病毒在网络上传播的基本途径
网所面临的病毒威胁主要来自
3
条传播途
径:
通过
E-mail
传
播、通
过
主
动
扫
描
传
播
和
通
过
服
务
器传播
1
通过
Email
传播
通过
E-mail
传
播
是
病毒
在
网
络
上
传
播
的一
个主要途
径,
很
多
网
络
病
毒
使
用
这
种
方
式。
病
毒
在
E-m ail
中的存在方
式有
两
种:
第一
种是
感
染
E mail
正文,在正文
的
纯文
本
或
html
文件
中
直
接
加
入恶意的脚本
语
言代
码
或
加
入
对恶
意
程
序
的
引
用。这里的恶意程序,
可以是存在
于附件
中的,
也
可以是利用
U RL
的远程调用。第二种
是存在
于
E-mail
附件中将病
毒
体本
身
或
染
毒
程序
作
为
附
件
发
送。病毒首先在本地硬盘的某些文件夹如
In ternet
临时文件夹中搜索
htm,html
及
wab
,
dbx
文件找
到目标地址,或通
过
MA PI
从邮
件的客户
端如
Ou tlook
中提取
邮
件
地
址,
然
后
通
过
各
种
方
式
将
自
己
作
为
E mail
的附件发出,
最
终
利用
欺
骗手
段
和系
统
漏洞获取目标系统的控制权,完成整个传播过程。
2
通过主动扫描传播
这类病毒一般是
远程
扫描
Intranet
或
Internet
中远程主机的漏洞,通过这些漏洞将自己
注入远程计算机并取得控制权。
例如,
目
标机
器上
存在
弱口令账号
(
或
Administrator
账号口令为空
)
,
蠕
虫便会利用该账号将自身远程注入到目标系统,
直接获得系统控
制
权。另
外
一
些病
毒
是
搜
索
网
络
中可
写的文
件
夹,
将
病毒
体
复制
到
其
中或
感
染已
有
文
件。它们
获得系
统控
制权的
方法
跟通
过
E mail
传
播的病毒类似,但也有一些自己的特点:
(1)
欺骗手段与通过
E mail
传播
相
比,
差别在于安全上
的
漏
洞使
病
毒
可
能
访问
及
写
入
局
域网内机器上
的
很多
目
录。
这样
病
毒
可
以
在目
标
机
器上广泛传播,
使其被执行概率增大。
(2)
利用
系统
漏洞。
与
E mail
传
播不
同的
是,利用系统漏洞,病毒
常常
可以在
远程
获得
联网
主机的控制
权,
将
自
己
全
部
复
制
过
去,
再
进
行
下
一
步操作。
(3)
直接
改
写
目
标
机
的
系
统
文
件
或
系
统
文
件夹。这是病毒通过局域
网传
播时
的一
种独
特方
法。一些病毒通过在局域网上
寻找可
写的
win
.
ini
或注册表文件并修改,或
直接
拷贝本
身到
可写
的启
动目录中,以便在下次重新启动时自动运行病毒代码。
3
通过服务器传播
病毒
利
用
一
些
常
见
的
漏
洞
(
如
I IS
漏
洞
和
I Fr ame
漏洞),
利
用缓
冲
区
溢
出
等手
段,
病
毒
可以获得远程服务器主机的控制权。之后,
病
毒可以随意传染至服务器。而后通过服务器,
传染
至所有访问该
服
务
器
的
客
户
机。
如
Nimda
会
通
过
扫
描
In tern et
来试图寻找
WW W
服务器,
一旦找到服务器,
该病毒便会利用已知的安全漏洞来感
染该服务器,
若
感染
成
功,
就会
任意
修
改该
站点
的
W eb
页,当在
W eb
上冲浪的用户浏览该站点时,不知不觉中便会被自
动
感染。
还
有
些病
毒
可
以
在
局域
网
内
搜索
F T P
并向其中上传
带毒
文
件。再
利用
欺骗
手段欺骗用户下载运行。
本文转自 李晨光 51CTO博客,原文链接:
http://blog.51cto.com/chenguang/76398
,如需转载请自行联系原作者
