VBScript網絡蠕蟲簡明透視
腳本(Scripting)是由一系列的解釋性語句所組成(區別於exe文件的二進制代碼),并由腳本解釋器(如 wscript.exe)解釋執行的代碼。腳本就像一般的程序一樣,可以將一個值賦給一個變量,可以命令Web服務器發送一個值到客戶瀏覽器,還可以將一系列命令定義為一個過程。要編寫腳本,必須使用腳本語言,如 VBScript。腳本語言是一種介於 HTML 和諸如 Java、Visual Basic、Visual C++ 等編程語言之間的一種特殊的語言,盡管它更接近後者,但它却不具有編程語言復雜、嚴謹的語法和規則。
腳本語言有很多種,如 VBScript、JasaScript、Perl 的腳本在Windows平台的運行環境為 Microsoft Windows Script Host(WSH)。Netscape Navigator x.0 或 Internet Explorer x.0 支持腳本語言。
VBScript 是微軟開發的腳本語言。是一種與 Visual Basic 類似的程序語言,它用於 HTML 中,可以串連和控制 ActiveX,可以使程序員設計出生動活潑、交互式的 Web 應用程序。VBScript 既可以在客戶端運行,也可以在服務端運行。
VBScript 語言提供了大多數常用編程任務的內部函數和方法。VBScript 第5版增強了強大的搜索功能,并支持自己的類和對像。
JasaScript 由 Netscape 公司開發,主要用來增強 HTML 的功能,使開發人員制作的主頁更具有變化性和交互性。 JasaScript 是一種基於對像(Object)和事件驅動(Event Driven)并具有安全性的腳本語言。使用它的目的是與 HTML 超文本標記語言一起實現在一個 Web 頁面中鏈接多個對像,與 Web 客戶實現交互功能。它是通過嵌入在標準的 HTML 語言中實現的。它彌補了 HTML 語言的缺陷,它是 Java 與 HTML 的折衷的選擇。
JasaScript 代碼由說明。在標識之間可加入 JavaScript 腳本。組件與腳本對組件的調用:組件(COM,Component Object Model)是遵循 COM 規范編寫、以 Win32 動態鏈接庫(DLL)或可執行文件(EXE)形式發佈的可執行二進制代碼,能夠滿足對組件架構的所有要求。遵循 COM 規范標準,組件與應用、組件與組件之間可以互操作,極其方便地建立可伸縮的應用系統。COM 是一種技術標準,在 Windows 中的商業名稱為ActiveX。
1988年,當時年僅23歲的美國CORNELL大學的學生 羅伯特.莫里斯 製造了第一個蠕蟲病毒,在1988年11月2日下午5時至11月3日清晨5時,這短短的12小時內,就使得6200台採用UNIX操作系統的 SUN 工作站和 VAX 小型機癱瘓或半癱瘓,不計其數的數據和資料毀於一旦,直接經濟損失達9600萬美元。1990年5月5日,紐約地方法庭根據 羅伯特.莫里斯 設計病毒程序從而造成包括國家航空和航天局、軍事基地和主要大學的電腦停止運作的重大事故的事實,判處 莫里斯 3年緩刑,罰款 10,000美金,社會服務令400小時。
1999年,SirCam 病毒爆發。它是依附在電子郵件的附件內,當打開附件後自動附着正常文件內,發作時會刪除電腦中的所有文件,并在用戶不知情的情況下,根據電腦裏已有的郵件地址隨電腦文件四處傳播,造成企業網絡系統堵塞、無法使用、文件泄密等後果。據有關部門統計,SirCam 病毒在全球蔓延所造成的損失高達12億美元。
2000年至2002年,Loveletter、Redlof、Nimda、Klez等蠕蟲相繼爆發,在世界範圍內造成了數百億美元的經濟損失。
2003年1月 SQL 病毒爆發,令到互聯網大面積遭到病毒感染,令互聯網營運商的網絡系統速度變慢,在內地有20,000多台數據服務器受到影響,某些網站癱瘓。SQL只會不斷尋找和發送IP地址造成整體網絡過載而最終導致系統崩潰。SQL 病毒在短時間內造成了全球各大網絡系統癱瘓,直接經濟損失在100億美元以上。
病毒運行簡述:蠕蟲病毒進入系統并且成功運行後,會搜索 Outlook 通信錄中存儲的郵件地址,搜索到一個郵件地址時,就會生成一封郵件,然後病毒程序化為郵件中的附件,並把郵件名改為較具誘惑力的名字,以吸引郵件接收者打開附件。病毒郵件會帶有(自動啟動漏洞)功能,當用戶打開郵件的同時附件會自動啟動。這個過程非常快,一般不會被發現。
這種具有漏洞的郵件用文本編輯器打開後發現漏洞代碼。帶有這種代碼的郵件一般都比較可疑,打開這種郵件後,根本看不到已經運行的病毒附件,只能看到一些病毒產生的用於迷惑人的信息。
蠕蟲病毒的結構:結構包括1.傳播模块,負責蠕蟲的傳播。
2.隱藏模块,負責在侵入電腦後,隱藏蠕蟲程序,防止被用戶發現。
3.目的功能模块,實現對電腦的控制、監視或破壞功能。
傳播模块細分為3個基本模块:
1.)掃瞄模块,負責探測存在安全漏洞的電腦。當病毒程序隨機生成一個IP地址,然後向說電腦發送探測安全漏洞的信息并收到成功的反饋信息後,就得到一個可傳播的對像。
2.)攻擊模块,按漏洞攻擊步驟自動攻擊已找到的電腦,取得該電腦的權限等。隨着編寫蠕蟲所需知識門檻的降低和編寫蠕蟲資料大量湧現以及安全漏 洞的發現,越來越多的蠕蟲在互聯網中湧現出來,不同的蠕蟲所利用的具體漏洞也不同,將現有蠕蟲的常用攻擊手段歸納和總結,可分為如下6種主要類型。
1.緩冲區溢出攻擊、2.格式化字符串攻擊、3.拒絕服務攻擊、4.弱口令攻擊、5.默認設置脆弱性攻擊、 6.社交工程攻擊
3.)復製模块,通過原電腦和新電腦的交互將蠕蟲程序自我復製到新電腦并設置執行方式。
典型蠕蟲:Worm Melissa、Worm Klez、Worm.Blaster、VBS.Haptime.A、Worm Nimda、Worm Lovelettle、Worm Redlof、Worm SirCam、Worm.Mocbot.a、Worm Novarg、Worm Swen、Nimaya.w、Worm.Win32.WebDown.a
蠕蟲,主要透過Outlook、E-mail及網絡入侵。
