蠕虫病毒的特征与防治

《蠕虫病毒的特征与防治》由会员分享，可在线阅读，更多相关《蠕虫病毒的特征与防治（25页珍藏版）》请在装配图网上搜索。

1、蠕虫病毒的特征与防治作者:日期：研究生课程论文（ 2 0 0 8-2 0 0 9学年第二学期） ?蠕虫病毒的特征与防治摘要随着网络的发展，以网络传播的蠕虫病毒利用网络全球互联的优势和计算 机系统及网络系统安全性上的漏洞，己经成为计算机系统安全的一大的威胁。采 用网络传播的蠕虫病毒与传统的计算机病毒在很多方面都有许多不同的新特点。 本文对蠕虫病毒的特征和防御策略进行了研究，透彻分析了几个流行的蠕虫病毒 的本质特征和传播手段，并提出了防治未知病毒以及变形病毒的解决方案与虚拟 机相结合的基于攻击行为的着色判决PN机蠕虫检测方法。关键词：蠕虫，病毒特征，病毒防治 ?1引言“蠕虫”这个生物学名词于1 9

2、82年由Xerox PARC的John F. Sho“可以eh等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本的特征从一台计算机移动到另一台计算机”和“可以自我复制”。最初，他们编写蠕虫 的目的是做分布式计算的模型试验。198 8年M o rris蠕虫爆发后,Eugene H. Sp af f。rd为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义。“计算机蠕虫可 以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。”计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致，导致二者之间是非常难区分的。近年来，越来越多的病毒采取了蠕虫技术来达到其 在网络上迅速感染

3、的目的。因而，“蠕虫”本身只是“计算机病毒”利用的一种 技术手段1 o2蠕虫病毒的特征及传播1、一般特征：(1)独立个体，单独运行；(2 )大部分利用操作系统和应用程序的漏洞主动进行攻击； 传播方式多样；(4)造成网络拥塞，消耗系统资源；(5)制作技术与传统的病毒不同，与黑客技术相结合。2、病毒与蠕虫的区别(l)存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在； 传染机制方面病毒利用宿主程序的运行，而蠕虫利用系统存在的漏洞； (3)传染目标病毒针对本地文件，而蠕虫针对网络上的其他计算机；(4)防治病毒是将其从宿主文件中删除，而防治蠕虫是为系统打补丁。3、传播过程:(1)扫描：由蠕虫

4、的扫描功能模块负责探测存在漏洞的主机。 攻击：攻击模块按漏洞攻击步骤自动攻击步骤 1中找到的对象，取得该主机的 权限(一般为管理员权限)，获得一个shell。(3)现场处理：进入被感染的系统后，要做现场处理工作，现场处理部分工作主 要包括隐藏、信息搜集等等(4)复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启 动。每一个具体的蠕虫在实现这四个部分时会有不同的侧重，有的部分实现的相 当复杂，有的部分实现的则相当简略。尼姆达病毒是一个比较典型的病毒与蠕虫 技术相结合的蠕虫病毒，它几乎包括目前所有流行病毒的传播手段，并且可以攻 击W i n 9 8 /N T/20 0 0/X P等所

5、有的W indow s操作平台。该病毒有以下4种 传播方式：(1)通过E mail发送在客户端看不到的邮件附件程序 samp 1 e .exe,该部分利 用了微软的OE信件浏览器的漏洞；(2)通过网络共享的方式来传染给局域网络上的网络邻居,使用设置密码的共享 方式可以有效的防止该病毒的此种传播方式；(3)通过没有补丁的I I S服务器来传播，该传播往往是病毒屡杀不绝的原因， 该方式利用了微软I I S的U NICOD E漏洞；(4)通过感染普通白文件来传播，在这一点上和普通的病毒程序相同。4、蠕虫病毒的传播趋势目前的流行病毒越来越表现出以下三种传播趋势 ：1、通过邮件附件传播病毒，如M yd

6、o o m等邮件病毒；2、通过无口令或者弱口令共享传播病毒,如Nim d a、Net s key等；3、利用操作系统或者应用系统漏洞传播病毒，如冲击波蠕虫、震荡波蠕虫等。3目前流行的蠕虫病毒3.1 Myd o om邮件病毒Nov a rg/My doom. a蠕虫是2004年1月28日开始传入我国的一个通过邮 件传播的蠕虫。在全球所造成的直接经济损失至少达400亿美元，是2004年1月份十大病毒之首。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中 的附件。拒绝服务的方式是向网站的WEB服务发送大量G ET请求，在传播和攻击过程中，会占用大量系统资源，导致系统运行变慢。蠕虫还会在系统上留下

7、 后门，通过该后门，入侵者可以完全控制被感染的主机2。该蠕虫没有使用特别的技术和系统漏洞，之所以能造成如此大的危害，主要 还是由于人们防范意识的薄弱，和蠕虫本身传播速度较快的缘故。该蠕虫主要通 过电子邮件进行传播，它的邮件主题、正文和所带附件的文件名都是随机的，另外 它还会利用K azaa的共享网络来进行传播。病毒文件的图标和 win d ow s系统记 事本(NOTEPAD.EXE)图标非常相似，运行后会打开记事本程序，显示一些 乱码信息，其实病毒已经开始运行了。病毒会创建名为“ Swe b S i pcS m t x S O”的排斥体来判断系统是否己经被感染。蠕虫在系统中寻找所有可能包含邮

8、件地址的文件，包括地址簿文件、各种网 页文件等，从中提取邮件地址，作为发送的目标。病毒会避免包含以下信息的域 名：gov、mil、b o r 1 an bs d、examp 1 e等，病毒同样会避免包含以下信息 的电子邮件帐户：acco un、ca certific、i c rosoft、info、linux 等，当病毒检测到邮件地址中含有上述域名或帐户时则忽略该地址，不将其加入到发送地址链 表中W orm. Mydoom.a病毒主程序流程如图3-1所示，后门程序s himgapi .dll如图3 - 2所示：检测注册表HKLMF口 HKUCF是否创建互斥体失败成功创建临时随止毋讶E日不4F4

9、判断日期是否满足触发条打开注册表找到kazaa共享路径）并将创建无限循环扫描线程 扫描wab百件、IE临时 创建无限循环的发送 邮 件 线 程图3-1 Mydoom病毒主体流程图力口 载当系统为 Wni9X时，查询当前线程信息，根据此信息获得动态库路径，修改注册表键将创建后门端口并监每半秒检查一次注结图 3 -2 shi mgapi. dl 1 流程图M y do o m蠕虫病毒除造成了网络资源的浪费，阻塞网络，被攻击网站不能提供正常服务外，最大的危险在于安装了后门程序。该后门即 shimgapi. dll,通 过修改注册表，使自身随着EXPLORER的启动而运行，将自己加载到了资源 管理器的

10、进程空间中。后门监听31 27端口，如果该端口被占用，则递增，但不 大于3 198。后门提供了两个功能：(1)作为端口*发代理；(2)作为后门，接收上传程序并执行。当3 127端口收到连接之后，如果rec v的第一个字符是x04,转入端口转发 流程。若第二个字符是0x01，则取3、4两个字符作为目标端口，取第5 -8四个 字节作为目标IP地址，进行连接并和当前socket数据转发。r ecv的第一个字符 如果是x85,则转入执行命令流程。先接收四个字节，转成主机字节序后验证是否 是x133c9ea2,验证通过则创建临时文件接收数据，接收完毕运行该文件。也就是 说，只要我们把任意一个可执行文件的

11、头部，加上五个字符：x8 5 13 3 c9e a 2,作 为数据发送到感染了 Mydoom.a蠕虫机器的312 7端口，这个文件，就会在系统 上被执行，从而对被感染系统的安全造成了极大的威胁。Nimda蠕虫病毒在Nim d a蠕虫病毒出现以前，“蠕虫”技术一直是独立发展的。Nmi da病毒第一次将“蠕虫”技术和“计算机病毒”技术结合起来。从 Nim da的攻击 方式来看，Ni m d a蠕虫病毒只攻击微软的 Win X系列操作系统，它通过电子邮 件、网络临近共享文件、IE浏览器的内嵌M I ME类型自动执行漏洞、IIS服务 器文件目录遍历漏洞、C ode Red II和Sad mind/II

12、S蠕虫留下的后门共五种 方式进行传播，其中前三种方式是病毒传播方式。关于蠕虫病毒的分析 ，在很多文献网中都有提到，本文在这些文献的基础上，重点针对几种典型的蠕虫病毒在 技术实现上的特点进行分析，以期找到他们的一些共性。1 .被利用的系统漏洞描述(1 )微软IE异常处理MI ME头漏洞IE在处理MIME头中“ C o n ten t 2Type: 处指定的某些类型时存在问题, 攻击者可以利用这类缺陷在IE客户端执行任意命令。(2 ) Microsof t IIS Un iCode解码目录遍历漏洞微软I I S 4.0和I I S5. 0在U n i Cdoe字符解码的实现中存在一个安全漏 洞，导

13、致用户可以远程通过IIS执行任意命令。Micr o sof t IIS CGI文件名错误解码漏洞微软IIS4.0/5 .0在处理C GI程序文件名时存在一个安全漏洞，由于错误 地对文件名进行了两次解码，攻击者可能利用这个漏洞执行任意系统命令。(4 ) “Code Re d II”和Sad m i nd/ I I S蠕虫留下的后门程序。2 .传播方式(1 )邮件传播蠕虫会向被攻击者发送一封携带了蠕虫附件的邮件。这个邮件由两部分MIME类型的信息组成：第一部分的M I ME类型为“ tex t / h tm l，但却没有包 含文本，因此看起来是空的；第二部分的 MIME类型为“audio/x2w

14、a v”，但 它实际上携带的是一个名为“ Rea dme exe”的ba s e64编码的可执行附件。 利用了 “微软I E异常处理M IME头漏洞”安全漏洞，任何运行在x86平台下并 且使用微软IE 5 .5S P1或之前版本(IE5. 0 1sp 2除外)来显示HTML邮件的 邮件客户端软件，都将自动执行邮件附件。用户甚至只需打开或预览邮件即可使蠕虫被执行40被蠕虫攻击的目标邮件的地址从下列两个来源中获得：用户W eb C a che文件夹中的*.htm和* htm 1文件用户通过M API服务收至ij Email邮件的内容蠕虫在这些文件中搜索看起来像邮件地址的字符串，然后向这些地址发送一

15、 份包含蠕虫拷贝的邮件。N 1 m da蠕虫在W indows注册表中记录最后一批邮件发 送的时间，然后每十天重复搜索邮件地址并重新发送蠕虫邮件。(2)IIS WEB服务器传播蠕虫会利用两个IIS服务器的目录遍历漏洞和以前的一些IIS蠕虫(RdeCodeII和Sad mind/ I IS)留下的后门程序来进行传播。蠕虫按照下列几率来选择攻击目标的IP地址：5 0 %勺几率，在与本地IP地址前两字节相同的地址(B类网络)中选择一个2 5%勺几率，在与本地IP地址前一字节相同的地址(A类网络)中选择一 个2 5 %勺几率，随机选择IP地址。蠕虫首先会启动一个T FTP服务器，监听UDP/6 9端口

16、。在开启TFTP服 务器和确定攻击P1地址之后，Nimda就开始对这个IP地址进行扫描。首先，扫 描“RdeCodeII”留下的后门。由于被“ RedCodeIF攻击过的系统中的 Web虚 拟目录中会留下一个名为R oot.exe的后门程序，Nimda就首先扫描 /Sc r ipt s /ro o t .exe ，如果这个程序存在的话，Nimda蠕虫就企图通过它在系统上执行 命令。它执行类似下列命令来向其发送蠕虫代码：GET/scripts/ro ot.exe? /c+ t HTTP/1.0其中Localip是本主机的IP地址，这样就通过TFTP协议将本地的A d m in.d 1 l文件传播

17、过去，而这个 Adm i n. dll实际上就是蠕虫代码本身，只不过它在 这里是以*dll文件的形式存在。这样做的目的，就像前面所讲述的那样是为了利 用I IS的系统文件列表权限提升漏洞来提升蠕虫运行的权限。在将A dm i n.dl 1上传到目标主机上之后，蠕虫就会通过发送：GET/scri pt s/Admin.dll HTTP/1. 0的请求来运行蠕虫。此时，蠕虫是以系统管理员权限运行的。其次,如果在扫描/Scrip t s/root. e xe时没有成功，即目标机中没有“红色 代码I I”留下的后门程序，那么蠕虫程序会继续扫描目标上的Uni c ode漏洞以及二次解码漏洞，以期通过这两

18、个漏洞在系统上执行命令，如果发现其中某一个漏洞，蠕虫就会重复利用/scrip ts/roo t. exe所发送的T FTP命令来上传 Admin . dll,然后运行。A dmi n .d 1 l作为ISAP I程序运行后，会把自身拷贝到 Windows系统文件夹命名M m c.exe,然后以带参数方式运行“ Mmc.exe-qusery9bnow。这样就完成了通过IIS进行传播的过程。(3)文件共享传播。蠕虫访问共享网络资源，然后开始检测远程系统上的文件。如果发现一个*exe文件，它将蠕虫代码加到原来文件的前面，下次执行被感染文件时，将首先 执行蠕虫代码。它并不感染 w i nzi p32.

19、exe。如果发现*.doc文件，它将自己拷贝到*.doc文件所在目录下，改名为Rich e d32.dll ,并设置为隐藏、系统属性。由于 Microsoft word在打开该* .doc文件 时，会首先在当前目录寻找 R 1 ched32.dl l,这将首先运行蠕虫代码，这也会大 大增大远程用户的感染几率。它也会利用找到的文档文件的名字创建以*.em 1和.nws后缀的文件,这些文件也是带有蠕虫拷贝的 MIME编码的文件(4)通过网页进行传播。对于受感染的 WWW服务器，Nimda会修改其上的W WW网页文件,使得浏 览该网站的用户受其感染。当蠕虫通过Admin.d 11运行时，蠕虫生成的新

20、程序(Mmc.exe)会在整个硬盘中搜索后缀为：*. HTML, *APS, *. HTM,文件 名为：Default, I n dex,Ma i n,Re adme的文件。一旦发现了这样的文件，蠕 虫会在该目录下创建一个 Readme . eml文件，它是一个由两部分组成的 MIME 编码的文件，里面也包含了蠕虫拷贝。然后蠕虫会在找到的文件的末尾增加如下 Jav as crip t 代码:t ml window.open( readme.epnl ull,“resab 1 e=no, top =6000,1 e f t=6 0 0 0 ) 这样，其他用户如果使用浏览器浏览被修改的网页或者资源

21、管理 (打开了预 览功能)来浏览共享服务器上的Read me. m el文件时，利用IE浏览器异常处 理M I ME头漏洞，蠕虫就可以传播到新的客户端上。(5 )通过修改*.exe文件进行传播。前面几种传播方式都是通过网络方式进行的，也是Nimda最常用的传染方式，它还会像普通的病毒那样通过文件来进行传播。Nimda蠕虫首先选择感染*. exe文件，这样当通过软盘或局域网进行文件复制时，就会把蠕虫程序传播 到其它的机器上面。感染* exe文件的具体做法是：先查找注册表中HKEY LOCAL MACHINESOF TWAREMicr o so ftWi n d C urr e ntVers i

22、o nAPPPathS键的内容，这个键值存放了主机上的可执行文件名字，一旦找到 Ni mda就会以病毒的方式感染这些文件。把原来的* e xe文件作为资源存储在新的*exe文件当中，这样当运行新 的*. e xe文件时首先执行蠕虫程序，然后再调用原来的* . ex e文件来执行，这样 对于用户来说感觉上只是执行了原来的*ex e文件。还有一点，Nim d a如果发 现*.exe文件名为 Wi nzip32.ex e,则不进行感染。这样做可能是为了避免重要 程序WinZip无法运行导致系统崩溃。(6 )通过Word文档进行传播。因为修改*. e xe文件容易被杀毒软件检测到，所以Nimda还通过

23、替换 Word 程序的一个动态连接库文件来达到传播的目的。蠕虫程序首先把自身复制到 windows目录中命名为Riched20.dll。然后它会搜索本地的共享目录中包含 *.doc 文件的目录，一旦找到，就会把自身复制到目录中并命名为Rich ed20. dll,并将文件属性设置为隐藏和系统属性。由于Micro s oft word在打开该*doc文件时，会首先在当前目录寻找R 1 ch ed20.dl 1并加载，这样就会运行到蠕虫代码 了。不仅如此蠕虫还用找到的文档文件的名字加上.eml后缀来创建新文件，这些 文件也是带有蠕虫拷贝的M IME编码的文件。这样做会使得系统中出现大量.em 1文

24、件。(7)系统感染技术 HKEY蠕虫会检查注册表中的如下表项：L OC A L MA C HINESO F T WAREM i cro so ftWi n dowsCurr e n tVersi o nAPP Pa ths HKEY LO CAL MA C HINESOFTW A MicrosoftWin d C u rr e ntVersionExp 1 orerSh el 1 Folders然后感染所有找到的程序。蠕虫会将自身拷贝到w i ndwos Syst 6 m目录 中，命名为L o ad. e x e,并修改S ystem. i ni文件，将Sh e门 部分改为如下内 容：Shel

25、 1 = expl o rer. e xe load.exe - d o n t r u n old这样每次系统重启后都会运行蠕虫拷贝。它会用自身拷贝替换 Wi n d o w s 目录下的R i ched20.d 1 l,这样下次执行w or d时会自动执行这个蠕虫。如果蠕 虫是以R eadme .ex e文件名被执行，它会将自身拷贝到W indows临时目录中， 并使用随机文件名，例如tmp. e xe等。蠕虫在第一次执行时会寻找 Exp 1 orer 进程，将自己的进程注册为Explorer的一个远程线程。这样即使用户退出系统， 蠕虫仍然可以继续执行。(8)后门安装技术N1 m d a蠕

26、虫通过修改一些注册表项以降低系统安全性，同时也安装系统 后门。蠕虫会将所有驱动器设置成共享状态，它会编辑如下注册表项：HKEY_LOC A L_M ACHI NES o ftwar e Mi e roso ftW indows Cur r ent Vers io n N e two r kL a nMan C $ -Z$蠕虫会删除下列注册表项的所有子键以禁止共享安全性：HKLMSYSTE M Curren t Control S e t S e r vice s l a nharesSec uri t y蠕虫会修改下列注册表项：HKLMS o ft w a r e M icrosof t Wi

27、ndo w s C ur r ent V ers i o n E x p lo r Advan c e d调整Hi d de n,Showsu pe r Hidden和H i d e键值，使得使用资源管理器无 法显示隐藏文件。这可以保护蠕虫代码，以免其被发现。通过执行下列命令，蠕虫还激活了Guest用户，将其密码设置为空，并将其加入到 A d mini s trato r s 组中(对于 Wi n d o w s NT/2000/X P 用户):net use r g u est /addnetuser g u est/ a ctiven et use r g u e stn e t loca

28、l gr o up Adminis trato rs gu e s tnet local grou p G u ests gues t/ a dd通过执行下列命令，蠕虫将设置为完全共享：net sha r e c$ = c： 3.3冲击波病毒病毒的行为特征为现(1)病毒运行时会将自身复制为%sy st emdir%msblast.exe,%sy s temd i r%是一个变量，它指的是操作系统安 装目录中的系统目录，默认是：“c： w i n dow s s yste m”或“ Winn tsys t em32。病毒运行时会在系统中建立一个名为：“ B ILLY ”的互斥量，目的是病毒保证

29、在内存中只有一份病毒体，避免用户发现。(3)病毒运行时会在内存中建立一个名为：“msblas t . exe”的进程，该进程 就是活的病毒体。(4)病毒会修改注册表，在 HKE Y_LOC A L_M A CHIN E SOFTWARE Mi cro softWi n d ow s Curren tVersio nRun 中添加键值：“w ind o ws auto upd ate” = msbla s t .exe ，以便每次启动系统时，病毒都会运行。(5 )病毒体内隐藏有一段文本信息 :I just wan t to say LOVE YO U SAN ! ! Billy gates wh

30、y do you make t hi s possib 1 e? Sto p mak i ng money and your e your software!(6 )病毒会以20秒为间隔，每2 0秒检测一次网络状态，当网络可用时，病毒会 在本地的UDP/69端口上建立一个TFPT服务器，并启动一个攻击传播线程，不 断的随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地 址，以便就近攻击。(7)当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送数据。(8)当病毒攻击成功后，目标计算机便会监听的TCP/4444端口作为后门，并绑定cm d .exe。然后蠕虫会连接到这

31、个端口 ，发送TFTP下载信息，目标主机通 过TFTP下载病毒并运行病毒。(9)当病毒攻击失败时，可能会造成没有打补丁的 Wind。邢系统RC P服务崩溃， Win dowXPg统可能会自动重启计算机。(10)病毒检测到当前系统月份是8月之后或者日期是巧日之后，就会向微软的更新站点“windowsupdate .com”发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。从上面冲击波病毒的行为特征我们可以看出，冲击波病毒与其他两个病毒的 不同点在于其传播方式。冲击波病毒利用了 wi n dows系统的DCOM RPC缓冲 区漏洞攻击系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感

32、染，不需要用户的参与，而其他两种是通过邮件附件的方式，引诱用户点击执行。破坏性方面因病毒而异，病毒的执行、自启动方面三种病毒都相似。Remot e Proced u r e C a ll(RPC)是运用于 Windows操作系统上的一种协议。RPC提供相互 处理通信机制，允许运行该程序的计算机在一个远程系统上执行代码。R PC协议本身源于OSF (ope n So ftware Fou n da t ion) RPC协议，后来又另外增 加了一些M i crosso f t专用扩展功能。RPC中处理TCP/IP信息交换的模块由于 错误的处理畸形信息，导致存在缓冲区溢出漏洞，远程攻击者可利用此缺陷

33、以本地系统权限在系统上执行任意指令，如安装程序、查看或更改、删除数据或建立 系统管理员权限的帐户。据C ERT安全小组称，操作系统中超过 50 %的安全漏洞都是由内存溢出 引起的，其中大多数与微软技术有关，这些与内存溢出相关的安全漏洞正在被越 来越多的蠕虫病毒所利用。缓冲区溢出是指当计算机程序向缓冲区内填充的数据 位数超过缓冲区本身的容量时，溢出的数据就会覆盖在合法数据上，这些数据可 能是数值、下一条指令的指针，或者是其他程序的输出内容。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是如果输入的数据 是经过“黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑客”或者病

34、 毒的入侵程序代码，一旦多余字节被编译执行，“黑客”或者病毒就有可能为所 欲为，获取系统的控制权。溢出根源在于编程：缓冲区溢出是由编程错误引起的。如果缓冲区被写满， 而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。 因此防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检 查溢出情况，不允许数据溢出缓冲区。止匕外，用户需要经常登录操作系统和应用 程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。4蠕虫病毒的防治蠕虫病毒不同于一般的文件型病毒， 既表现出了强大的功能，也表现出了自 身的特点，变种多，功能相似，但当前反病毒厂商仍然利用传统的

35、病毒特征审查 毒法进行查毒。虽然随着病毒库的与日俱增，效率与日俱下，倒也还能满足目前 的反病毒要求，但琼斯病毒的出现，彻底宣判了单纯特征审查毒法的死刑，迫切 需要一种新式高效的查毒方法来应对琼斯这类变形蠕虫病毒。笔者总结了现有的 蠕虫病毒非特征用检测方法，并提出了自己的观点。4. 1 一般防治措施因为目前的蠕虫病毒越来越表现出三种传播趋势 ：邮件附件、无口令或者弱 口令共享、利用操作系统或者应用系统漏洞来传播病毒，所以防治蠕虫也应从这 三方面下手：(1)针对通过邮件附件传播的病毒：在邮件服务器上安装杀毒软件，对附件进行杀 毒:在客户端(主要是 ou tlook)限制访问附件中的特定扩展名的文件

36、，如. pi f、.vbs、.js、.exe等；用户不运行可疑邮件携带的附件。(2)针对弱口令共享传播的病毒：严格来说，通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会搜索网络上的开放共享并复制病毒文件，更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令，尤其是薄弱管理员口令。对于此类病毒，在安全策略上需要增加口令的强度策略，保证必要的长度和复 杂度；通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试，发现问题及时整改。(3 )针对通过系统漏洞传播的病毒：配置Window s Upda t e自动升级功能，使主 机能够及时安装系统补丁 ，防患于未然；定期通过漏洞扫描产品

37、查找主机存在的 漏洞，发现漏洞，及时升级；关注系统提供商、安全厂商的安全警告 ，如有问题， 则采取相应措施。(4 )重命名或删除命令解释器：如W i ndows系统下的W S c ri P t.exe;通过防火 墙禁止除服务端口外的其他端口 ，切断蠕虫的传播通道和通信通道。4. 2基于攻击行为的着色判决 NP机入侵检测系统模型基于攻击行为的着色判决NP机入侵检测系统模型是成都信息安全与国家计 算网格实验室刘培顺博士提出的，该模型利用P etr 1网理论结合人工智能技术建 立了适合攻击行为分析与检测的理论和方法Petr 1网是由C a r l Asam Petr i博士在1 962年提出的，它是

38、一种网状信 息流模型，包括条件和事件两类结点，在这两类结点的有向二分图的基础上添加 表示状态信息的托肯(token)分布，并按引发规则使得事件驱动状态演变，从而 反应系统动态运行过程。Petri网是对异步并发系统进行建模与分析的有力工具。 所谓判决N P机就是具有输入设输出集且行为表达式是一个定序并发表达式的 确定PN机。着色PN机就是为位置和变迁加上称为颜色的标识，这些标识带有数据值，从而可以相互区分不同的事件基于攻击行为的着色判决P N机入侵检测系统通过着色判决PN机对攻击 行为进行分析和建模，系统首先根据攻击实例表示成并发表达式，再转化为判决 PN机模型，然后使用机器学习的方法，通过对模

39、型进行归纳学习得到攻击行为 的概念空间，使得系统能够在某种程度上（基于同一弱点或相似行为的攻击）对付未知攻击模式，从而实现攻击知识库的更新和扩展。利用着色判决PN机的有色合成操作，可以对多个模型合一，从而解决多模式匹配问题，使得系统能够在模型增加的同时保持检测的高效率。蠕虫病毒与黑客入侵具有相似性，基于攻击行为的着色判决PN机入侵检测 系统完全可以检测蠕虫病毒。琼斯病毒虽然能够产生行为特征各异的子病毒， 但 这类子病毒既然是蠕虫病毒就会具有蠕虫病毒的共性 ，诸如自身复制、为了能够 自启动而修改注册表、打开端口连接其他计算机等，这些特征从理论上来讲都会 被基于攻击行为的着色判决PN机入侵检测系统

40、通过机器的自学习转化P N机攻 击模型、通过攻击模型的泛化、合一而将该类病毒检测出来。4. 3与虚拟机相结合的着色判决NP机蠕虫检测系统蠕虫并不是全部都修改注册表，如SQL蠕虫王，该病毒在溢出成功后直接创 建套接字,随机产生IP地址，并向该地址发送病毒本身。病毒只存在于主机内存， 主机重启后蠕虫就会消除，但若不及时打补丁，就会感染该病毒。而且蠕虫程序 中修改注册表的顺序问题。当病毒一开始就修改注册表，木马行为阻断技术就会 马上发现病毒，并成功阻击。但若病毒先执行发送自身到其他主机和破坏模块，然后再修改注册表，这时再检测出病毒来可能为时已晚，还有可能杀毒程序也早已被删除。基于攻击行为的着色判决P

41、N机入侵检测系统，从理论上来讲能够检测出各 种蠕虫病毒，但这种检测同样是建立在事后法办的基础上，只不过是在病毒特征 行为只执行了几个，功能未完全发挥出来就被逮住，但这对于主机安全来说同样 是一个威胁。防治病毒应该建立在事前预防的基础之上，虚拟机就能满足这个要 求，我们提出与虚拟机相结合的基于攻击行为的着色判决PN机蠕虫检测系统这个方案。该方案与防火墙相结合，对进出网络的数据流量进行检测。当检测到电 子邮件附件或ftp下载的文件是可执行文件时，则用嵌套的虚拟机虚拟执行，并 用基于攻击行为的着色判决PN机对指令进行分析，分析通过则放行，否则隔离 删除，并向通信双方发送文件被检测出病毒并被删除的消息

42、。5结束语蠕虫病毒成为当前网络环境下病毒的重要形式， 由于该病毒本身的特点加上 网络用户安全意识的淡薄，一个新型蠕虫病毒往往迅速扩散，并在全球范围内造 成重大损失。通过对2004年十大流行病毒之一 My d oom蠕虫病毒代码进行了 详细分析，对N imda病毒、冲击波病毒等也进行了研究，总结了蠕虫的行为特点， 提出了防治未知病毒特别是象琼斯这样的变形病毒的解决方案与虚拟机相结合 的基于攻击行为的着色判决PN机蠕虫检测系统。参考文献1 侯强.解剖“完美” 的蠕虫.网络信息与安全.200 2 ( 1 1 ) :22-242伊传勇等.新型蠕虫D。s攻击的分析与治疗.计算机安全.2003(0 7 )

43、 :2 5 273 Su b raman y a , S.R. Computer viruse s Potentials, IEEE,、blmue:20, Issue:4,o c t -nov. 2001Pgaes : 16 1 94赵双红，刘寿强.恶性蠕虫“震荡波”解决方案.计算机安全.2 004 (06):3 3 -355 C h en, L,C . The I m p act of Counterm e a su r e p ro p ag a t i o n on th e pre v alen c e o f Compute r V i r u se s System s, M an an d Cy b ernetics, Part B, I E E E Transactions on, V o l: 3 4,Issu e:2,April 200 4 Pg aes: 8 23 8336张洪立.从被动受攻到主动防御一如彳S更有效实施病毒防御.网络安全技术与应用.2003(10)