Internetworm入门教程

2008-04-09 04:08:02来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

一,Internet worm的传播途径
Internet worm,顾名思义,就是以Internet为主要传播途径的蠕虫。之所以说它是蠕虫,是因为它比病毒大,病毒通常几K,是微生物,而蠕虫通常几十到上百K,是大虫子(这个定义有些胡扯:))。通过Internet,最主要最流行的就是通过email,一家大公司的职员可能一天都不能上网看新闻,但不太可能一天都不收mail。这一类的代表有SirCam和Klez。除了mail外,还可以通过Internet server的漏洞进行传播,主要的有各种IIS漏洞,这一类的代表有CodeRed II和Nimda。
当然一个worm通常不止一种传播途径,可能几种并发。如Nimda有着IIS,email,net share,local file infection四种传播途径,不过它的成功主要是靠IIS,它的email传播能力是在是太差劲,和SirCam及Klez差了不止一个数量级。
本教程以mail worm为主,因为它们更具代表性。

二,当一个worm开始在用户机器上运行时应该干些什么
好了,用户一不留神运行了一个附件,我们可爱的worm开始执行。
首先应该驻留在系统中。通常都是把自己copy到system路径下(SirCam是以垃圾桶为家),然后修改注册表或者干脆注册一个系统服务,以使自己能在每次Windows启动的时候就被运行。
然后,呵呵,感染本地文件,然后搜集email地址,然后发送自己。既然你已经生活在用户的机器上,那么想做什么都是你自己的事了。

三,怎样得到email地址?
Outlook Express的WAB(地址簿)文件,html文件,其它网页文件(asp,php),各种即时通讯工具(MSN,ICQ)的地址簿,都是email地址的栖身之所。使用一点处理string的功夫,把它们分析出来,而不要用MAPI,那样太依赖于OE了。

四,怎样发送自己?
要发email,当然是用SMTP协议。再一次提醒不要用MAPI。
SMTP正如它的名字,很简单的。好的worm,如SirCam,Klez,都是用自己携带的SMTP engine。

五,应该利用什么系统漏洞?
那就看你的发掘了。Nimda大爆发以后,再去研究Unicode漏洞已经没什么意义,几乎所有的Web server都已经堵住了这个大洞。要么自己发掘新的漏洞,要么用一些“经久不衰”的漏洞。比如Klez用到的iframe漏洞,已经被发现一年多了,但Klez照样用它取得了惊人的战果。

六,有必要进行本地感染吗?
答案是肯定的。之所以大家公认Nimda和Klez非常难杀死,就是因为它们大量感染本地文件。如果是SirCam,则改一下注册表,然后清空垃圾桶就把它干掉了。一般Worm感染文件,不是像PE病毒那样真正的感染,而是木马式的捆绑(如Nimda)或者伴随感染(如Klez)。比如Nimda,感染的方式是把原程序放进自己的resouce section,做为资源的一部分,用的是Win2000的UpdateResource之类的API,似乎在98下不行。不过它很愚蠢的是,会重复感染,结果一个几百K的程序最后变成好几M了。

七,写Worm用什么语言?
只要可以编程的都可以用,汇编,VC,Delphi,甚至SQL或者PHP,但要想写得好,还是推荐汇编和C/C 。最好用C/C ,因为一般Worm不是非常注重size,而C/C 用起来更灵活,如果用汇编去处理Klez体内的字符串去生成邮件标题和内容,工作量一定大得多。
最著名的蠕虫几乎都是C/C 写的,比如Nimda,Klez。而SirCam则是用Delphi写的。但在一个Worm里用VCL库或者静态连接的MFC库(总之,是指静态的framework)是愚蠢的,没人会相信一个三四百K的Worm会和SirCam,Nimda或者Klez一样流行,除非全世界的个人上网带宽达到1M以上。

八,还应该注意什么?
这还问我???Worm比PE病毒要简单,但它用的手段也可以多种多样,随你发挥。“by Koms Bomb”


标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:使用PVCS系列软件构建配置管理环境(三)

下一篇:软件产品线的实践框架3.0(前言)