本文出自 “李晨光原创技术博客” 博客,转载请与作者联系!
病毒在网络上传播的基本途径分析
病毒在网络上传播的基本途径
网所面临的病毒威胁主要来自3条传播途径: 通过 E-mail传 播、通 过 主 动 扫 描 传 播 和 通 过 服 务 器传播
1 通过 Email 传播
通过E-mail传 播 是 病毒 在 网 络 上 传 播 的一 个主要途 径, 很 多 网 络 病 毒 使 用 这 种 方 式。 病 毒 在E-m ail 中的存在方 式有 两 种: 第一 种是 感 染E mail正文,在正文 的 纯文 本 或html 文件 中 直 接 加 入恶意的脚本 语 言代 码 或 加 入 对恶 意 程 序 的 引 用。这里的恶意程序, 可以是存在 于附件 中的, 也 可以是利用 U RL 的远程调用。第二种 是存在 于 E-mail 附件中将病 毒 体本 身 或 染 毒 程序 作 为 附 件 发 送。病毒首先在本地硬盘的某些文件夹如 In ternet 临时文件夹中搜索htm,html及wab, dbx文件找 到目标地址,或通 过 MA PI 从邮 件的客户 端如 Ou tlook 中提取 邮 件 地 址, 然 后 通 过 各 种 方 式 将 自 己 作 为E mail的附件发出, 最 终 利用 欺 骗手 段 和系 统 漏洞获取目标系统的控制权,完成整个传播过程。
2 通过主动扫描传播
这类病毒一般是 远程 扫描 Intranet 或Internet中远程主机的漏洞,通过这些漏洞将自己 注入远程计算机并取得控制权。 例如, 目 标机 器上 存在 弱口令账号(或Administrator账号口令为空) , 蠕 虫便会利用该账号将自身远程注入到目标系统, 直接获得系统控 制 权。另 外 一 些病 毒 是 搜 索 网 络 中可 写的文 件 夹, 将 病毒 体 复制 到 其 中或 感 染已 有 文 件。它们 获得系 统控 制权的 方法 跟通 过 E mail 传 播的病毒类似,但也有一些自己的特点:
(1)欺骗手段与通过E mail 传播 相 比, 差别在于安全上 的 漏 洞使 病 毒 可 能 访问 及 写 入 局 域网内机器上 的 很多 目 录。 这样 病 毒 可 以 在目 标 机 器上广泛传播, 使其被执行概率增大。
(2)利用 系统 漏洞。 与 E mail 传 播不 同的 是,利用系统漏洞,病毒 常常 可以在 远程 获得 联网 主机的控制 权, 将 自 己 全 部 复 制 过 去, 再 进 行 下 一 步操作。
(3) 直接 改 写 目 标 机 的 系 统 文 件 或 系 统 文 件夹。这是病毒通过局域 网传 播时 的一 种独 特方 法。一些病毒通过在局域网上 寻找可 写的 win .ini 或注册表文件并修改,或 直接 拷贝本 身到 可写 的启 动目录中,以便在下次重新启动时自动运行病毒代码。
3 通过服务器传播
病毒 利 用 一 些 常 见 的 漏 洞 ( 如 I IS 漏 洞 和I Fr ame 漏洞), 利 用缓 冲 区 溢 出 等手 段, 病 毒 可以获得远程服务器主机的控制权。之后, 病 毒可以随意传染至服务器。而后通过服务器, 传染 至所有访问该 服 务 器 的 客 户 机。 如 Nimda 会 通 过 扫 描In tern et 来试图寻找 WW W 服务器, 一旦找到服务器, 该病毒便会利用已知的安全漏洞来感 染该服务器, 若 感染 成 功, 就会 任意 修 改该 站点 的 W eb 页,当在 W eb 上冲浪的用户浏览该站点时,不知不觉中便会被自 动 感染。 还 有 些病 毒 可 以 在 局域 网 内 搜索 F T P 并向其中上传 带毒 文 件。再 利用 欺骗 手段欺骗用户下载运行。