出现以来,蠕虫就向人们展示了它不同于传统计算机病毒的特点和巨大破坏力。进入21世纪后,蠕虫更是频频大规模爆发,其爆发频率、扩散速度、造成的危害超过了以往任何时期,引起了网络安全研究人员的广泛关注[7]。Spafford首次对morris蠕虫的功能结构和工作机制展开研究。关于传播模型,iBm的Kephart,white和Chess在1991年—1993年研究了病毒传播模型,根据他们的研究,邹长春等人以CodeRed为例,对以微分方程为基础的蠕虫传播模型进行了分析[6]。
在此背景下,本文简要介绍了传染病动力学,阐述了蠕虫病毒的危害及建立蠕虫传播模型的意义,列举了几种常用的传播模型。
1传染病动力学及模型简介
1.1传染病动力学概述传染病动力学[5]是开展理论性定量研究的重要方法之一,它以种群生长的特性,疾病的发生及在种群内的传播、发展规律,以相关的社会因素等为依据,建立一种数学模型,这种模型能反映传染病动力学特性,我们要揭示疾病流行规律,预测它的变化趋势,找出其流行的重要原因,找到最合理的预防和控制策略,就要对模型动力学性态进行定性、定量分析和数值模拟,分析疾病的是如何发生的,为防制决策提供理论依据。动力学方法在从疾病的传播机理方面反映流行规律方面是个不错的方法,考虑到了流行过程中的全局性态。将传染病动力学与生物统计学以及计算机仿真等方法联系起来,进一步认识传染病流行规律,建立更加符合实际的模型与防制策略。传染病动力学模型不仅在传染病研究方面影响深远,而且也为生物种群分布、植病、网络病毒的传播、谣言的传播等自然和社会科学问题的研究提供可靠依据。
1.2传染病动力学模型的基本形式在传染病动力学中,主要沿用的由Kermack与mcKendrick在1927年用动力学的方法建立了SiR传染病模型。SiR模型将总人口分成三类:易感者(susceptibles),其数量可用t时刻还没有染病但有可能被该类疾病传染的人数来表示,记为S(t),;染病者(infectives),其数量可用t时刻已被感染成为病人而且具有传染力的人数来表示,记为i(t);恢复者(recovered),其数量可用t时刻已不再是染病者的人数来表示,记为R(t)。
则有公式n(t)=S(t)+i(t)+R(t),其中n(t)为总人口。
建立SiR模型是以以下三个假设为基础的:
网络蠕虫的传播途径篇3
关键词:计算机病毒;网络安全;网络病毒;病毒防治
中图分类号:tp393文献标识码:a文章编号:1009-3044(2007)18-31518-02
theCountermeasureStudiesofComputerVirusandnetworkSafe
FenGwei
(CurrentSupplyCompanyofYichunCityinJiangxiprovince,informationCenter,Yichun336000,China)
abstrct:theapproachofVirus-infectedismoreatpresent,andthesourcechannelisbroad.networkshavealreadybecomethemainapproachamongthemofvirusspreading.accordingtothetraditioncomputervirusclassificationmethod,parasiticmarriagepartnerisoftentakenastheclassificationstandard,butaccordingtocurrentlynetworkdevelopingtrend,akindofnetworkvirusshouldbeincreased.Undernetworkenvironment,virusspreadsquickerandismoreharmful.thesinglevirus-guardingandeliminatingproductcannoteliminatethenetworkviruscompletely,varioustechnologymeasuressuchassyntheticallyfirepreventionwalltechnology,viruspreventionandcuresoftware,softwarerenewal,databack-upshouldbeincludedinordertoapplytolocalareanetworkandwideareanetwork.
Keywords:computervirus;networksafe;networkvirus
1什么是计算机病毒
为什么叫做病毒。与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,从而感染它们,对计算机资源、网络资源进行破坏的这样一组程序或指令集合。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。
2病毒的发展
传统的计算机病毒常以寄生对象为标准可分为文件型、引导型和混合型等病毒,但根据当前病毒发展的趋势。网络型病毒的寄生对象更加广泛、传播速度快、危害广,它利用internet的开放性和软件系统的缺陷,破坏网络中的各种资源以及网络通讯,某些种类的网络病毒还是黑客工具。
3病毒的传播途径
计算机病毒的传播过去主要是通过拷贝文件、传送文件、运行程序等方式进行。而目前主要的传播途径主要是网络:
网络型病毒的传播方式主要有3种:电子邮件、网页、文件传输。其中主要是通过前2种方式,特别是电子邮件。通过电子邮件传播的病毒,其病毒体一般隐藏在邮件附件中,只要执行附件,病毒就可能发作。有些种类的邮件病毒,甚至没有附件,病毒体就隐藏在邮件中,只要打开或预览邮件,都会遇到麻烦。近年来流行的很多病毒,如“梅丽莎”、“爱虫”等都是通过邮件传播的。
为了增加网页的交互性、可视性,通常需要在网页中加入某些Java程序或者activeX组件,这些程序或组件正是病毒的宿主。如果你浏览了包含病毒代码的这类网页,且浏览器未限制Java或activeX的执行,其结果就相当于执行病毒程序。
4网络病毒的特征
在按病毒寄生对象分类法中提出网络型病毒,似乎有分类重叠的嫌疑,但网络型病毒的很多特点是传统寄生对象病毒所没有的,它也是我们当今病毒中的重点。因此,将它单独列为一类是必要的。网络型病毒主要有以下一些特点;
(1)它主要通过网络传播,在网络环境才能发挥最大破坏作用。如“木马”类病毒,离开网络,它最大的危害只是消耗一点系统资源。
(2)它的寄生宿主广泛,可能会寄生在Htm、aSp等多种文件中,也可能隐藏在邮件中,甚至可能不感染任何对象,仅存在于源宿主中,但可通过网络传播对计算机的端口、服务、数据、缓冲区进行攻击的指令,所以网络型病毒的检测、防范难度很大。
(3)网络型病毒一般是利用internet的开放性、操作系统及各类应用程序的漏洞来对计算机系统进行攻击,为了防范它往往要对某些网络功能进行限制。
(4)一些网络型病毒还常常与黑客有联系,最典型的就是“木马”类病毒。
(5)网络型病毒发展趋势迅猛,近3年来流行的病毒,除宏病毒外,基本都属于网络型病毒。网络型病毒的传播速度快、危害范围广。
目前,病毒的传播途径大多数都是通过网络,但不是所有通过网络传播的病毒都是网络型病毒,必须符合以上特征才属于网络型病毒。
5病毒的分类
5.1传统的计算机病毒
按寄生对象将病毒分为引导型、文件型和混合型3种,这种病毒的特点是:当系统引导时装入内存,在计算机运行过程中,能够捕获到CpU的控制权,在得到CpU的控制权时进行病毒传播,并在特定条件下发作。
攻击的主要目标是系统的.Com、.eXe等可执行文件。染上这种病毒的可执行文件一旦运行,首先执行这段病毒程序,达到不断复制的目的。由于它的不断繁殖,使计算机工作效率大大降低,最终造成死机。
5.2网络型病毒
主要分为蠕虫(worm)、木马(trojanhorse)两种形式。
(1)蠕虫(worm)是通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络服务中断的病毒。蠕虫泛滥发生在近几年,”蠕虫”程序常驻于一台或多台机器中,并有自动重新定位的能力。如果它检测到网络中的某台机器未被占用,就把自身的一个拷贝发送给那台机器。”蠕虫”一般由两部分组成:一个主程序和一个引导程序。主程序一旦在机器上执行,就会通过读取公共配置文件并收集当前网络状态信息,获得与当前机器联网的其它机器的信息和软件缺陷,主动尝试利用所获得的信息以及其他机器的缺陷在这些远程机器上建立其引导程序。
(2)木马又称特洛伊木马(trojanhorse),它原本属于一类基于远程控制的工具。木马的运行模式属于客户/服务模式,它包括两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。通常所说的木马病毒其实就是这个服务端程序,,一旦计算机执行这段程序,它就变成一个受客户端控制的服务器。木马常被黑客用来作为窃取信息以及非法使用资源的工具。
6病毒的危害
计算机病毒会感染、传播,但这并不可怕,可怕的是病毒的破坏性。其主要危害有信息的丢失、泄密,损坏硬件破坏网络:
7电脑病毒的防治
网络型病毒的防治措施同传统的病毒防治措施一样,网络型病毒的防止措施应包括管理措施和技术措施两个方面,只有两者完美的结合,才能达到最佳的防治效果。
7.1管理措施
在管理措施方面,至少应做到以下3点:
(1)树立病毒防范意识,让每个操作人员都了解病毒的危害,并自觉地采用防护手段;
(2)根据各自的特点,制定严格的、可行的操作规程,并保证制度落实;
(3)及时掌握病毒动态,根据流行病毒的特点,修改和完善防治措施。Ca的工程师们曾说过:在病毒攻击面前损失最小的往往不是使用最先进防护软件的专家,而是循规蹈矩执行制度的人。这说明了严格执行管理制度的重要性。
7.2技术措施
由于网络型病毒固有的特性,采用传统的病毒防治技术是远远不够的。在考虑技术措施时,首先应遵循“木桶原则”,即从最薄弱环节着手。既然网络型病毒的主要传播方式是电子邮件、浏览器,那么安装防火墙和带有病毒实时检测、邮件监控、浏览器监控、文件传输监控功能的病毒防治软件是所有技术措施中最重要的部分。当然,其他的辅助措施也是不可少的。
(1)使用防火墙与病毒防治
软件防火墙能选择性地限制网络中的各类访问,它能有效地将内部网络和外部网络隔离,切断病毒的传播途径。切断这些途径,一般网络型病毒是不能产生破坏作用的。
防火墙的功能只是限制网络的访问,检测和清除病毒还要靠病毒防治软件。目前的病毒检测原理大致有特征码法、校验码法、行为码法3种类型。特征码法能有效地检测和清除已知病毒;校验和法对要改变文件内容或属性的病毒非常敏感,但误报率较高,且不能清除;行为码法对于未知病毒效果好,但同样存在误报率高的缺陷。目前的病毒防治软件基本上同时采用了这3种方法,以提高病毒的检测和清除率。
目前的病毒软件一般都加入防火墙功能,是集反毒、反黑、救护于一身的产品,对于网络型病毒的防治是很有效的。但使用防火墙和病毒检测软件会降低整个系统的性能。因此,病毒的防治还应掌握“适度原则”。
(2)及时升级软件
利用软件系统的缺陷是网络型病毒的一个重要特点,因此,及时升级软件、弥补缺陷是防治网络型病毒的有效手段。2003年1月25日的在世界范围内爆发的“蠕虫王”正是利用了这一缺陷,在此次事件中直接受损的均是未安装补丁的用户。病毒防治软件中的病毒数据库也需要经常更新,防毒软件生产商不断在收集新的病毒特征码,以保证对新型病毒的准确检测。
(3)合理安装和设置软件
网络型病毒很少像传统病毒一样调用汇编程序来实现破坏功能,而常常利用操作系统提供某些功能模块。用VBScript脚本语言编写蠕虫病毒就是通过win2dowsScriptHost来解释执行的。因此,在安装软件时一定不要贪图大而全,不要安装和启动那些不需要服务程序或组件,如Ftp、iiS、windowsScriptHost等等。这些服务支持了internet的开放性,同时也为病毒和黑客提供了可乘之机。
合理设置软件对于防止病毒的传播很有效,大多数利用VBscript编写的病毒离不开”FileSystemobject”对象,因此利用regsvr32scrrun.dll/u命令禁止了”FileSyste2mobject”就能有效地控制VBS病毒的传播,合理地设置浏览器的参数(如禁用Java、activeX控件及插件等),可防止多数通过网页传播的病毒。此外,杜绝随意共享资源、不设置用户密码、随意接收转发来历不明文件等不良操作习惯,也可一定程度地防止网络病毒的入侵和传播。
(4)定期备份重要数据
除了以上防治措施,数据备份是一个很好的补救办法,它可将由病毒造成的损失减小到最低程度。数据备份的频率、手段以及范围由数据的重要程度决定。
8结束语
防病毒并不是一劳永逸的事,当前危害最大的网络病毒利用网络的开放性,针对软件系统和通信协议的特定缺陷,对网络中的各种资源和网络通讯进行攻击,具有传播速度快、危害广、防治难的特点,它已经成为危害网络安全最重要的因素之一。网络型病毒的防治应首先从管理措施上着手,并结合防火墙技术、病毒防治软件、软件更新、数据备份等多种技术措施。在与计算机病毒的对抗中,也产生了众多著名的杀毒软件,由于杀毒一直处于被动状态,这就使企业管理人员必须建立信息系统安全发展的正确观念,每个操作人员都了解病毒的危害具有安全意识,制定合理防治管理办法统一规划,减少和断绝病毒的传播途径,建立一个具备基本的防范措施的计算机网络系统框架,以实现发生病毒能够快速反映和处理的能力,才能保证企业计算机信息网络的正常建设。
参考文献:
[1]otHmaRKaYS.网络安全技术[m].北京:中国水利水电出版社,1998.
[2]李冰.网络攻击的六大趋势[J].科技广场,2002.
[3]宁章.计算机及网络安全与防护基础[m].北京:北京航空航天大学出版社,1999.
网络蠕虫的传播途径篇4
大家都知道,最近全球很多电脑都感染了一种名为“想哭”(wannaCry)的勒索软件,中招的电脑会在屏幕上显示一个红色页面,里面的内容是告知用户电脑文件已被加密,需要使用者支付一定的报酬才能解密(图1)。
那么“想哭”到底是一种什么样的病毒?其实“想哭”病毒并非什么新型病毒,它实质上是一款蠕虫病毒。作为病毒的一种,在目前电脑普遍安装防毒软件的情况下要想实现大面积的传播并不容易。但是现在很多蠕虫病毒会将多种破坏要素集于一身,比如2001年7月15日发现的“红色代码”蠕虫病毒,它将网络蠕虫、计算机病毒、木马程序合为一体,在欧美地区肆虐,变种的“红色代码”二代病毒则在中国破坏猛烈,大量网络服务器遭受攻击而瘫痪。2003年8月发现的“冲击波”蠕虫病毒则利用windows系统的RpC漏洞进行疯狂传播。这次发现的“想哭”病毒也是利用windows的“永恒之蓝”系统漏洞实现传播的。
它怎么m入电脑――蠕虫病毒传播途径解密
如上所述,“想哭”实质上一种蠕虫病毒,这种病毒传播的一个重要特性就是善于利用各种网络工具和系统漏洞,通过网络进行大面积的传播。以这次“想哭”病毒为例,既然是病毒,传播的途径无非是主动和被动传播这两类。
主动传播是病毒制造者(或者黑客)通过针对目标系统发起扫描和攻击,比如“想哭”病毒利用nSa开发的永恒之蓝(eteRnaLBLUe)模块,他们通过扫描公网或者局域网内的开放了445文件共享端口的windows用户,如果该用户的windows没有安装mS17-010补丁,黑客们就可以针对windowsSmB服务漏洞植入恶意代码,从而让“想哭”病毒传播到这些电脑上。对于被感染的电脑,其上的恶意代码会继续扫描并感染同一局域网内所有未安装上述补丁的电脑。从这次“想哭”病毒的传播看,主动传播是其主要的感染方式(图2)。
被动传播则是病毒制造者(或者黑客)通过在网页、邮件等附加病毒代码的方式,然后诱使用户点击,最终将病毒下载到用户本地硬盘运行。由于这次“想哭”病毒利用的是windowsSmB服务漏洞,局域网中任意一台电脑感染后就会传播到所有未安装补丁的电脑上,从而造成该病毒在一个公司大面积感染。
这次“想哭”病毒正是利用病毒常见的传播方式,同时利用windows底层漏洞实现在全球的疯狂传播,短短几天就感染数十万台电脑(图3)。
如何让你“想哭”――病毒勒索原理解读
根据以往的经验,电脑中病毒并不可怕,中毒了无非就是杀毒,病毒杀完之后就没事了。但是这次感染“想哭”病毒的用户为什么会有欲哭无泪的感觉?这是因为“想哭”病毒使用了加密用户文件的方法,不付赎金就可能导致文件彻底丢失!
这次“想哭”病毒的感染过程是这样的,在电脑感染了病毒后,这个病毒首先会对用户电脑文件进行遍历搜索(安全专家分析是高达170种常见文件),会查找.docx、.xlsx、.jpg等文件格式,在找到这些文件后就使用RSa和aeS加密方法对这些文件进行强加密,加密完成后则将用户源文件全部删除,同时在桌面弹出支付赎金解密提示(图4)。
因为这里病毒使用的是一种非对称加密算法,首先病毒会随机生成aeS密钥,使用aeS-128-CBC方法对文件进行加密,然后将对应的aeS密钥通过RSa-2048加密,再将RSa加密后的密钥和aeS加密过的文件写入到最终的.wnCRY文件里,并将解密密钥保存在黑客服务器上,只有用户支付赎金才能获得相应的解密密钥。这样感染病毒的电脑上就会包含大量后缀为.wnCRY的文件,实际上这些都是被病毒加密的文件(图5)。
由于RSa公钥加密是一种非对称加密算法,其算法过程需要一对密钥,即公钥(公开密钥)和私钥(私有密钥),公钥对内容进行加密,私钥对公钥加密的内容进行解密。由于这里私钥被黑客掌握,因此个人用户基本上无法实现对加密文件的解密(图6)。
因为病毒使用aeS密钥通过RSa-2048加密,按目前的计算能力来说破解RSa-1024位密钥至少就需要两年时间,而破解2048位密钥起码需要80年!显然要解密这些文件,估计很多用户都活不到那么长的时间看到解密的结果。因此“想哭”病毒给我们带来的损失是极其巨大的,这也正是这类勒索病毒应该引起我们高度重视的原因。
未雨绸缪做好安全防范
如上所述,类似“想哭”这类勒索病毒一旦中招就会给我们带来很大损失。那么作为用户应该如何更好地防范这些勒索病毒?
网络蠕虫的传播途径篇5
关键词:网络型病毒;计算机网络;特洛伊木马;防火墙;蠕虫
中图分类号:tp3文献标识码:a文章编号:1007-9599(2011)16-0000-01
network-typeVirusandComputernetworkSecurity
XuJianglan
(GuizhouVocationalandtechnicalinstitute,trainingCenter,Guiyang550023,China)
abstract:Fromthenetworksecurityincidents,themostimportantthingisthecurrenttypeofvirusprotectionfornetworks,theauthorofthisvirusandnetwork-basedcomputernetworksecurityarediscussed.
Keywords:network-typevirus;Computernetwork;trojanhorses;Firewall;worms
自从二十世纪八十年代初期开始,计算机的病毒开始了在极其大的范围内进行流行,直到今天,在短短的二十几年的时间内,计算机病毒的危害程度、传播范围、传播速度、数量以及种类等等都有了很大程度的增加。在2003年,瑞星公司了《电脑病毒与反病毒态势综述》,该综述中表示,我国国内的计算机病毒疫情一直呈现出多元化的趋势,并且一直沿袭这这一趋势进行快速的发展。其中,网络型病毒的发展速度可谓迅猛,在所有种类的病毒中占有着主要的地位和比例,他们主要通过漏洞、邮件以及网页等等网络手段和形式进行自身的传播工作,网络型病毒已经占到了全部病毒总数中百分之六十八。下面,笔者就对网络型病毒与计算机网络安全进行浅谈。
一、网络型病毒特点
网络型病毒和计算机病毒在某些方面存在着共同性,这些方面主要包括:破坏性、隐蔽性、可执行性以及可传播性,除此之外,网络型病毒还具有激发潜在性、激发攻击性、破坏性大、难以彻底清除、传播形式多样复杂、扩散面广以及感染速度快等特点。下面,笔者就对这些特点进行简要的分析。
(一)网络型病毒特点之感染力强破坏性大。众所周知,在一般情况下,网络型病毒都是利用互联网所具有的开放性,并且对于通信协议和软件系统存在的特定缺陷,对网络通讯以及网络上面各种资源进行攻击,网络型病毒已经成为了对网络安全产生危害和威胁最为重要的原因之一。网络上一旦将漏洞技术的细节公布,那么就很可能被网络病毒进行利用,网络型病毒会将其利用,从而进行大规模传播,并且从漏洞公布到漏洞利用的过程中,病毒现身所需要的时间也越来越短。
(二)网络型病毒特点之攻击和寄生具有多样性。由于病毒寄生宿主的范围比较广泛,病毒可能会寄生在aSp、HtmL等多种文件之中,还可能在邮件中进行隐藏,更有甚者不会对任何对象进行感染,仅仅是在源宿主中进行存在,但是,病毒可以通过进行网络传播的途径,对计算机缓冲区、数据、服务以及端口进行攻击指令,因此,网络型病毒的范围、检测难度很大。
(三)网络型病毒特点之传播速度快途径多。伴随着网络、计算机等等新技术不断发展,病毒的传播方式不再是单纯的将存储的介质作为传播的主要载体,而是将互联网作为进行计算机病毒传播主要的载体。病毒主要通过漏洞、BBS论坛、Ftp下载、iRC聊天、网页等网络的手段来进行传播。在2001年的8月红色代码二代病毒和2000年的11月红色代码病毒不管是在对互联网危害以及流行广度都是史无前例的,据估计,网络型病毒所造成损失至少也达到了二十亿美元。
二、网络型病毒与计算机网络安全之种类和传播方式
(一)网络型病毒分类。网络型病毒主要分为特洛伊木马、蠕虫病毒以及脚本病毒这三种,其中,特洛伊木马属于基于远程控制的一种工具,特洛伊木马运行模式主要属于服务、客户的模式,主要包括服务端和客户端这两大部分;而蠕虫病毒就是指一种能够通过网络来进行自我传播和复制的病毒,主要通过网络分布来进行特定错误或信息的传播,进而能够造成网络的服务器被拒绝并且发生了生死锁,蠕虫病毒的破坏力极强,蠕虫病毒不仅仅能够导致受到感染的计算机危害,对于那些没有受到感染的计算机,还会通过进行自动更新和定位的功能,将网络中的一些计算机进行检测,从而将自身进行的一个程序段或者一个拷贝对目标机器进行发送和自我的复制工作,将网络宽带的资源进行迅速的消耗,从而使这些计算机不能够进行互联网的良好使用;在网络型病毒中,脚本病毒自身的语言功能很强大,脚本病毒直接对计算机系统组件进行调用,并且对系统操作凭条或者软件操作平台等等安全漏洞进行利用。
(二)网络型病毒传播的方式。网络型的病毒在通常情况下都是可以进行直接的解释和执行的,这也就使得网络型病毒的感染极其简单,网络型病毒良好的感染途径主要包括iRC感染、文件传输、局域网共享、网页以及电子邮件等等。特别是网页传播和电子邮件传播,那些通过电子邮件进行传播的病毒,其病毒体隐藏在哪个邮件的附件中,我们只要对其附件进行执行,其病毒就很可能进行发作。有些种类的病毒通过邮件传播,这些病毒甚至都没有附件,其病毒体只要藏在邮件之中,人们对邮件进行预览或者打开,都会招来麻烦。
三、网络型病毒与计算机网络安全之防治措施
进行网络型病毒的防治,要求我们首先要从网络型病毒管理措施方面着手,对数据备份、软件更新、病毒防治软件以及防火墙技术进行结合,采取一定的技术措施。
在网络型病毒的管理措施方面,我们必须要对病毒状态进行及时的掌握,并且在第一时间进行防毒软件的升级和更新,进行可行的、严格的操作规程制定工作,树立起网络型病毒的防范意识。就当前计算机的病毒疫情、黑客以及病毒发展的趋势表面光,过去传统的、单一反病毒的软件已经完全不能够满足当前信息时代下客户安全的需求。这就要求我们进行将数据拯救、漏洞修复、防黑客以及防病毒等功能集于一身的具有整体性的安全系统,当前形势下将杀毒软件和防火墙进行有效的使用和结合已经成为了我们必须要进行的安全措施之一。作为一种已经被人们进行广泛采用的安全性技术,其作用是极其重要的,防火墙在因特网和网络之间建立了一种安全网关,安全网关通过更改、限制和检测数据流,对外部的网络进行了一定的屏蔽,从而达到了对来自外部的网络型病毒的攻击进行了抵御,从而起到了对各类病毒入侵进行防止,并且对内部网络的资源进行保护这一重要的目的。我们对防火墙技术进行应用,已经成为了当前计算机网络安全的重要措施。
参考文献:
[1]孟晓蓓.基于SuperStackⅢ的计算机实验室网络系统的设计[J].湖南师范大学自然科学学报,2009,3
网络蠕虫的传播途径篇6
关键词高校网络病毒防控
中图分类号:tp393.08文献标识码:a
1计算机病毒的分类
根据科学的,系统的,严密的方法来对计算机病毒进行划分,计算机病毒可以分为文件型病毒,引导型病毒和网络病毒。文件型病毒通过篡改,删除源文件,使文件受到感染,并迅速传播扩散。引导型病毒通过侵占引导区的物理位置,抢夺控制权,迫使引导区内容迁移,感染破坏系统。网络病毒则会感染计算机网络,瘫痪服务器,使交换机或路由器产生故障甚至坏死。除此之外,还有一种病毒,它包含了以上三种病毒的功能,是一种混合型的病毒,破坏力更大。现在出现的网络病毒多为混合型,因此,危害性也更强。①
2计算机网络病毒的含义
(1)计算机网络病毒是一种通过编译代码或指令,感染,破坏计算机网络的程序,脚本,图片或文件。它不是固有存在的,而是伴随计算机网络技术而产生的,这类病毒编写者往往都是利用计算机网络或者操作系统的漏洞,入侵网络系统的。一旦其进入网络系统内部,计算机网络病毒便会露出凶残的面目,大开杀戒。
(2)计算机网络病毒具有寄生性、传染性、潜伏性、隐蔽性、可触发性、破坏性。
a计算机病的的寄生性表现在,计算机病毒就像寄生虫一样,会以某台计算机中的一个或多个程序作为寄生场所,一旦程序开始启动时,病毒便被激活,并开始剧烈发作。
b它的传染性表现在,局域网内的一台计算机受到感染,其他计算机也会相继受到感染。
c同时计算机网络病毒具有潜伏性,有些病毒往往不在短时间内发作,它会一直潜伏,直到系统或网络瘫痪,才显现真容。
d计算机网络病毒具有很强的隐蔽性,往往进行了多次加壳处理。并且它经常以普通文件,图片,程序等面貌出现,很多杀毒软件都无法检测出来。
e计算机网络病毒还有一个可怕的特性,它是可以被触发的,就像触发式地雷,一旦碰触到导针或引线,便会引起爆炸。类比计算机网络病毒,某次鼠标的滑动,窗口的缩放,某个数值或符号的出现,都会导致病毒感染系统或进行针对性的攻击。
f当然,绝不能忽略的最重要一点,计算机网络病毒具有破坏性,它不但能够攻击程序,而且可以破坏网络上主机的硬盘分区,造成主机启动延滞或失灵,它能够迫使整个网络无法正常工作。②
除此之外,网络病毒就像我们生物学上熟知的细菌或孢子,能够不断地进行自我复制和分裂生长,具有超强的生殖和衍生特性,一个公共的实用工具如果包含了一个网络病毒,或者一个网络病毒被嵌入到了一个用于实用操作软件当中去,病毒便能够在极短的时间内传播扩散,感染整个网络。
计算机网络病毒比单机型的病毒所造成的危害更大,杀伤力也更变得更强,它不仅能够使有序运转的网络瞬间瘫痪,而且能够顷刻瓦解计算机系统保护屏障,删改计算机系统重要文件,损毁计算机系统的内存和计算机的硬盘等等。给用户或企业造成严重的经济或名誉损失。
3高校常见的网络病毒及防控
随着高校信息化建设进程的加快,校园网络的发展和延伸也以惊人的速度进行着,正当大家满心欢喜地享受着校园网络提供的高效、便捷的各项服务的时,校园网络中的病毒已经伸出魔爪,疯狂肆虐。在校园网络中传播的病毒,能够直接导致计算机的运行速度急剧下降、运算处理能力急剧减弱,系统资源消耗殆尽,系统空间也会被恶意侵占,它可以让畅通运行的网络瞬间瘫痪。因此对计算机网络病毒的防控需要我们马上行动起来,绝不能拖延。
据资料显示,在高校计算机网络中传播的三种主要病毒分别是aRp病毒,蠕虫病毒和黑客病毒。下文将分别介绍这三种病毒的定义,危害及防控方法。
3.1aRp病毒
aRp病毒实际上是一类病毒的总称。而不是单个的,某种病毒的称谓。它主要利用arp协议的漏洞进行传播和扩散。aRp协议全称是“addressResolutionprotocol”(地址解析协议)。在局域网中,我们把计算机网络中实际进行传输的,称为“帧”,帧里面包含有目标主机的物理地址。aRp是tCp/ip协议组的众多协议中的一个协议,主要用于把网络地址翻译成物理地址。严格的说aRp病毒可以划归为木马病毒的一种,不过,aRp病毒除了对网络通信的影响和破坏极大外,同时具有木马的特征和功能,程序,系统和文件造成严重破坏。
3.1.1aRp病毒危害
高校网络一旦感染了aRp病毒后,一般会出现以下几种症状:(1)校园网络通信异常,前期网速忽然变慢,后期网段时而中断时而连接;(2)网页浏览器会频繁出现错误,网页总是处于打不开的状态,或者只能打开一级页面,不能打开二级页面;(3)当计算机网络中断了一段时间以后,对计算机网络进行重新连接,或者使用360等其他软件修复网络,或者利用命令,进入mSDoS状态,在界面上输入arp-d,尝试清空aRp缓存表。这一做法,可以在短时间内内连通网络,之后又会出现网络中断的现象。并不能作为清理计算机病毒的长宜之计。
3.1.2aRp病毒原理
aRp病毒的花招很多,最致命的有两种。一种是利用非法代码对路由器进行不间断欺骗,另一种是利用非法代码对网关进行不间断欺骗。aRp利用代码对路由器进行欺骗的做法是,发送错误指令,截获网关的数据,随后把数以千万计的错误网卡物理地址发送给路由器,并始终重复这一过程,这样,真正的地址信息便不能够保存到路由器当中去,路由器便会把所有的信息发送到aRp病毒制造出来的虚假的物理地址,这样,路由器虽然处于一个正常工作的状态,而它包含的所有信息却发送给了一些并不存在的,虚假的物理地址。网络便不能够保持联通状态或者根本无法连接网络。
aRp病毒进行网关欺骗的原理和路由欺骗有点类似,它通过在校园网里面建立一个或多个假网关,使用户计算机被欺骗,源源不断地不断向假网关发送信息和数据,但始终无法得到信息反馈,那么即使计算机会提示网络连接正常,但仍然不能够上网。用户通过计算机上右侧菜单栏的网络图标,查看网络的运行状态,会发现,显示的只有发送的数据包的数量,却没有接收到的数据包的数量。
3.1.3aRp病毒防控方法
要对aRp病毒进行有效防控,需要多方共同努力,作为校园网的使用方,即高校的广大师生,一定要在连入校园网的计算机上安装aRp病毒防火墙,一些软件,如360安全卫士等都有防控计算机网络病毒的aRp病毒防火墙和网络病毒的专杀工具。及时地更新计算机系统的漏洞补丁,也可以有效防御aRp病毒。
作为校园网络管理方,一定要在高校内设置信息管理中心,抽调专人进行网络维护和管理,相关工作人员可以从三个方面来进行防控:(1)在校园内部实现虚拟网络的分段细化和有序管理,可以采取分区分段编号的形式,合理的分配ip地址。充分利用aRp病毒攻击的原理,采取智能断网措施,切断传播路径,将攻击范围尽量缩小,避免大范围攻击,(2)绑定核心计算机的用户主机的ip地址和网卡的物理地址,并在边缘交换机上把交换机端口和用户使用的网卡所在的物理地址进行绑定,使那些非法用户不能够轻易入侵网络,这样,可以有效抵御aRp病毒进行的网络攻击。(3)加强实时监控,对出现异常的计算机进行甄别处理,即时排查系统和网页漏洞,定期检测网络节点,进而从根本上解决aRp病毒对系统和网络的攻击。③
3.2蠕虫病毒
蠕虫病毒,它是一种利用计算机网络,进行传播的恶性病毒,它可以在系统与系统之间完成自我复制,,短时间内,网络中的每个节点都会被它占据。它的波及范围之广足令其他病毒俯首称臣。一旦网络中的一台计算机中毒,病毒会迅速控制其传输功能,计算机不能够进行传输,而且会不断向其他计算机发送错误指令和代码,随后便进行自我复制,使网络中的其他计算机相继中毒,网络瞬间便会瘫痪,无法运作。一般看来,e-maiL或者其包含的附件、一些聊天软件,如QQ,mSn等以及一些被植入病毒脚本的网页是蠕虫病毒传播的主要途径。
3.2.1蠕虫病毒的危害
蠕虫病毒一旦入侵计算机系统,其强大的复制和衍生机制可以在短时间内,复制生成多个病毒副本,这些副本往往具有强大的搜索功能,可以继续寻找下一个入侵目标。在此过程中,由于病毒施加的进程项目无限累积,系统性能会迅速下降,计算机运行效率急剧降低。一旦核心主机遭遇蠕虫病毒入侵,服务器就会死机或延滞,同时,随着网络流量几何级倍数的增长,校园网络将会很快崩溃。
除此之外,蠕虫病毒还具有预设后门的功能,如果清理病毒不够彻底,留下残留,它便能够利用这些后门继续进行传播,扩散,窃取用户资料,删改核心密码,给计算机系统和网络再次构成严重安全威胁。
3.2.2蠕虫病毒原理
蠕虫病毒的攻击,一般分为三个阶段,首先蠕虫病毒自带的搜索功能会扫描整个网络,
这主要是扫描模块负责的,一旦发现目标,即某个有漏洞的主机,它会自动反馈给攻击模块,攻击模块会直接攻击该主机,顺利获得该计算机的权限,为复制模块做好准备,在复制模块诡异作用下,新的计算机和原计算机完成了交互,新的计算机系统内的病毒被快速激活。又继续感染下一台计算机。蠕虫病毒作为贪婪的袭击者,不会罢手,它会不断重复这一过程,这样受感染的计算机将会越来越多,网络系统将会崩溃。
3.2.3蠕虫病毒防控方法
因此,要对蠕虫病毒进行防控,需要全方位出击,打好组合拳。④
作为校园网络最为薄弱的的出入口位置,最容易成为蠕虫病毒进行攻击的目标,对入口位置应该设置双重屏障,以防止非法用户或匿名者登录计算机。入侵,破坏网络系统。通常的做法是,加载用户信息识别认证和管理者身份验证系统。
在计算机网络的出口位置应该设置病毒防火墙,避免服务器感染蠕虫病毒或者其他计算机溢出的蠕虫病毒攻击系统和网络而造成的大面积网络中断或其他危害。
广大师生是使用校园网络的主体,应当做到科学,健康上网,自觉抵制不良网络。不下载,不传播不良信息。安装杀毒软件,定期对计算机进行体检和杀毒,并且始终确保防火墙处于开启状态,这样能够有效预防蠕虫病毒感染。
信息网络管理人员是校园网络的管理者,应该安装两套杀毒软件,一套用于单机状态下,一套用于网络开启状态下,而且应该及时更新病毒库,确保能够查杀新出现的蠕虫病毒,并且能够及时了解计算机客户端的感染情况,以便迅速采取措施。
信息网络管理人员还应该下载或研发软件对校园网络实施监控,一旦某台或某几台计算机出现异常,能够即时发现和快速处理。防止出现网络大面积崩塌及相似情形。
此外,利用软件进行漏洞检测以及即时下载更新补丁也是防控蠕虫病毒的重要手段。⑤
3.3黑客病毒
严格意义上来讲,它不属于我们熟知的任何一种病毒,包括“僵尸”代码,“蝗虫代码”等。据不完全统计,在过去的一年多里,“僵尸”光顾了全世界上千家企业,受感染的计算机超过7万台。这种病毒操纵计算机,将这些计算机连接成骇人听闻的巨大的网络,从中窃取了大量重要商业和政治秘密。
而“蝗虫”则采用集群作战的方式,利用下载器,将木马和病毒下载到用户计算机上,使计算机系统和网络瘫痪或坏死,计算机硬盘和内存受到不同程度的损伤。一旦这两种病毒入侵校园网络,后果将不堪设想。
因此,对于这些病毒,我们应该加强网络的防护,设置多层屏障:安装杀毒软件,开启防火墙,即时更新病毒数据库,加强网络和系统的监测,出现异常,及时处理或反馈。保持良好的软件和优盘使用习惯,不浏览陌生邮件,不下载可疑信息或资源。这样能够有效地对病毒进行防控。除此之外,定期对计算机进行清理和评估,也能够降低感染病毒的风险。⑥
4总结
总之,加强高校计算机网络病毒的防控已成为当务之急,本文浅要介绍了计算机网络病毒的含义,发作原理和一些基本的防控方法,希望能够给爱好计算机的读者以启发。
注释
①郭冠洲.浅析计算机病毒的含义与特征及其防治方法[J].电脑知识与技术,2010,5:61.
②王晨霞.关于高校实验室计算机病毒预防及解决对策的分析研究[J].太原师范学院报(社会科学版),2011,9:172.
③乔隽.浅析高校校园网常见病毒[J].电子世界,2012,4:129.
④梁华勇.高校计算机网络病毒防治技术的研究[J].科技创业月刊,2010,8:165.
网络蠕虫的传播途径篇7
一、计算机病毒的特点、分类
计算机病毒是指在计算机程序中编制或插入破坏计算机功能和数据,能够影响计算机的使用并拥有自我复制功能的一组计算机指令或者程序代码。它具有传染性、复制性和破坏性。它潜伏在计算机的存储设备里,等达到一定的外部条件时就会激活,复制自身到其他程序中,感染其他文件,破坏计算机资源。当前计算机病毒按照感染对象可以分为:
(1)引导型病毒。引导型病毒攻击计算机磁盘的引导区,获得启动优先权,从而控制整个系统。由于此类病毒感染的是磁盘引导区,因此,可能会造成系统无法引导,计算机无法正常启动。不过由于这类病毒出现较早,现在的杀毒软件都已能够查杀此类病毒,像360、金山、卡巴斯基、诺顿等。
(2)文件型病毒。此类病毒一般感染计算机里的可执行文件。当用户执行可执行文件时,病毒程序同时被激活。近年来出现的感染系统的sys、dll、ovl文件的病毒,就是文件型病毒。由于被感染的文件大都是某些程序的配置和链接文件,当这些文件被执行时,这些病毒文件也随之被加载了,它们可以将自身整个地或者分散地插入到文件的空白字节中,并不见文件的字节数增加,提高了病毒的隐蔽性。
(3)网络型病毒。网络型病毒是近十年来互联网高速发展的产物,它的感染对象和攻击传播方式不再单一、单调,而是逐渐变得复杂、综合、隐蔽。当前出现的网络型病毒类型按攻击手段分为木马病毒和蠕虫病毒,按照传播途径分为邮件病毒和漏洞型病毒。
木马病毒。木马病毒是一种后门程序,主要包括客户端和服务器两个部分。一般被当作黑客工具。黑客常在用户不知情的情况下,盗取用户资料。虽然木马程序不具备自我复制的能力,但是,一旦用户运行木马,那么黑客就有了整个机器的掌控权。
蠕虫病毒。蠕虫病毒可以通过miRC脚本和Htm文件进行传播,它在感染了用户的计算机后,会自动寻找本地和网络驱动器,查找目录,搜索可感染的文件,然后用病毒代码覆盖原来的用户文件,将文件的扩展名改为“vbs.”。蠕虫病毒的传播依赖主机和网络的运行,不需要依赖修改主机其他文件,因此,一旦蠕虫病毒传播开来,很容易使整个系统瘫痪。另外,对此病毒的查杀也会非常困难,只要网络里有一台主机上没有清除干净,那么,此病毒就会死灰复燃。
邮件病毒。所谓邮件病毒其实就是一般的病毒,只是这些病毒通过邮件的形式来传播。比较有名的电子邮件病毒有求职信病毒、loveyou病毒、库尔尼科娃病毒等。它们一般利用微软公司的outlook客户端的可编程特性,通过客户打开邮件,而自动向客户通讯录里的用户发送带有附件的病毒邮件,因此,其传播速度是非常快的,可能导致邮件服务器因耗尽自身资源而无法运行。
(4)复合型病毒。复合型病毒是对以上三种病毒的综合,其感染对象既可以是系统的引导区,也可以是可执行文件。若查杀不彻底,复合型病毒很容易死灰复燃。因此,查杀这类病毒难度较大,杀毒软件至少要有“引导型”“文件型”两类病毒的查杀能力。
从以上我们看到,似乎复合型病毒具有最大的破坏性。但其实,它的破坏性大部分继承自网络型病毒。
二、如何维护网络安全
(1)及时更新系统补丁,保证系统稳固。很多病毒都是利用操作系统的缺陷对用户的电脑进行感染和攻击的,因此,及时给系统打补丁,保证操作系统的安全性。另外,尽量关掉不用的机器端口,以防被病毒或者恶意软件利用。
(2)建立防火墙。在内网与外网的接口处安装防火墙可以有效保护计算机网络安全,它将内网与外网隔离开来,大大提高网络的安全性。黑客要想接触用户的计算机首先应攻破计算机的防火墙的防线。用户可以根据自身需要来选择不同的保护级别。
网络蠕虫的传播途径篇8
关键词:网络病毒安全维护中图分类号:G250文献标识码:a文章编号:
目前,国际互联网和网络应用正以飞快的速度不断发展,网络应用日益普及并更加复杂,网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂,网络病毒的发展也同样迅速,使网络安全防御更加困难。
一、网络安全面临的威胁计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁,归结起来,主要有以下几点:
1.计算机病毒计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有寄生性、传染性、破坏性、潜伏性和可触发性等特点。
2.特洛伊木马特洛伊木马是一种恶意程序,在用户毫无察觉的情况下,让攻击者获得远程访问和控制系统的权限。大多数特洛伊木马都模仿一些正规的远程控制软件的功能,安装和操作都是在隐蔽之中完成的。
3.拒绝服务攻击DoS是DenialofService的简称,即拒绝服务。造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
4.逻辑炸弹逻辑炸弹是指对计算机程序进行修改,使之在某种特定条件下触发,按某种特殊的方式运行。在不具备触发条件的情况下,系统运行情况良好,用户也感觉不到异常之处。但触发条件一旦被满足,逻辑炸弹可以严重破坏计算机里存储的重要数据等严重后果。
5.内部、外部泄密由于黑客的目的一般都是窃取机密数据或破坏系统运行,外部黑客也可能入侵web或其他文件服务器删除或篡改数据,致使系统瘫痪甚至完全崩溃。外部入侵又分外部网络入侵和外部实体入侵。内部信息泄密是指单位内部的工作人员,在工作过程中无意识地泄露单位机密,或者利用职务之便有意窃取单位机密。
6.黑客攻击黑客攻击是黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。
7.软件漏洞软件漏洞是软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如C家族比java效率高但漏洞也多,电脑系统几乎就是用C编的,所以常常要打补丁。
二、计算机病毒
1.网络病毒类型网络病毒从类型上可分为两种:木马病毒、蠕虫病毒。木马病毒源自古希腊特洛伊战争中著名的“木马计”,是一种伪装潜伏的网络病毒,它一旦发作,就可能把用户的隐私泄漏出去。蠕虫病毒是利用网络进行复制和传播,主要通过网络和电子邮件等途径传染。蠕虫病毒是自包含的程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中。
2.网络病毒传播途径
(1)通过电子邮件传播病毒。常见的电子邮件病毒通过e-mail上报、Ftp上传、web提交都会导致网络病毒传播。
(2)通过mSn、QQ等即时通信软件传播病毒。打开或下载不明可执行程序可能导致网络病毒进入计算机。
(3)通过网页传播病毒。网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HtmL超文本标记语言内程序,强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源为行为目标的非法恶意程序。
三、网络安全的维护
1.明确网络安全目标从技术角度来说,网络信息安全的目标主要表现在系统的身份真实性、信息机密性、信息完整性、服务可用性、不可否认性、系统可控性、系统易用性、可审查性等方面。
2.采用相应网络安全技术加强安全防范
(1)利用虚拟网络技术,防止基于网络监听的入侵手段。
(2)利用防火墙技术保护网络免遭黑客袭击。
(3)采用Vpn技术。将利用公共网络实现的私用网络称为虚拟私用网Vpn。
(4)利用入侵检测技术提供实时的入侵检测及采取相应的防护手段。
(5)安全扫描技术为发现网络安全漏洞提供了强大的支持。
网络蠕虫的传播途径篇9
1.密码破解工具:50万种组合,懒人密码一一破解
网络上存在的密码破解工具,其目的通常用于破解应用程序,以便非法使用,大部分的密码破解程序,会内建一长串的密码和使用者名称,不断地测试直到成功为止。据说某些黑客工具,内含50万个可能的组合,一个由小写字母组成的4个字密码,可以在几分钟内被破解。
在大陆,QQ网友占im使用者大部分。一个由当地自产的QQ密码破解器Keymake,号称可以让忘记密码或嫌输入QQ密码过于麻烦的人,让注册码直接显示在屏幕上,登录时无需输入密码。不过笔者认为,如果遭到居心不良的人利用,那就后果严重了。
2."网络连线出现问题,请重新登录":小心是病毒假信息
我们也发现,专门偷密码的病毒也为数不少。如BKDR_VB.DD这个后门程序一旦被执行,它会跳出一个假冒的对话框,谎称网络连线出现问题,导致mSn离线,要求使用者登录输入使用者名称及密码,以恢复连线。一旦不疑有他输入帐号及密码,黑客即可能取得你的帐号密码,可能冒用你的名义,跟你的网友聊天。
3.间谍软件监听:第三者悄悄听,秘密全暴露
间谍软件中也有不少会监听mSn。以SpYw_mSnmon.260为例,它会拦截mSnmessenger封包,然后针对特定对象或网络加以监听mSn对谈。另一只间谍软件SpYw_aCtKLoG.260除了监控网络使用行为外,并会侧录键盘,包含你输入的im密码,都会透过email传送给幕后主脑。
4.扫描RegistrySubkeys:暗中收集密码,传送特定email
VBS_pSwniKana.a病毒会远端收即使用者资料,并会搜寻registry窃取包含aoL、mSn在内的帐号和密码。利用pHpscript传送给有心人士。此外,该病毒也会觊觎paltalk线上传讯软件密码及线上游戏Half-Life、CounterStrike的序号。
网络蠕虫的传播途径篇10
1计算机网络病毒的特点及危害
在计算机病毒刚出现时,人们对计算机病毒的认识不够,防范意识不强,还没来得及深刻认识它的作用,它就已经开始大量传播,肆意横行了。刚开始的计算机病毒只是在单机中传播,而如今随着计算机网络应用的日益普及,计算机病毒凭借互联网迅速的传播、繁殖,其速度和危害性已引起越来越多人的重视。目前,在网络信息安全领域,计算机病毒特别是网络病毒已经成为一种有效的攻击手段。
1.1计算机病毒的概念
计算机病毒是根据计算机软、硬件所固有的弱点,编制出的具有特殊功能的程序。
电脑病毒最初的历史,可以追溯至一九八二年,RichSkerta撰写了一个名为:“elkCloner”的电脑程序,到现在已经发现的计算机病毒近七十万个,极大地威胁着计算机信息安全。从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》,在其中第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.2计算机病毒的特点
1)传染性
这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
2)隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
3)潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
4)破坏性(表现性)
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
5)不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
6)触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
触发的条件有以下几种。
?以时间作为触发条件。计算机病毒程序读取系统内部时钟,当满足设计的时间时,开始启发。
?以计数器作为触发条件。计算机病毒程序内部设定一个计数单元,当满足设计者的特定值时就发作。
?以特定字符作为触发条件。当敲入某些特定字符时即发作。
?组合触发条件。综合以上几个条件作为计算机病毒的触发条件。
7)针对性
有一定的环境要求,并不一定对任何系统都能感染。
8)寄生性(依附性)
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
1.3计算机病毒的分类
计算机病毒的分类方法有许多种,所以,同一种病毒可能有多重不同的分法。
1.3.1基于破坏程度分类
基于破坏程度分类是最流行、最科学的分类方法之一,按照此种分类方法,病毒可以分为良性病毒和恶性病毒。
1)良性病毒
良性病毒是指其中不含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停的进行扩散,会使计算机程序工作异常,但不会破坏计算机内的数据。
良性病毒取得系统控制权后,会导致整个系统运行效率降低,可用内存容量减少,某些应用程序不能运行,还与操作系统和应用程序争抢CpU的控制权,有时还会导致整个系统死锁。常见的良性病毒有“小球”病毒、“台湾一号”、“维也纳”、“巴基斯坦”病毒等。
2)恶性病毒
恶性病毒在其代码中包含有破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。恶性病毒感染后一般没有异常表现,会将自己隐藏的很深,但是一旦发作,就会破坏计算机数据、删除文件,有的甚至会对硬盘进行格式化,造成整个计算机瘫痪,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将难以挽回。
这种病毒很多,如“黑色星期五”病毒,“CiH系统毁灭者”病毒等。
1.3.2基于传染方式分类
按照传染方式不同,病毒可分为引导型病毒、文件型病毒和混合型病毒三种。
1)引导型病毒
引导型病毒是指开机启动时,病毒在DoS的引导过程中被载入内存,它先于操作系统运行,所依靠的环境是BioS中断服务程序。引导区是磁盘的一部分,它在开机启动时控制计算机系统。引导型病毒正是利用了操作系统的引导区位置固定,且控制权的转交方式以物理地址为依据,而不是以引导区内容为依据这一特点,将真正的引导区内容进行转移或替换,待病毒程序被执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中等待传染和发作。
引导型病毒按其寄生对象的不同,又可分为主引导区病毒和引导区病毒。主引导区病毒又称分区病毒,此病毒寄生在硬盘分区主引导程序所占据的硬盘0磁头0柱面第1个扇区中。引导区病毒是将病毒寄生在硬盘逻辑0扇区或移动存储器的0扇区。
2)文件型病毒
文件型病毒存放在可执行文件的头部或尾部。目前绝大多数的病毒都属于文件型病毒。
文件型病毒将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,引入内存,并占领CpU得到控制权。病毒会在磁盘中寻找未被感染的可执行文件,将自身放入其首部或尾部,并修改文件的长度使病毒程序合法化,它还能修改该程序,使该文件执行前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处,这样就使该执行文件成为新的病毒源。已感染病毒的文件执行速度会减缓,甚至会完全无法执行,有些文件遭感染后,一执行就会被删除。
文件型病毒按照传染方式的不同,又分为非常驻型、常驻型和隐形3钟。
?非常驻型病毒:非常驻型病毒将自己寄生在.com、.exe或是.sys文件中,当执行感染病毒的程序时,该病毒就会传染给其他文件。
?常驻型病毒:常驻型病毒躲藏在内存中,会对计算机造成更大的伤害,一旦它进入内存中,只要文件被执行,就会迅速感染其他文件。
?隐形文件型病毒:把自己植入操作系统里,当程序向操作系统要求中断服务时,它就会感染这个程序,而且没有任何表现。
另外,需要注意的一点是,随着微软公司的word字处理软件的广泛使用以及internet的推广普及,又出现了一种新病毒,这就是宏病毒。宏病毒应该算是文件型病毒的一种。宏病毒已占目前全部病毒数量的80%以上,它是发展最快的病毒,而且宏病毒可以衍生出各种变种病毒。
3)混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
1.3.3基于算法分类
按照病毒特有的算法,可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。
1)伴随型病毒
伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DoS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2)蠕虫型病毒
蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。
3)寄生型病毒
除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。
?练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。
?诡秘型病毒一般不直接修改DoS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DoS内部修改,由于该病毒使用比较高级的技术,所以不易清除。
?变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。
1.3.4基于链接方式分类
按照病毒的链接方式,可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。
1)源码型病毒
源码型病毒攻击的目标是源程序。在源程序编译之前,将病毒代码插入源程序,编译后,病毒变成合法程序的一部分,成为以合法身份存在的非法程序。源码型病毒比较少见,在编写时要求源码病毒所用语言必须与被攻击源码程序语言相同。
2)入侵型病毒
入侵型病毒可用自身代替宿主程序中的部分模块或堆栈区,因此这类病毒只攻击某些特定程序,针对性强,而且该病毒一旦入侵程序体后很难消除。
3)外壳型病毒
外壳型病毒将其自身附在宿主程序的头部或尾部,相当于给宿主程序增加了一个外壳,但对宿主程序不做修改。这种病毒最为常见,易于编写,也易于被发现,通过测试文件的大小即可发现。大部分的文件型病毒都属于这一类。
4)操作系统型病毒
操作系统型病毒用它自己的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒运行时,用自己的逻辑部分取代操作系统的合法程序模块,对操作系统进行破坏。
1.3.5基于传播的媒介分类
按照病毒传播的媒介,可以分为网络病毒和单机病毒两种。
?网络病毒通过计算机网络传播感染网络中的可执行文件。这种病毒的传染能力强、破坏力大。
?单机型病毒的载体是磁盘,常见的是病毒从移动存储介质传入硬盘,感染系统,然后再传染其他接入本机的移动存储介质,再由移动存储介质传染给其他系统。
1.3.6基于攻击的系统分类
按照计算机病毒攻击的系统,可以分为攻击DoS系统的病毒、攻击windows系统的病毒、攻击UniX系统的病毒和攻击oS/2系统的病毒。
?攻击DoS系统的病毒,这类病毒出现最早、数量最大、变种也最多,以前计算机病毒基本上都是这类病毒。
?攻击windows系统的病毒,windows因其图形用户界面和多任务操作系统而深受用户的欢迎,windows逐渐取代DoS,从而成为病毒攻击的主要对象。
?攻击UniX系统的病毒,UniX系统应用非常广泛,尤其许多大型的操作系统均采用UniX作为主要的操作系统,所以UniX病毒的出现,对信息处理也是一个严重的威胁。
?攻击oS/2系统的病毒,世界上已经有了攻击oS/2系统的病毒。
1.3.7基于激活的时间分类
按照病毒激活的时间,可分为定时病毒和随机病毒。
定时病毒仅在某一特定时间才发作;随机病毒一般不是由时钟来激活的。
1.4计算机网络病毒的概念
1.4.1计算机网络病毒的概念
传统的网络病毒是指利用网络进行传播的一类病毒的总称。然而严格的说,网络病毒是以网络为平台,能在网络中传播、复制及破坏的计算机病毒,例如像网络蠕虫病毒这些威胁到计算机,及计算机网络正常运行和安全的病毒才可以算作计算机网络病毒。计算机网络病毒专门使用网络协议(如tCp/ip、Ftp、UDp、Http、Smtp和pop3等)来进行传播,它们通常不修改系统文件或硬盘的引导区,而是感染客户计算机的内存,强制这些计算机向网络发送大量信息,导致网络速度下降甚至完全瘫痪。
1.4.2计算机网络病毒的传播方式
internet技术的进步同样给许多恶毒的网络攻击者提供了一条便捷的攻击路径,他们利用网络来传播病毒,其破坏性和隐蔽性更强。
一般来说,计算机网络的基本构成包括网络服务器和网络节点(包括有盘工作站、无盘工作站和远程工作站)。病毒在网络环境下的传播,实际上是按“工作站——服务器——工作站”的方式循环传播。具体说,其传播方式有以下几种。
?病毒直接从有盘工作站复制到服务器中。
?病毒先感染工作站,在工作站内存驻留,等运行网络盘内程序时再感染服务器。
?病毒先感染工作站,在工作站内存驻留,当病毒运行时通过映像路径感染到服务器。
?如果远程工作站被病毒侵入,病毒也可以通过通信中数据的交换进入网络服务器。
计算机网络病毒的传播和攻击主要通过两个途径,用户邮件和系统漏洞。所以,一方面网络用户要加强自身的网络意识,对陌生的电子邮件和网络提高警惕;另一方面操作系统要及时进行系统升级,以加强病毒的防范能力。
1.5计算机网络病毒的特点
从计算机网络病毒的传播方式可以看出,计算机网络病毒除具有一般病毒的特点外,还有以下新的特点。
1.5.1传染方式多
病毒入侵网络系统的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。但病毒传染方式比较复杂,通常有以下几种:
?引导型病毒对工作站或服务器的硬盘分区表或DoS引导区进行传染。
?通过在有盘工作站上执行带毒程序,而传染服务器映射盘上的文件。
?病毒通过工作站的复制操作进入服务器,进而在网上传播。
?利用多任务可加载模块进行传染。
?若novell服务器的DoS分区程序Server.exe已被病毒感染,则文件服务器系统有可能被感染。
1.5.2传播速度快
网络病毒可以通过网络通信机制,借助于高速电缆迅速扩散。
1.5.3清除难度大
再顽固的单机病毒也可以通过删除带毒文件、格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未消毒干净,就可使整个网络重新被病毒感染,即使刚刚完成杀毒工作的一台工作站也有可能被网上另一台工作站的带毒程序所传染。因此,仅对工作站进行杀毒并不能彻底解决网络病毒问题。
1.5.4扩散面广
网络病毒不但能迅速感染局域网内所有计算机,还能通过远程工作站将病毒在瞬间传播到千里之外。
1.5.5破坏性大
网络病毒轻则降低网络速度,影响工作效率,重则造成网络瘫痪,破坏服务器系统资源,使众多工作毁于一旦。
1.6计算机网络病毒的分类
计算机网络病毒的发展相当迅速,目前主要的网络病毒有以下几种。
1.6.1网络木马病毒(trojan)
网络木马病毒会把自己伪装成正常程序,当用户触发时,会将收集到的信息通过网络泄露出去。