笔趣书阁 - 都市小说 - 黑客精神在线阅读 - 第三百四十九章 蠕虫病毒 新

第三百四十九章 蠕虫病毒 新

    蠕虫,这个生物学名词于1982年由XeroxPARC的eh等人最早引入到计算机领域内,并给出了计算机蠕虫的两个最基本的特征。

    判定蠕虫病毒的首要方式,首先,病毒可以从一台计算机移动到另一台计算机,其次,可以通过病毒内部代码进行自我复制。

    最初,他们编写蠕虫的目的是做分布式计算的模型试验,可是1988年Morris蠕虫爆发后,fford为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义。

    “计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。”

    计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的。

    近年来,越来越多的病毒采取了蠕虫技术来达到其在网络上迅速感染的目的,因而,“蠕虫”本身只是“计算机病毒”利用的一种技术手段。

    蠕虫病毒的传播过程,一,通过扫描,由蠕虫病毒扫描功能模块负责探测存在漏洞的主机,探寻主机后开始进行攻击,二,攻击,攻击模块按照漏洞自动开始进行攻击,基本cao作环节包括,主机取得,得到权限,获得shell,第三,处理,被感染的系统,需要进行现场处理工作,主要内容包括自身的隐藏以及信息搜集等等,第四,复制性,复制模块通过原主机和新主机的交互功能,将蠕虫程序复制到新主机内并进行运行,以此达到自我复制的功能。

    每一个种类的蠕虫病毒,在实现这四个部分时都会拥有一个特有的侧重点,有的部分实现的较为复杂,有的部分相反相对于简略。

    尼梅达病毒是一个比较典型的病毒与蠕虫相结合的蠕虫病毒,它几乎包括了目前所有流行病毒的传播手段,并且可以攻击WINcao作平台内所有系统。

    这款病毒所拥有的传播方式包括,利用OEEMAIL浏览器的漏洞,加载附件程序,伪装进行传播。

    通过网络共享的方式,通过局域网进行传播,其次,利用服务器进行传播,服务器传播方式,往往是病毒屡杀不绝的关键原因,该方式最根本的原因,就在于服务器漏洞。

    最后一点,通过感染普通文件进行传播,在这一点上,蠕虫与普通的计算机病毒程序基本相同。

    蠕虫病毒感染呈现的状况主要包括,网络资源浪费,阻塞网络,被攻击网站不能提供正常的服务,当然,这些也仅仅只是表面的,最大的危险在于,蠕虫病毒会通过修改注册表,使自身会随着系统的启动而运行,将自己加载到资源管理器的进程空间内,后门监听3127端口。

    对于个人用户而言,威胁大的蠕虫病毒采取的传播方式,一般为电子邮件以及恶意网页等等。

    对于利用电子邮件传播的蠕虫病毒来说,通常利用的是各种各样的欺骗手段诱惑用户点击的方式进行传播。

    恶意网页确切地讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。

    这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。

    在刘毅与小雪通话结束后,立刻打开本地系统,准备进行样本病毒提取。

    情况紧急,立刻打开浏览器登录到检察院官方网站,紧跟着K系统再次传出危险警告,见此,刘毅下发命令。

    “提取当前服务器内所存病毒,保存到虚拟系统内!”

    “明白!正在进行病毒样本提取。”

    随着回复信息的出现,在这之后差不多能有五分钟左右的时间,样本提出成功。

    随着样本病毒提取成功,紧跟着立刻进入到虚拟系统内,准备进行对样本病毒进行分析。

    进入到虚拟系统,运行工具,对病毒进行脱壳,去壳的过程较为复杂,但也并不是很困难,差不多半个小时的时间,脱壳成功,开始进行代码分析以及病毒特征分析。

    “Cherryblossoms!”

    经过代码分析,病毒程序内一个英文单词引起了他的注意,看着一长串的字母,刘毅皱紧了眉头。

    “博达,帮我查查Cherryblossoms是什么意思!”

    听到刘毅的话,博达没有多耽误一刻,立刻打开浏览器,输入这一长串字母,紧跟着没过多久,看到了华夏汉字解释信息,博达大声说道:“樱花!”

    R国盛产樱花,种类繁多,听到博达的话,刘毅若有所思。

    樱花?樱花?

    摇了摇头,实在想不出个所以然来。

    这可能也就是一个病毒名吧!

    在这之后,将病毒加载到进程分析工具后,紧跟着运行病毒,分析工具也因此正式进入运行。

    此款工具,为刘毅专门转对蠕虫病毒所自主编译的工具,工具执行内容,主要通过工具进行程序加载,加载结束后,通过进程cao作记录,将程序运行后所有cao作记录进行记录,得到程序运行结果后,可根据结果,进行专杀的制作。

    因为病毒运行处与虚拟系统中,病毒运行后,对于自身主系统并未产生什么影响。

    很快,自制进程嗅探工具,将病毒在系统内所有行为全部进行了记录,冰形成文档,发送到本地桌面上。

    见分析文件生成,刘毅立刻关闭工具,打开文档。

    只见一行行大约百十条释放文件信息出现在文档内。

    瞪大眼睛,看着当中这些记录信息,刘毅进入到分析状态当中。

    因为文件信息数量巨大,因此,分析过程复杂许多,经过差不多一个多小时的时间,依旧没有任何的突破口,看着记录信息内各样的文件信息,脑海中回忆起自己整个的cao作过程。

    是根目录!

    回忆起自己在这一个小时的时间内所做的一切,可以说,仅仅只是围绕着分析列表内的信息进行着分析,因此,而忘记了根目录的关键信息点。

    紧跟着,刘毅立刻进入到虚拟系统内,各个盘符。

    打开各个盘的根目录,几个根目录文件信息引起了刘毅的注意。

    “.inf”

    蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式,当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。

    可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。

    引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器。

    看着这样两个文件信息,刘毅知道,之前自己所查的信息,并非是蠕虫主程序,而是宿主,主程序只是随着宿主的启动而进行加载运行,因此,可以判定,如今出现的这两个文件,才是病毒的核心代码执行区。

    有了这样的分析结果,紧跟着再次打开分析工具,加载进行运行。

    运行后,虚拟系统的运行速率明显降低,加载项目缓慢,很显然,如今这台虚拟系统已经成功感染蠕虫病毒,不过,感染后,除了系统运行过慢外,并无其他的异常状况。

    分析工具再次截获程序执行脚印,并将之进行截取记录。

    “HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\“dl“=“0“*HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Applets\\“dl“=“0“*HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\“ds“=“0“*HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Applets\\“d”

    看着这些记录信息,刘毅点了点头。

    该蠕虫病毒与基本蠕虫病毒并没有什么两样,首先,根据本地系统条件,分别自执行cao作,对注册表进行检测,检测后,开始根据注册表项进行创建,随后根据注册表项,将其自身复制为一个或多个注册表信息,并且开辟新的服务,以便躲过杀软的检测以及自运行的效果。

    刘毅盯着眼前的信息,双眼一眨不眨,仔细进行分析。

    注册表项修改结束后,接下来,分析记录工具内容显示窗口内,病毒对TCP\/IP协议进行了禁用,自动微调,加快感染计算机的访问,从而加快病毒的传播。

    或许是因为本系统为虚拟机的关系,外网传播的过程未被记录下来。

    看着这些信息,刘毅皱了皱眉。

    整个病毒在运行过程当中,并没有什么异常的代码组成,整个的蠕虫病毒代码执行cao作,可以说普通的不能再普通。

    看着这样的信息,刘毅感到有些奇怪。

    不应该啊?R国整体的黑客能力,只有这样的高度?

    就在这个时候,病毒执行cao作记录文本,出现了一行行顶级域名信息,见到这样的信息,刘毅收起了自己疑惑,细致观察起这最后的几个顶级域名信息。

    这是?

    蠕虫病毒存在远程未知通信!

    看着这一个个域名信息,刘毅好像明白了什么。

    我就说,这个事情不会这么简单。

    随后通过代码内现实的域名信息,刘毅将之进行记录,随后打开本系统,同时运行小K,按照之前记录的域名信息进行站点访问。

    就在地址输入完毕,浏览器画面转变后,小K再次传出危险警告。

    看着警告内容,刘毅点了点头。

    和他预想的一样,这当中果然存在着联系。

    与之前提取病毒样本后所面临的结果一样,病毒提示信息,“蠕虫!”

    “小K,准备进行病毒样本提取!”

    “明白!开始进行样本病毒提取!”

    和之前一样,这一次看到病毒信息后,刘毅和之前一样,再次进行了病毒样本的提取,想要看看这两款病毒是否存在什么联系。

    差不多经过了五分钟左右的时间,这家网站服务器内寄存的蠕虫病毒,再次被K系统截获,截获成功后,刘毅立刻进入虚拟系统,准备针对这一病毒,较之前的樱花进行比对。

    进入虚拟机,和之前的cao作一样,分别进行脱壳分析。

    加载病毒到进程工具后,开始运行。

    与之前一样,运行后同样,出现大量自加载程序,因为有了之前的经验,刘毅打开根目录,一个“”的文件出现。

    看到这样的文件信息,刘毅知道,这就是主程序了,随后再次进入到分析状态当中。

    经过主程序的运行,这一次,虚拟机没能幸免,随着主病毒程序的运行,本虚拟机彻底报废,与之前博大所遇的情况完全一样。

    看到这样的信息,刘毅点了点头。

    开始自己的想法是错的,他们并非是要做什么大规模的蠕虫病毒危机,而是想要利用多种蠕虫病毒进行伪装,造起声势,恐吓为主。

    不得不说,R国方面,对于恐吓造势,可以说练的可真是炉火纯青。

    为什么这么说,主要在于博达。

    之前,在检察院方面发现病毒后,寝室当中,博达的计算机是第一台感染机,当时刘毅也看了,损坏无法开机的主要原因就在于系统关键位置信息遭受破坏。

    可是,在刘毅打算根据病毒进行查杀,亲自进入到检察院官网,对服务器样本病毒进行拷贝后,拿到虚拟机内的样本毒在运行后,本系统并未出现任何的反应,出现这样的一个情况,已经让刘毅起了疑心。

    随后,在第一次进行病毒原理分析后,那几个顶级域名信息,突然打通了刘毅的思路,让其明白了当中最为关键的信息,同时也让他知晓了,R国方面的计策。