Redcode蠕虫病毒剖析

,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Virus,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,*,计算机病毒与防治,计算机病毒与防治课程小组,1,教学单元,4-4,蠕虫病毒防治,蠕虫病毒特点,蠕虫病毒简介,蠕虫病毒发展趋势,第一讲,Red code,蠕虫病毒剖析,计算机病毒与防治课程小组,Red code,病毒防治,red code,病毒剖析,2,蠕虫病毒简介,计算机病毒与防治课程小组,近年来，由蠕虫引发的安全事件此起彼伏，且有愈演愈烈之势。,从,2001,年爆发的,CodeRed,蠕虫、,Nimda,蠕虫，,SQL,杀手病毒,(SQL SLAMMER,蠕虫,),，到近日肆掠的,“,冲击波,”,蠕虫病毒，无不有蠕虫的影子，并且开始与传统病毒相结合了。蠕虫通常会感染,Windows 2000! XP/Server 2003,系统，如果不及时预防，它们就可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害。看来，蠕虫不再是黑暗中隐藏的,“,黑手,”,，而是己露出凶相的,“,狼群,”,。,1988,年,11,月,2,日，,Morris,蠕虫发作，几天之内,6000,台以上的,Internet,服务器被感染，损失高达数百万美元。,蠕虫时代,3,蠕虫病毒简介,计算机病毒与防治课程小组,1988,年,Morris,蠕虫爆发后，,Eugene H. Spafford,为了区分蠕虫和,传统病毒，给出了蠕虫的技术角度的定义，,“,计算机蠕虫可以独立运行，,并能把自身的一个包含所有功能的版木传播到另外的计算机上。,”,蠕虫显示出类似于计算机病毒的一些特征，它同样也具有四个阶段：,潜伏阶段,传染阶段,触发阶段,发作阶段,什么是蠕虫呢？,4,蠕虫病毒特点,计算机病毒与防治课程小组,蠕虫病毒和传统病毒的比较,5,蠕虫病毒主要功能模块,计算机病毒与防治课程小组,6,蠕虫病毒发展趋势,计算机病毒与防治课程小组,1,利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是,“,红色代码,”,和,“,尼姆达,”,，以及至今依然肆虐的,“,求职信,”,等,.,由于,IE,浏览器,的漏洞,(Iframe Execcomand),，使得感染了,“,尼姆达,”,病毒的邮件在不去,手工打开附件的情况下病毒就能激活。,“,红色代码,”,是利用了微软,IIS,服,务器软件的漏洞,(idq.dll,远程缓存区溢出,),来传播。,SQL,蠕虫王病毒则是,利用了微软的数据库系统的一个漏洞进行大肆攻击,!,2,传播方式多样 如,“,尼姆达,”,病毒和,“,求职信,”,病毒，可利用的传播途径包,括文件、电子邮件、,Web,服务器、网络共享等等。,7,蠕虫病毒发展趋势,计算机病毒与防治课程小组,3,病毒制作技术与传统的病毒不同的是，许多新病毒是利用当前最新的,编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反,病毒软件的搜索。另外，新病毒利用,Java,、,ActiveX,、,VB Script,等技,术，可以潜伏在,HTML,页面里，在上网浏览时触发。,4,与黑客技术相结合，潜在的威胁和损失更大,!,以红色代码为例，感染后,的机器的,web,目录的,scripts,下将生成一个,root.exe,，可以远程执行任,何命令，从而使黑客能够再次进入,!,8,Code Red,病毒剖析,计算机病毒与防治课程小组,病毒名称：,Code Red,（红色代码）病毒，又名,W32/Bady.worm,病毒类型： 蠕虫病毒,危险级别：,病毒特点：该蠕虫感染运行,Microsoft Index Server 2.0,的系统，或是,在,Windows 2000,、,IIS,中启用了,Indexing Service(,索引服务,),的系统。,Code Red,病毒简介,9,Code Red,病毒爆发过程,计算机病毒与防治课程小组,红色代码病毒爆发了！,2001,年,6,月,18,日 微软公司宣布在,IIS,网络服务器软件中发现一个漏洞，,而,IIS,软件是架设网站最基础的软件之一。,7,月,13,日 一家名为,“,左岸系统,”,的公司称，几台服务器遭到一种新病毒,的入侵，利用的正是,IIS,服务器软件的这个缺陷。,7,月,16,日 发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个,病毒，称之为：红色代码,(Code,Red),。,7,月,18,日午夜 红色代码大面积暴发，被攻击的电脑数量达到,35.9,万台。被攻,击的电脑中,44%,位于美国，,11%,在韩国，,5%,在中国，其余分散在,世界各地。,10,Code Red,病毒爆发过程,计算机病毒与防治课程小组,红色代码病毒爆发了！,7,月,19,日,“,红色代码,”,停止猛攻进入休眠期，不再进行大规模的活动。,7,月,20,日 瑞星公司通过全球病毒监控网获得,“,红色代码,”,病毒样本。,7,月,31,日 格林尼治时间午夜整点，,“,红色代码,”,将再度复活，在全球,大面积蔓延，由于某些受感染的网站上出现,“,中国黑客入侵,”,的字样，国外媒体产生,“,病毒制造者是否来自中国,”,的猜测。,7,月,19,日 这个名为,“,红色代码,”,的病毒开始疯狂攻击美国白宫网站，白,宫网站管理员将白宫网站从原来的,IP,地址转移到另外一个地址，,才幸免于难。然而灾难并没有结束，这个蠕虫病毒已复制变成,10,多万个，并且以每,4.5,小时,400MB,的速度大量发送垃圾信息。,11,Code Red,病毒剖析,计算机病毒与防治课程小组,“红色代码”采用了一种叫做,“,缓存区溢出,”,的黑客技术，利用网络上使用微软,IIS,系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的端口,80,进行传播，而这个端口正是,Web,服务器与浏览器进行信息交流的渠道。“红色代码”主要有如下特征：,入侵,IIS,服务器，,code red,会将,WWW,英文站点改写为：,“,Hello! Welcome to ! Hacked by Chinese!”,；与其它病毒不同的是，,CodeRed,并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存中，并借助这个服务器的网络疯狂的传播。,缓冲溢出黑客技术,12,Code Red,病毒剖析,计算机病毒与防治课程小组,每个病毒线程每,100,毫秒就会向一随机地址的,80,端口,发送一长度为,3818,字节的病毒传染数据包。,13,Code Red,病毒剖析,计算机病毒与防治课程小组,作为改进后的版本，,“,红色代码,”,可以创建,300,个线程在网络上查找未感染的计算机。,当判断到系统默认的语言是中华人民共和国或中国台湾时，查找线程数猛增到,600,个，占用大量系统资源和网络资源，造成网络拥堵,。,病毒采用随机产生,IP,地址的方式，每个病毒每天能够扫描,40,万个,IP,地址，搜索未被感染的计算机,。,更可怕的是，在感染计算机后，它还从病毒体内释放出一个木马程序，驻留在计算机当中，为入侵者大开方便之门,。,“,红色代码,II,”,是,“,红色代码,”,的变种病毒,14,Code Red,病毒剖析,计算机病毒与防治课程小组,下面我们以第二代,“,红色代码,”,为例，分析这个病毒。,“,红色代码,-2,”,的英文名称为,“,I- worm.redcode,”,，,该病毒的行为可以分为四部分,:,初始化,、,感染,、,繁殖,、,安装木马,。,病毒源码分析,15,Code Red,病毒剖析,计算机病毒与防治课程小组,当一个,Web,服务器感染,“,红色代码,”,病毒后，将首先进行初始化，步骤如下；,1.,确定,Kernel32. dll,动态链接库中,IIS,服务器的服务进程地址，查找调用,API,函数,GetProcAddress,使用以下,API,函数,:,/,加载动态链接库的函数，用来加载,Win32,系统中的,DLL,文件，以便程,/,序能使用其中的函数,HMODULE Loadl.ibrary(,LPCTSTR 1p,/DLL,文件名称,);,=,初始化,=,16,Code Red,病毒剖析,计算机病毒与防治课程小组,/,创建线程，病毒将使用该,API,函数创建白己的传染和破坏线程。,HANDLE CreatoThread(,LPSECURITY ATTRIBUTES Ipsa, /,线程的安全属性,DWORD dwStackSizc, /,线程堆栈的大小,LPTHREAD_ START-ROUTINE pfnThreadProc, /,线程所属进程,void* pvParam, /,传给进程的参数,DWORD dwGreationFlags, /,创建标志,DWORD* pdwTreadld /,线程的,ID,号,);,17,Code Red,病毒剖析,计算机病毒与防治课程小组,/,在感染的主机上创建文件或通讯资源、磁盘设备、管道等。,HANDLE CreateFile(,LPCTSTR 1p, /,文件名称,DWORD dwDesiredAccess, /,存取模式,DWORD dwShareMode, /,共享模式,LPSECURITY_ ATTRIBUTES 1pSecurityAttributes, /,安全属性,DWORD dwCreationDisposition, /,创建方式,DWORD dwFlagsAndAttributes, /,文件属性,HANDLE hTemplateVile /,文件句柄,);,18,Code Red,病毒剖析,计算机病毒与防治课程小组,/,将当前线程阻塞指定的毫秒数。,Sleep(int TimeSpan);,/,获得主机系统的语言，判断是中文还是英文。,LANGID GetSystemDefaultLang3D(void);,/,改变在调用进程的虚拟地址空间中的存取保护,。,HOOL VirtualProtect(,LPVOID 1pAddress,/,提交页的区域基地址,SIZE,一,dwS i z e,/,区域大小,DWORD INewProtect,/,新的存取保护类型,PDWORD 1pflOldProtect,/,保存原来的存取保护值,);,19,Code Red,病毒剖析,计算机病毒与防治课程小组,2,加载,WS2 32.d11,库，使用,socket,函数，这些函数用来进行网络通讯。,/,创建服务套接字,SOCKET socket(,int af,/,地址类型,int type,/,套接字类型,(,流式套接字或数据报套接字,),int protocol,/,套接字使用的协议,);,/,连接套接字,int connect(,SOCKET,，,/,套接字描述符,const struct sockaddr FAR *name, /,连接名字,int namelen /,名字的长度,);,20,Code Red,病毒剖析,计算机病毒与防治课程小组,/,发送数据,int send(,SOCKET s,/,套接字描述符,const char FAR *buf,/,要发送的数据缓冲区,int Ion,/,数据长度,int flags,/,调用标志,);,/,接收数据,int recv(,SOCKET s,/,套接字描述符,const char FAR *buf,/,接收数据缓冲,int Ion,/,数据长度,int flags,/,调用标志,);,/,关闭套接字,int closesocket(,SOCKET s,/,套接字描述符,21,Code Red,病毒剖析,计算机病毒与防治课程小组,3,从,user32.DLL,中调用,ExitWindowsEx,以重新启动系统。,/,强制关闭计算机,BOOT, LxitWindowsLx(,DINT uFlags,/,关闭操作,DWORD dwReason,/,关闭的原因，,Windows2000,及以前的版本忽略该参数,);,22,Code Red,病毒剖析,计算机病毒与防治课程小组,病毒感染主机的步骤如下,:,1),设置一个跳转表,“,jump table,，以便得到所有需要的函数地址。,2),获得当前主机的,IP,地址，以便在后而的繁殖步骤中处理子网掩码时使用。,3),检查系统语言是否为中文，是繁体还是简体。,4),检查病毒感染标志,“,CodeRed ,。如果己经有该标志，则进入永久性休眠状态，以确保主机不会被重复感染。如果没有该标志，则增加一个感染标志。,5),调整系统工作线程数日，以便病毒本身能创建一些线程。对于非中文系统，将工作线程数目定为,300;,如果是中文系统，则设置为,6000,6),创建一个新的线程跳到第一步去执行。,7),调用木马功能。,8),如果是非中文系统，休眠,1,天,:,如果是中文系统，休眠,2,天。,9),重新启动系统，以便清除内存中驻留的病毒，只留下后门和木马。,=,感染,=,23,Code Red,病毒剖析,计算机病毒与防治课程小组,1),获取本地系统时间。病毒会检查当前时间是不是小于,2002,年或月份小于,10,月。如果日期超出了上述条件，病毒会重新启动系统。,2,）调用,socket (),函数，产生一个套接字，并设置该套接字为非阻塞模式，以加速连接速度。,3,）产生,h,一个要攻击主机的,IP,地址并发起连接。,4,）果连接成功，则设置套接字为阻塞模式,(,因为己经连接成功，就没有必要再使用非阻塞模式,),。然后，调用,select( ),查询套接字状态，如果没有返回句柄，则关闭套接字，跳到第一步,:,如果返回句柄，则调用,send( ),向该套接字发送一份病毒的拷贝，并执行,recv( ),调用，接收反馈信息,(,不至于使受攻击的主机有错误信息提示,),。,=,繁殖,=,病毒繁殖的步骤如下,:,24,Code Red,病毒剖析,计算机病毒与防治课程小组,1,）调用下列函数获取,%SYSTEM%,系统日录。,/,获得,Windows,目录,UINT GetWindowsDirectory(,LPTSTR 1pBuffer,/,存放,Windows,目录的缓冲区,UINT uSize,/,缓冲区的大小,);,/,获得,Windows,系统目录,UINT GetSystemDirectory(,LPTSTR Buffer,/,存放系统目录的缓冲区,UINT uSize,/,缓冲区的大小,);,=,安装木马,=,安装木马的步骤如下：,25,Code Red,病毒剖析,计算机病毒与防治课程小组,2,）,将,cmd. exe,加 到 系 统 目 录 字 符 串 的 末 尾 ， 例 如,C:WINNTSYSTEM32cmd. exe,，并将驱动器盘符设置为,C,盘根目录，将,cmd. ex,。文件复制成,C:inetpubscriptsroot.exe,。然后，将,cmd. exe,复制到,C:program1common1systemMSADCroot.exe,。,3,）创建文件,C:explorer.exe,，往文件里写入木马二进制代码。,4,）将驱动器盘符改为,D,重复,2, 3,步操作。,26,Code Red,病毒剖析,计算机病毒与防治课程小组,如何判断系统是否已经遭受了红色代码病毒的感染？,方法,1,：在目录,C:winntsystem32logfilesw3svc1,下的文件中，如果发现含有以下内容的文件，则说明主机已经感染红色蠕虫病毒。,GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0,红色代码病毒防治过程,27,Code Red,病毒剖析,计算机病毒与防治课程小组,方法,2,：如果在,1025,以上端 口出现很 多,SYN-SENT,连接请求，或者,1025,号以上的大量端口处于,listening,状态，那么你的机子也是已经遭受红色代码病毒的感染。,方法,3,：第三种方法：如果在以下目录中存在,Root,exe,文件，不用说已被感染了。,C,：,inetpub,scripts,Root,exe,D,：,inetpub,scripts,Root,exe,C,：,program Files,common file,system,MSADC,Root,Exe,同时 ，红色代码病毒还会释放出以下两 个文件：,C,：,explorer,exe or,D,：,explorer,exe,这两个文件都是木马程序。,方法,4,：由于遭受红色代码病毒的攻击,NT,服务器中的,web,服务和,ftp,服务,会异常中止。,28,Code Red,病毒剖析,计算机病毒与防治课程小组,对于已经感染病毒的主机，按以下步骤消除病毒：,1,）将该机器从网络上断开，以避免重复感染和感染其它机器。,2,）立即停止,IIS,服务。打开控制面板，打开,服务,，点击,World Wide Web Publishing Service.,选择,已禁用,。,3,）重新启动机器，运行,cmd,，在,cmd,窗口中运行以下命令，以删除蠕虫病毒留下的后门。,C:,CDC:,ATTRIB -h -s -r explorer.exe,Del explorer.exe,Del C:inetpubscriptsroot.exe,Del C:progra1Common1SystemMSADCRoot.exe,D:,CD D:,Attrib -h -s -r explorer.exe,Del D:inetpubscriptsroot.exe,Del D:progra1Common1SystemMSADCRoot.exe,29,Code Red,病毒剖析,计算机病毒与防治课程小组,4,）修改被蠕虫改动过的注册表：,运行,regedit,选择：,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametesVirtual Roots,选择：,/C,选择删除；选择：,/D,选择删除。,选择：,/MSADC,，将,217,换为,201,。,选择：,/scripts,，将,271,换为,201,。,对于,Windows 2000,系统，需要打开：,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersion,WinLogon,将,SFCDisable,改为,0,。,5,）重新启动机器。,30,本讲小结,什么是蠕虫病毒,蠕虫病毒特点,蠕虫病毒发展趋势,具有对蠕虫病毒,教全面的认识,反病毒能力,计算机病毒与防治课程小组,Red code,病毒剖析,Red code,病毒防治,31,Thank You !,32,