怎么蠕虫工作


  Share  
|


1988年莫里斯蠕虫病毒(网络蠕虫)及其兄弟姐妹,如fernánadez和christma执行,通常是有针对性的重型主机和迷你电脑硬件,邮件,和操作系统。 较近期的威胁已经主要针对个人电脑,并在一个公众的高度关注事件( autostart蠕虫) ,苹果互助委员会。 不过,他们可能有附带效应使邮件服务器,通过纯粹的重量产生的流量。 这些问题有一些已经被归入各种不同的研究人员和厂商的病毒,蠕虫,病毒/蠕虫杂种,偶尔作为特洛伊木马程序。

今天的蠕虫和邮件病毒往往要快燃烧器。 他们有可能在全球范围内蔓延之前,反病毒软件厂商有时间进行分析,及派发的手段检测和消毒工作。 一些恶意软件被称为蠕虫其实是专门病毒感染,只有一个文件。 但这并不意味着,当然,这一个病毒一样lehigh ,它只能感染command.com ,能够理智地被界定为一种蠕虫病毒。

普遍接受的分类蠕虫病毒是不存在的,但凯莉纳肯博格,在一份文件,为1999年病毒公告会议上,提出了分级方法,大意如下:

•电子邮件蠕虫,不出所料,散布透过电邮。

•任意议定书蠕虫传播途经议定书并非基于电子邮件(体育馆/疾病控制中心, ftp的, tcp / ip的插座) 。

以及提出分类运输机制,纳肯博格还建议分类开展机制:

•自我发动蠕虫,如1988年的网络蠕虫,不需要与电脑用户传播:他们利用其中一些弱点的主机环境,而不是在某种方式诱骗用户执行感染代码。 然而,革新和相当罕见bubbleboy的例子自我发动蠕虫。 利用一个bug ,在视窗环境,他们可以执行无需用户干预。

•用户推出的蠕虫互动,与用户。 他们需要运用社会工程技术,以说服被害人打开/执行扣押之前,蠕虫可以颠覆环境,以推出自己上下一组主持人。 今天的许多vbscript实现蠕虫属于这个或混合发射类别。

事实上,部分蠕虫病毒我们已经看到以日期很可能是更好地归类为混合发射蠕虫(纳肯博格的分类办法) ,或多方(按常规病毒术语) ,因为它们使用了两种自我启动和用户发起机制。

病毒特征

以下几个方面的特点是,并不一定仅限于特定的病毒/蠕虫的分类方法,但有一定的重要意义,如果只是因为对道路条件隐形和多态性这样往往误用:

-隐身。几乎所有的病毒,包括一定程度的隐形,即他们企图掩盖他们的存在,以便最大限度的机会蔓延。 有病毒的询问,获准后才可感染,但这种礼节性没有得到报偿广泛传播。 突出有效载荷也往往是可以避免的,或者是作了相当不规则。 隐形病毒使用任何的一些技巧,以隐瞒事实,即一个对象已被感染。 举例来说,当操作系统需要某些资料,隐形病毒响应,是一个形象的环境,因为这是以前感染了病毒。 在其他换言之,当感染首次发生,该病毒记录必要的信息,以后来欺骗操作系统。

这也影响到反病毒工具的工作,通过检测即有改变,而不是由探测和识别已知病毒。 为了取得成效,这些工具必须用通用的反隐身技术。 当然,这是不可能的,以确保这种技术会工作,对一个病毒尚未被发现。 然而,病毒扫描器探测已知的病毒是在这方面的优势,因为供应商通常会弥补一个新的欺骗技术时,放入检测病毒雇用。 伎俩受雇于一些该计划的展示形象的原引导扇区,因为如果它仍在那里,它应属于是一个典型的隐身技术。 档案病毒所特有的(但不总是)增加的长度被感染文件,并可以哄骗操作系统或一个反病毒扫描器,由颠覆系统调用,使档案的属性之前,感染,据报告,其中包括文件长度,时间和时间戳,及华润校验。

多态性。多态病毒是崇拜病毒作者和担心的,几乎每个人都别人。 这部分是因为一个高估的影响,多态性威胁。 非多态性病毒通常感染附上一个更还是少完全相同的拷贝自己到一个新的宿主对象。 多态病毒附上一份演变复制自己,使形状的病毒变化,从一个感染到另一个。 早期多态病毒使用技巧,如改变秩序的指示,引进噪音炒作以及道具指示,并在不同的指令用于执行某一特定的功能。 更先进的方法是采用变加密,大幅度削减数额静态(天长地久)代码提供给反病毒程序员使用提取的格局,其中,艾滋病病毒可以被认出。 你可能想象的(如很多人这样做) ,这使得多态性一项艰巨的技术对付。 事实上,出现多形性病毒和插件,在突变引擎(使几乎任何病毒的作者包括可变加密在他自己的工作没有重新发明轮子)的贡献,使失踪的一些较早的反病毒软件包。 不过,虽然多态病毒流行病毒作者展示自己的技能,他们一直不太好代表在外地比在收藏的反病毒研究人员,认证实验室,对比测试,和其他人所需要的完整的收藏起来。 反病毒扫描技术也提出,而简单的签名扫描一个固定的字符串没有发挥出很大一部分在行动中的一个现代化的扫描器。

分类病毒的恶意软件所描述的并不涵盖全部范围的物体检测的反病毒软件。 一些厂商很快指出,他们所卖的是防病毒软件,而不是反病毒软件。 然而,如今大多数商业产品侦测某些特洛伊木马和其他物体勉强合格恶意代码,更不用说病毒。 这些物体包括打算(非运转)病毒,玩笑程序,拒绝服务攻击程式(分布式拒绝服务) ,甚至垃圾文件,知道是目前在保养不善病毒藏品可能被用于按产品审评。

当然,有更多的病毒感染个人电脑平台( dos和所有口味的窗口) ,比任何其他的操作系统。 本土麦金塔病毒要少得多。 事实上,可能有更多的本土病毒,对系统,如atari公司和amiga认为从未有过同样的受欢迎程度(在企业环境中,至少) 。 但是,事实上,苹果macintoshes系统共享与windows有一定程度的脆弱性,以微软office宏观病毒,使它们的其他主要病毒友善的环境。

不应假定,但是,其它平台没有病毒的问题。 访问控制可以对未授权账户在unix (包括linux ) ,新台币,网络和其它平台的限制感染流。 然而,他们并不能防止未授权的用户共享文件,如果只通过电子邮件。 也不能防止特权用户无意中传播感染。 即使系统,不支持任何已知的本土病毒(服务器或工作站) ,可进行感染物体之间infectable东道主,而这个过程有时又称为异种病毒的传染途径。 它作为重要的,以扫描网络文件服务器,内部网,以及其他网络服务器,而不论其本土操作系统。 事实上,有越来越多的产品检测病毒有其他相关的操作环境。 因此,一些苹果机产品检测电脑病毒,反之亦然。

显然,病毒代表了一个风险在互联网上。 这种风险较高,为那些运行dos的,任何变异的窗口,或某些宏观调控能力的应用,特别是微软的办公应用套件。 多半这是一个关乎市场份额。 大部份的病毒作者针对个人电脑和视窗,因为这是他们所获得的。 但是,也有其他因素影响的风险增加,例如:电脑硬体架构,微软的乐观看法,缺乏安全需要对单用户系统,以及危险性具有宏观的代码和数据,在同一个文件。 有一些工具,以帮助保持系统的安全免受病毒的攻击。 防病毒软件大多是无功:它响应预见的威胁,工程最有效地打击威胁,它可以准确识别(即,已知病毒) 。 最佳防未知病毒往往是工作在一个环境,不提供宿主,以特定类别的威胁。 可悲的,但是,这往往不是一个选择,特别是在一些企业环境中,微软的产品都是必须的。

这是一篇文章说,由经历中

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions