理论教育 历史蠕虫演变,信息安全基础

历史蠕虫演变,信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:② Morris蠕虫认为可能的432个候选口令。然后,引导程序回调父程序并下载蠕虫的其余部分。2001年7月首次出现的Code Red蠕虫利用微软IIS服务器的一个安全漏洞进行渗透或传播。攻击之后该蠕虫将暂时停止活动一段时间,并定期重新展开攻击。在第二轮攻击中,Code Red蠕虫在14 h内感染了近36万台服务器。2003年年末Sobig.F蠕虫出现了,它利用开放的代理服务器将被感染的机器变成垃圾邮件发送器。

历史蠕虫演变,信息安全基础

1988年由Robert Morris编写并发布到Internet上的Morris蠕虫是出现最早、最知名的蠕虫。Morris蠕虫被设计用来在Unix系统上传播,它采用了多种传播技术。当蠕虫的一个副本开始运行时,其首要任务是找到从当前主机所能进入的其他主机。Morris蠕虫是通过检查主机中的各种列表和数据库来完成该任务的,其中包括当前系统所信任的主机表、用户的邮件转发文件、远程账户访问权限表和网络连接状态报告程序。对于每一台找到的主机,该蠕虫会尝试多种方法来获得访问权:

(1)尝试以合法用户身份登录远程主机。在这种方法中,蠕虫首先尝试破解本地口令文件,然后,利用破解得到的口令和相应的用户ID登录远程主机。该方法的前提是许多用户在不同的系统上使用相同的口令。为了获得口令,蠕虫运行密码破解程序,尝试用以下字符串作为口令:

① 每个用户的账户名和账户名中字母的简单的排列。

② Morris蠕虫认为可能的432个候选口令。

③ 本地系统字典中的所有单词

(2)利用Unix的Finger协议中的一个漏洞,该协议会报告远程用户的位置。

(3)利用负责收发送邮件的远程进程的调试选项中的一个陷门。

如果上述方法有任何一个成功,Morris蠕虫就能够与操作系统命令解释器进行通信。它会向该命令解释器发送一个简短的引导程序,并发出一个命令来执行该程序,然后注销登录。然后,引导程序回调父程序并下载蠕虫的其余部分。这样新的蠕虫就可以执行了。

1998年出现的Melissa电子邮件蠕虫,是第一个同时含有病毒、蠕虫和木马的新一代恶意软件。它将Word宏病毒嵌入电子邮件的附件中。一旦接收者打开(甚至无须打开)电子邮件的附件,宏病毒就会被激活。接着像蠕虫一样,将自己发送给用户电子邮件地址簿中的所有人;像病毒一样,损害用户系统,包括禁用某些安全工具,把自己复制到其他文档中……

1999年,Melissa蠕虫的一个更加强大的版本出现了。新版本利用电子邮件程序支持的Visual Basic脚本语言,不需要用户打开邮件附件,只要打开包含该蠕虫的邮件就会被激活。只要被激活,Melissa蠕虫马上就向被感染主机知道的所有电子邮件地址转发自己,进行传播。因此,以往病毒需要花费数月或数年才能达到的传染数量,Melissa蠕虫几个小时内就可以做到。这使得反病毒软件在病毒造成很大破坏之前做出响应变得非常困难。

2001年7月首次出现的Code Red蠕虫利用微软IIS服务器的一个安全漏洞进行渗透或传播。它还使Windows系统的系统文件检查器失效。该蠕虫通过探测随机地址来进行传播。在某段时间内,它只进行传播。然后,它利用大量被感染的主机向一个政府网站发送大量的数据包,进行拒绝服务攻击(DoS攻击)。攻击之后该蠕虫将暂时停止活动一段时间,并定期重新展开攻击。在第二轮攻击中,Code Red蠕虫在14 h内感染了近36万台服务器。除了对目标服务器造成严重破坏外,它还占用了大量的Internet资源,使服务中断。(www.daowen.com)

2001年8月首次出现的Code Red II是另一种不同的变种,它也以微软的IIS为攻击目标。该变种试图感染与被感染系统处于同一子网的系统。同样地,它会安装一个后门,让攻击者可以在受害主机上远程执行命令。

2001年9月出现的Nimda蠕虫也具有蠕虫、病毒和移动代码的特征。它使用以下方法进行传播:① 使用电子邮件发送它自己;② 寻找未受到安全保护的文件共享来感染共享的文件;③ 利用微软IIS中已知的漏洞来上传自己并感染IIS和它上面的文件;④ 感染存在漏洞且访问已被感染的Web服务器的Web客户端的主机;⑤ 利用早期的蠕虫留下的后门访问系统。

2003年年初出现的SQL Slammer蠕虫利用了微软SQL服务器中的一个缓冲区溢出漏洞。该蠕虫代码极为紧凑且传播速度极快,10 min内就感染了90%的存在该漏洞的主机。

2003年年末Sobig.F蠕虫出现了,它利用开放的代理服务器将被感染的机器变成垃圾邮件发送器。在其活动最频繁的时候,据报告显示,每17个邮件中就有一个是它发送的,而且仅在最初的24 h内就产生了超过100万个它自己的副本。

2004年出现的Mydoom蠕虫是一种大量发送邮件的电子邮件蠕虫。它沿袭了在被感染的计算机上安装后门的做法,从而使黑客可以远程访问用户的口令、信用卡卡号等数据。Mydoom蠕虫达到了每分钟复制1 000次的速度。据报道,它在36 h内,向Internet发送了1亿条被感染的消息。

2006年出现的Warezov蠕虫家族,会在系统目录中创建几个可执行文件,并通过添加一条注册表项,把它设置成每当Windows启动都自动运行。Warezov蠕虫会在多个类型的文件中搜索电子邮件地址,并将自己作为邮件附件发送出去。它的一些变种能够下载其他恶意软件,如木马和广告软件。许多Warezov的变种还会禁止安全相关软件的运行或更新。

2008年11月首次发现的Conficker(或Downadup)蠕虫,传播速度非常快,成为2003年SQL Slammer蠕虫发现以来传播感染最广泛的蠕虫之一。该蠕虫最初通过Windows系统中的缓冲区溢出漏洞进行传播,后续的版本还能通过USB设备或网络文件共享进行传播。

2010年,震网(Stuxnet)蠕虫被发现,但是它在先前一些时间已经悄悄地传播开来。与许多以往的蠕虫不同,震网蠕虫故意限制其传播的速率以减少其被发现的机会。它把目标对准工业控制系统,主要是那些与伊朗核计划有关的系统。震网蠕虫支持多种传播机制,包括USB设备、网络文件共享,使用了最少4种未知的0day漏洞。其规模和代码的复杂度、前所未有的4个0day漏洞的使用和开发中的花销与付出引发了相当多的讨论,其中一种说法认为它可能是第一个被正式用来针对国家级物理设施的网络战武器。而研究人员在分析Stuxnet蠕虫时注意到,尽管他们预料到能够发现软件具有间谍行为,但却从未想到能看到有恶意软件能够有针对性地破坏其目标。这一结果已经导致数个国家将注意力转向利用恶意软件作为武器的方向上来。

2011年晚些时候发现的Duqu蠕虫使用了与Stuxnet蠕虫相关的代码。尽管看上去它仍然是针对伊朗核计划,但其目标并不相同,它是一个网络间谍程序。Flame蠕虫系列是2012年发现的著名的网络间谍蠕虫,它似乎以中东国家为目标。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈