1,背景介绍
蠕虫病毒是一种通过网络传播的恶意病毒,出现的时间晚于木马及宏病毒,但其传播速度最快,传播范围最广。其传播主要体现在以下两个方面:
(1),系统漏洞
(2),电子邮件
蠕虫病毒采用的是互联网复制传播而不是插入PE格式文件
2,蠕虫的基本程序结构
传播模块:主要负责蠕虫病毒的传播。
隐藏模块:病毒侵入主机后,隐藏在计算机之中的程序,防止被用户和杀毒软件发现。
目的功能模块:主要功能是实现对计算机的控制,监视和破坏等功能。
3,蠕虫程序的一般传播过程
传播模块:可分为三个基本模块:1:扫描模块 2:攻击模块 3:复制模块
(1)扫描模块:主要功能是负责探测存在漏洞的主机。当蠕虫程序向某一台计算机发送探测漏洞的信息并收到成功的反馈信息之后,就得到了一个可以传播的对象。
(2)攻击模块:攻击模块按扫描过程在找到的对象,取得该计算机的权限(一般为管理员权限),获得一个shell。
(3)复制模块:复制模块通过原计算机和一台新计算机的交互将蠕虫程序复制到新计算机并启动。
4,蠕虫病毒的传播方式
(1)利用系统漏洞
系统漏洞蠕虫一般具备一个小型的溢出系统,它随机产生IP并尝试溢出,然后将自身复制过去。网络中的客户端感染这一类病毒后,会不断自动拨号上网,并利用文件中的地址或者网络共享传播,从而导致网络服务遭到拒绝并发生死锁,最终破坏数据。
(2)MIME(多用途的网际邮件扩充协议)
它其实只是一小段用来描述信息类型的数据。浏览器通过读取它来得知接收到的数据该怎么处理,如果是文本和图片就显示出来,是程序就弹出下载确认,是音乐就直接播放。音乐文件和程序文件都是一样的二进制数据,都需要解码还原数据到系统临时目录里,然后浏览器通过一个简单的文件后缀名判断来决定该用哪种方法处理它。
MIME举例:
如用户收到一个MP3文件,MIME把它描述成音乐文件,所以浏览器解码保存这个文件到一个临时目录,而后查找调用这个文件后缀MP3对应的执行程序,这就是一次完整的工作过程;但是如果攻击者给用户发送一个带有EXE后缀可执行文件的邮件,并把它的MIME描述为音乐文件,这时调用一个能打开它的应用程序,于是这个文件就被顺利执行了,用户的机器也开始遭到到破坏。正因为这样,邮件蠕虫才成了如今世界“虫害”的主要来源。
包含蠕虫的邮件---错误的MIME头部---解出的蠕虫程序---感染机器
靠邮件传播的蠕虫主要有SoBig,MyDoom,求职信等。
(3)网页代码
IFrame是一段用于往网页里放入一个小页面的HTML的语句,它用来实现“框架”结构。向一个页面里放入多个IFrame时,框架里请求运行程序的代码就会被执行,由于IFrame的尺寸可以自由设置,因此破坏者可以在一个页面里放入多个“看不见”的框架,并附带多个“看不见”的有害程序,浏览了那个网页的人自然就会成为受害者!
5,蠕虫病毒传播机房应该如何防范
(1)蠕虫病是一种不需要任何人工干预就可以自己传播的恶意软件,这就意味着用户无需打开软件、点击链接就可以被感染,通常病毒都是寄托在某些软件、网页中,这就需要用户打开这些被感染的软件或者是链接,但是蠕虫病毒完全不用。
(2)传统机房的日志或者行为记录工具是无法检测到蠕虫感染的,也就是说光从日志文件中是看不出有无蠕虫攻击,尽管更新系统补丁在一定程度上可以防御蠕虫感染,但如果是新型蠕虫病毒,病毒中使用了0Day漏洞,那么更新系统的补丁将会是没有作用的。
(3)机房一般会有多条线路连接到运营商,这样就会有多个网络节点,而每个节点都可能成为恶意软件入侵的接入点。如果机房公开连接的设备或者是软件,那么这些设备和软件极有可能会被已利用,病毒会迅速入侵并发现机房的漏洞,包括数据中心基础设施管理平台的缺点。
(4)如果蠕虫病毒侵入机房,那么他可以在机房的环境中快速的传播,其后果是网络被分割、访问受限、数据被锁定,同时他会通过机房的出口节点向外蔓延。
(5)当然,机房在这方面的防御是非常充足的。而企业站作为机房面向的最大客户,由于企业水平不同,企业网络管理人员的水平的参差不齐,从企业站撕开一个入口侵入机房成为了黑客的常用手法,通常企业可以通过禁用SMBv1,会减少被蠕虫病毒感染的机会。
(6)如果机房真的受到了蠕虫病毒的入侵,葵芳IDC提醒大家不用担心。通常机房会将服务器上的所有文件进行加密,当蠕虫病毒真的进到机房中,也只能读取到加密的数据,同时通过一些安全工具,使得蠕虫病毒不能读取到服务器内存的进程和更多的信息。