蠕虫病毒与木马病毒制作过程(蠕虫病毒是木马吗)

今日明天 2022年07月15日

本文目录一览:

蠕虫病毒是怎么制作的要用到哪些代码

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。 蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。 蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。 蠕虫是怎么发作的? 如何采取有效措施防范蠕虫? 一、利用操作系统和应用程序的漏洞主动进行攻击 此类病毒主要是“红色代码”和“尼姆亚”,以及至今依然肆虐的”求职信”等。由于IE浏览器的漏洞(IFRAME EXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 二、传播方式多样 如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。 三、病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。 四、与黑客技术相结合,潜在的威胁和损失更大 以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入。 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,可以分为两种,即软件上的缺陷和人为的缺陷。软件上的缺陷,如远程溢出、微软IE和Outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断地升级软件。而人为的缺陷,主要指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会抱着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而对个人用户而言,主要是防范第二种缺陷。 五、对个人用户产生直接威胁的蠕虫病毒 在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装IIS(微软的因特网服务器程序,可以允许在网上提供web服务)或者是庞大的数据库系统的。因此,上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响)。但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒。 对于个人用户而言,威胁大的蠕虫病毒采取的传播方式,一般为电子邮件(Email)以及恶意网页等等。 对于利用电子邮件传播的蠕虫病毒来说,通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。恶意网页确切地讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。

蠕虫和特洛伊木马的工作原理有哪些不同

1 什么是特洛伊木马

特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序, 这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。

2 木马的工作原理

完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet); 软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。

2.1 获取并传播木马

木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。2001年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件, 并将自己作为邮件的附件,使用不同的名称继续传播。

2.2 运行木马

服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下), 然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。

2.2 建立连接,进行控制

建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。

3 用VB6.0编写的木马程序

下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。

(1)用VB建立2个程序:客户端程序Client和服务器端程序Server。

(2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。再加入一个文本框,用于输入服务器的IP地址或服务器名。然后加入一个按钮,按下之后就可以对连接进行初始化。代码如下:

Private Sub cmdConnect_Click()

Win_Client.RemoteHost=Text1.Text

Win_Client.Connect

Timer1.Enabled=True

End Sub

(3)建立连接后就可以使用DataArrival事件处理收到的数据了。

(4)在服务器端Server工程中也建立一个窗体,窗体的visible属性设置为False。加载WinSock控件, 称为Win_Server,协议选择TCP。在Form_Lad事件中加入以下代码:

Private Sub Form_Load()

Win_Server.LocalPort=2001 ‘自定义的端口号

Win_Server.Listen

End Sub

(5)准备应答客户端程序的请求连接,使用ConnectionRequest事件来应答客户端程序的请求,代码如下:

Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)

If Win_Server.State sckClosed Then

Win_Server.Close ‘检查控件的State属性是否为关闭的

End If ‘如果不是,在接受新的连接之前先关闭此连接

Win_Server.Accept requestID

End Sub

(6)这样在客户端程序按下连接按钮后,服务器端程序的ConnectionRequest事件即被触发, 执行以上代码。如果不出意外,连接将被建立起来。

(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。DataArrival事件程序如下:

Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)

Dim strData As String

Dim I As Long

Win_Server.GetData strData ‘接收数据并存入strData

For i=1 ToLen(strData) ‘分离strData中的命令

If Mid(strData,I,1)=”@” Then

mKey=Left(strData,i-1 ‘把命令ID号存入mKey

strData=Right(strData,Len(strData)-i) ‘把命令参数存入strData

Exit Fof

Ene If

Next i

Select Case Val*mKey)

Case i ‘i为一系列命令的定义,如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机,强制重启服务器端的计算机,屏蔽任务栏窗口,屏蔽开始菜单,按照客户机端传来的文件名或目录名删除它们,屏蔽热启动键,运行服务器端的任何程序。

……

End Select

EneSub

(8)客户机端用Win_Client.SendData发命令。命令包括命令ID和命令参数,它们用符号”@”隔开。

(9)当客户机端断开与服务器端的连接后,服务器端应用Win_Server_Close事件继续准备接收客户机端的请求,其代码如下:

Private Sub tcpServer_Close()

Win_Server.Close

Win_Server.Listen

End Sub

以上是一个最基本的特洛伊木马程序。只要机器运行了服务器端程序, 别人就可以在千里之外控制这台计算机。

4 发现和清除木马

杀毒软件主要是针对已知病毒设计的,而新病毒却层出不穷,特别是在有些特洛伊木马类病毒刚出现时,由于杀毒软件没有建立病毒库,大都无能为力。因此,学习一些手工检查特洛伊木马的方法是很有必要的。下面简单介绍一种在Win9x系统下手工发现和清除木马的方法。

TCP服务程序都需要Listen在某个端口(port)上,客户端程序才能与其建立连接, 进行数据传输。可以用Win9x的命令netstat -an查看所有的活动连接, 典型输出如下:

C:\WINDOWSnetstat –an

Active Connections

Proto Local Address Foreign Address State

TCP 192.168.1.92:137 0.0.0.0:0 LISTENING

TCP 192.168.1.92:138 0.0.0.0:0 LISTENING

UDP 192.168.1.92:137 *:*

UDP 192.168.1.92:138 *:*

其中”Local Address”栏即本机IP地址,冒号后为port号。正常情况下没有安装其它TCP服务时,上述输出只有137~139几个port处于Listen状态; 若未安装其它TCP服务程序,但在netstat -an的输出中发现有别的port处于Listen状态则该机器已经被感染了木马。这里需要说明2点:1 “Local Address”栏中IP地址若为127.0.0.1则无害, 而IP地址若为0.0.0.0且port不是137~139则要引起注意了。2有的木马比较隐蔽,平时是看不到它,只有当机器接入Internet时它才处于Listen状态。在上网过程中要下载软件、收发信件、网上聊天等必然打开一些端口,下面是一些常用的端口:

(1)1~1024之间的端口:这些是保留端口,是某些对外通信程序专用的,如FTP 使用21,SMTP使用25,POP3使用110等。木马很少使用这些保留端口。

(2)1025以上的连续端口:在上网浏览时,浏览器会打开多个连续的端口将文字、图片下载到本地硬盘。这些端口都是1025以上的连续端口。

(3)4000端口是QICQ的通信端口。6667端口是IRC的通信端口。

上述的端口基本可以排除在外。若发现还有其它端口打开,尤其是数值比较大的端口,就要怀疑是否感染了木马。当然如果木马有定制端口的功能,则任何端口都有可能是木马端口。

如果用netstat -an发现了异常(有时在使用系统时也能感到异常),应该从以下8个方面检查:

(1)WIN.INI:用文本方式打开WINDOWS目录下的配置文件win.ini。在[windows]字段中有启动命令”load=”和“run=”,一般情况下“=”右边是空白的,否则就有可能是木马。

(2)SYSTEN.INI:用文本方式打开WINDOWS目录下的配置文件system.ini。若发现字段[386Enh]、[mic]和[drivers32]中有命令行,则需要检查其中是否有木马的启动命令。此外,[BOOT]字段下面有条命令“shell=wxplorer.exe”,如果是“shell=explorer 程序名”,则后面跟着的那个程序就是“木马”程序。

(3)Autoexec.bat和Config.sys:系统盘根目录下的这2个文件也可以启动木马。但这种加载方式需要控制端用户与服务端建立连接后, 将已加入木马启动命令的同名文件上传到服务端覆盖这二个文件。

(4)*INI:即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖相应文件,就可以启动木马。

(5)注册表1:打开HKEY_LOCAL_MACHINE\Softwae\Microsoft\Windows\CurrentVersion\

下5个以Run和Run-Services开头的主键,在其中寻找可能是启动木马的键值。

(6)注册表2:打开HKEY_CLASES_ROOT\文件类型\shell\open\command主键,查看其键值。如国产木马“冰河”就是修改HKEY_CLASES_ROOT\txtfile\shell\open\command下的键值, 将“C:WINDOWS\NOTEPAD.EXE%1”更改为“C:WINDOWS\SYSTEM\SYSEXPLR.EXE%1”。此时只要双击TXT文件, 本来是要应用NOTEPAD打开文件,而实际上却启动了木马程序。其实不只是TXT文件,通过修改HTML、EXE、ZIP等文件的启动

命令的键值都可以启动木马。不同之处只在于“文件类型”这个主键,TXT的主键是txtfile,ZIP的主键是WINZIP。

(7)捆绑文件:实现该触发条件首先要控制端和服务端已通过木马建立连接, 接着控制端用户用工具软件将木马文件和某个应用程序捆绑在一起,然后上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑着木马的应用程序,木马就又会被重新安装。

(8)启动菜单:在“ 开始/程序/启动”选项下也可能有木马的触发条件。

如果在以上+ 项检查中发现有可疑程序,则将其连同该注册表项一同删除,再重启系统,木马就会被清除。这里还需要几点说明:

(1)木马正在运行时,无法删除其程序。须重新启动、

进入dos方式将其删除。

(2)有的木马能够自动检查它在注册表中的自启动项。如果在木马处于活动时删除该项,它可以自动恢复。此时只能重启进入DOS方式, 将其程序删除后再进入Wi9x下,将其注册表中的自启动项剔除(操作顺序不能错)。

(3)在删除和修改注册表前一定要先做备份(注册表的备份与恢复可以用regedit中的“导出注册表”和“引入注册表”来完成)。

网络蠕虫的定义

功能结构及工作机制

网络蠕虫的定义

早期恶意代码的主要形式是计算机

病毒。1988年“Morris”蠕虫爆发

后,Spafford为了区分蠕虫和病毒,

对病毒重新进行了定义,他认为,

“计算机病毒是一段代码,能把自身

加到其它程序包括操作系统上;它不

能独立运行,需要由它的宿主程序运

行来激活它”。而网络蠕虫强调自身

的主动性和独立性。l(ienzle和E1der从

破坏性、网络传播、主动攻击和独立

性四个方面对网络蠕虫进行了定义:

网络蠕虫是通过网络传播,无需用户

干预能够独立地或者依赖文件共享主动

攻击的恶意代码。根据传播策略,他

们把网络蠕虫分为三类:Ema订蠕虫、

文件共享蠕虫和传统蠕虫。《Internet

蠕虫研究》一文中认为蠕虫具有主动

攻击、行踪隐蔽、利用漏洞、造成

网络拥塞、降低系统性能、产生安全

隐患、反复性和破坏性等特征,并给

出相应的定义:“网络蠕虫是无须计

算机使用者干预即可运行的独立程序,

它通过不停的获得网络中存在漏洞的计

算机上的部分或全部控制权来进行传播。”该定义包含了Kienzle和Elder定

义的后两类蠕虫,不包括Email蠕虫。

2 oo 3年1 o月的世界蠕虫会议上,

schechter和Michael D.smitll提出了一类

新型网络蠕虫,Access For sale蠕虫,

这类蠕虫除上述定义的特征之外,还

具备身份认证的特征。

综合上述分析,本文认为“网络

蠕虫是一种智能化、自动化,综合网

络攻击、密码学和计算机病毒技术,

无需计算机使用者干预即可运行的攻击

程序或代码,它会扫描和攻击网络上

存在系统漏洞的节点主机,通过局域

网或者国际互联网从一个节点传播到另

外一个节点”。该定义体现了新一代

网络蠕虫智能化、自动化和高技术化

的特征。

蠕虫病毒和木马病毒有什么区别呀~~~

简单的说一下,

蠕虫类病毒的特点

一般认为:蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。

传播方式:

蠕虫病毒常见的传播方式有2种:

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。

木马病毒:

完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式:

木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有: 伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马 伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马 把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去 伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中

感染对象: 木马程序感染的对象是整台计算机。

我来说两句
黑客技术 2年前 (2022-07-15) | 回复
的漏洞或者说是缺陷,可以分为两种,即软件上的缺陷和人为的缺陷。软件上的缺陷,如远程溢出、微软IE和Outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断地升级软件。而人为的缺陷,主要指的是计算机用户的疏忽。这
黑客技术 2年前 (2022-07-15) | 回复
ose ‘检查控件的State属性是否为关闭的End If ‘如果不是,在接受新的连接之前先关闭此连接Win_Server.Accept requestIDEnd Sub (6)这样在客户端程序按下连接按
黑客技术 2年前 (2022-07-16) | 回复
和某个应用程序捆绑在一起,然后上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑着木马的应用程序,木马就又会被重新安装。(8)启动菜单:在“ 开始/程序/启动”选项下也可能有木马的触发条件。如果在以上+ 项检查中发现有可疑程序,则将其连同该注册表项一同删除,再重启系统,木马就会被清除。这
黑客技术 2年前 (2022-07-15) | 回复
件扩散到整个网络中,这也是是个人计算机被感染的主要途径。 木马病毒:完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以
TekGreeft 3个月前 (08-30) | 回复
The kits of the invention comprise a first aliquot portion of a concentrate solution, and a second aliquot portion of a carrier priligy online