SimoneConficker蠕虫病毒是怎么回事
的有关信息介绍如下:
一、蠕虫的基本结构和传播过程 蠕虫的基本程序结构为: 1、传播模块:负责蠕虫的传播,这是本文要讨论的部分。 2、隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。 3、目的功能模块:实现对计算机的控制、监视或破坏等功能。 传播模块由可以分为三个基本模块:扫描模块、攻击模块和复制模块。 蠕虫程序的一般传播过程为: 1.扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。 2.攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。 3.复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 我们可以看到,传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术,没有蠕虫的传播技术,也就谈不上什么蠕虫技术了。 二、入侵过程 第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。 第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。 第三步:利用获得的权限在主机上安装后门、跳板、控制端、监视器等等,清除日志。 我们一步一步分析。 先看第一步,搜集信息,有很多种方法,包括技术的和非技术的。采用技术的方法包括用扫描器扫描主机,探测主机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。非技术的方法包括和主机的管理员拉关系套口风,骗取信任,威逼利诱等各种少儿不宜的手段。当然是信息搜集的越全越好。搜集完信息后进入第二步。 第二步,对搜集来的信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上网找到该漏洞的攻击方法,如果有攻击代码就直接COPY下来,然后用该代码取得权限,OK了;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用户密码,另一方面试探研究分析其使用的系统,争取分析出一个可利用的漏洞。如果最后能找到一个办法获得该系统权限,那么就进入第三步,否则,放弃。 第三步,有了主机的权限,你想干什么就干什么吧。如果你不知道想干什么,那你就退出来去玩你喜欢玩的游戏吧。 上面说的是手动入侵的一般过程,对于自动入侵来说,在应用上有些特殊之处。 蠕虫采用的自动入侵技术,由于程序大小的限制,自动入侵程序不可能有太强的智能性,所以自动入侵一般都采用某种特定的模式。我们称这种模式为入侵模式,它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种,这种模式是就是我们前面提到的蠕虫传播过程采用的模式:扫描漏洞-攻击并获得shell-利用shell。这种入侵模式也就是现在蠕虫常用的传播模式。这里有一个问题,就是对蠕虫概念的定义问题,目前对蠕虫的定义把这种传播模式作为蠕虫的定义的一部分,实际上广义的蠕虫应该包括那些使用其他自动传播模式的程序。 我们先看一般的传播模式。
