謝朝海，劉立超，蔡學軍

（1.深圳職業(yè)技術學院，廣東 深圳 518055；2.深圳市網(wǎng)安計算機安全檢測技術有限公司，廣東 深圳 518028）

信息安全技術是一個新興的多學科交叉學科技術，具有實踐性、復合性、特殊性等特點．這些技術特點決定了信息安全技術課程學生除了需要掌握扎實的理論基礎，還必須具備較強的工程實踐能力．案例教學是培養(yǎng)學生專業(yè)技術應用能力和職業(yè)技能的主要手段，是高職教育最重要的特色之一，它是凸顯高職與社會企業(yè)崗位相融通的重要環(huán)節(jié)，也是由知識轉(zhuǎn)向技能的重要手段．因此，信息安全課程教學案例體系的建設在很大程度上決定著高職高專信息安全技術人才的培養(yǎng)質(zhì)量．在國際上，信息安全技術專業(yè)的教育普遍重視案例教學的作用，強調(diào)充分利用高質(zhì)量的實訓案例環(huán)境與企業(yè)資源來訓練學生的崗位職業(yè)能力．例如，美國很早就在其“國家信息安全教育培訓計劃”要求加強學生實踐技能培養(yǎng)，并在“國家信息系統(tǒng)安全專業(yè)人才培訓標準”明確提出實踐層面的知識，強調(diào)通過項目案例來加強學生保護信息系統(tǒng)安全的職業(yè)能力[1]．

“信息安全基礎”課程教學內(nèi)容主要是信息安全領域的公共基礎知識和一般性應用知識，涉及密碼學、防火墻、病毒防治與信息安全工程等方面知識．其中，計算機網(wǎng)絡信息系統(tǒng)中的病毒防治是所有企事業(yè)單位都面臨的重要信息安全問題，病毒防治知識應用面廣，但由于其理解起來較為困難和枯燥，直接講授難以激發(fā)學生的學習熱情，難以達到熟練應用的教學目標，需要采取案例教學．另一方面，由于病毒的傳播性強，其樣本的抓取、保護和合理使用都比較困難，因此，在信息安全課程建設中不易構(gòu)造好的病毒知識實戰(zhàn)教學案例．

飛客蠕蟲是近兩年感染率最高的蠕蟲病毒．國家互聯(lián)網(wǎng)應急中心公布，2012年7月，境內(nèi)感染網(wǎng)絡病毒的終端數(shù)約為340萬個，其中，境內(nèi)感染飛客蠕蟲的主機IP約為260萬個[2]．使用這種當前流行的又極具代表性的蠕蟲作為“信息安全基礎”課程的病毒防治知識實戰(zhàn)教學案例，可以讓學生在充分領會信息安全基礎知識的同時，激勵學生學習興趣，鍛煉綜合解決實際問題的能力，符合應用型人才培養(yǎng)目標的要求．

1 飛客蠕蟲病毒基礎

1.1 飛客蠕蟲病毒

飛客蠕蟲最早發(fā)現(xiàn)于 2008年 11月，它以Windows操作系統(tǒng)為攻擊目標．現(xiàn)存在 A、B、B++、C、E五個主要變種，這些變種的功能和隱蔽性比原始程序得到了很大提升[3]．

飛客蠕蟲自出現(xiàn)以來，已經(jīng)在全球范圍內(nèi)得到了大范圍傳播，形成了巨大的僵尸網(wǎng)絡[4,5]．飛客蠕蟲與其他傳統(tǒng)蠕蟲在傳播模式上有著顯著的區(qū)別：傳統(tǒng)蠕蟲的傳播和泛濫會占用大量網(wǎng)絡和主機系統(tǒng)資源，對網(wǎng)絡造成瞬間巨大的損害，同時，瞬間的爆發(fā)迫使各種查殺工具的出現(xiàn)進而大部分感染主機在較短的時間內(nèi)得到修復，但是飛客蠕蟲從發(fā)現(xiàn)至今，一直處于潛伏期，并沒有重大惡意攻擊行為的發(fā)生，因此其查殺難度更大，傳播周期更長[6]．

1.2 蠕蟲病毒原理分析

飛客蠕蟲病毒主要是借助閃存、利用微軟的MS08-067漏洞以及通過加掛自帶的字典猜解存在弱口令主機使用IPC$通道進行傳播的[7]．當飛客病毒進入系統(tǒng)后，首先破壞系統(tǒng)中的默認屬性設置，接著會自動掃描局域網(wǎng)內(nèi)其他計算機是否存在MS08-067漏洞或者弱口令，一旦發(fā)現(xiàn)有存在問題的計算機系統(tǒng)，就會通過漏洞攻擊或者通過IPC$通道，進行遠程感染[8]．如果受感染的計算機插入優(yōu)盤，飛客蠕蟲就會向優(yōu)盤寫入病毒體，創(chuàng)建Autorun.inf，當其他計算機插入此優(yōu)盤，即可通過“自動運行”的功能受到感染．

飛客蠕蟲的病毒主體僅僅是一個 DLL動態(tài)鏈接庫文件，不同于傳統(tǒng)的一些蠕蟲病毒．傳統(tǒng)病毒主體往往是一個可執(zhí)行的exe文件．這些蠕蟲病毒可能是自身就帶有病毒功能，也可能是運行后釋放出帶有病毒功能的 DLL或者 sys文件．飛客蠕蟲只有一個DLL文件，這種蠕蟲主體文件本身無法直接執(zhí)行，但是可以用rundll32.exe加載或者作為模塊加載在其他進程中運行．同時，與以往病毒相比，飛客蠕蟲可以通過P2P協(xié)議自我更新，這也就意味著通過它，控制者可以隨時為其升級，實現(xiàn)各種功能．飛客蠕蟲在系統(tǒng)中運行起來之后，首先會檢查Workstation、Server和Computer browser這3個服務，如果有其中一個服務未啟動，則病毒功能終止.如果這3個服務都啟動的話，則蠕蟲啟動相應的病毒功能，枚舉局域網(wǎng)內(nèi)的IP地址，并對每個存活的主機嘗試進行MS 08-067漏洞利用攻擊，一旦攻擊成功就會將自身拷貝到被攻陷的系統(tǒng)中并在其內(nèi)存中運行．圖1是飛客蠕蟲變種A的程序主要流程圖．

圖1 飛客蠕蟲變種A的程序主要流程圖

2 飛客蠕蟲查殺實戰(zhàn)案例

為了達到實戰(zhàn)案例教學的目的，本文設計一個涉及飛客蠕蟲病毒診斷、中毒文件檢測和病毒清除、對病毒樣本進行驗證等病毒查殺完整過程的教學案例．

2.1 實戰(zhàn)案例網(wǎng)絡環(huán)境

實戰(zhàn)案例網(wǎng)絡環(huán)境如圖2所示．IH是一臺已經(jīng)被飛客蠕蟲感染的主機．飛客蠕蟲病毒樣本可以通過http://www.offensive computing.net網(wǎng)站獲得．WPH是一臺弱保護主機，存在 MS 08-067漏洞，配置了弱口令和網(wǎng)絡共享，是飛客蠕蟲傳播攻擊的目標．在網(wǎng)絡拓撲圖中設置該主機目的是待飛客蠕蟲對其進行感染后，可以供學生進行病毒查殺實訓練習使用．SPH是一臺強保護主機，安裝了最新安全補丁，配置了強口令，安裝有最新版本的殺毒軟件．

圖2 實戰(zhàn)案例網(wǎng)絡拓撲示意圖

2.2 中毒現(xiàn)象演示

首先，在受害主機IH上通過ping命令和瀏覽百度等網(wǎng)站，證明網(wǎng)絡是暢通的，可以正常上網(wǎng)．然后，再試圖訪問微軟公司的惡意軟件刪除工具網(wǎng)站，結(jié)果發(fā)現(xiàn)不能訪問，如圖3所示．這是顯著的飛客蠕蟲中毒現(xiàn)象，即不能訪問許多系統(tǒng)升級和病毒軟件升級網(wǎng)站．

圖3 訪問微軟網(wǎng)站結(jié)果

2.3 中毒診斷

如何進一步診斷一臺計算機是否中了飛客蠕蟲病毒呢？其實計算機中毒跟人生病一樣，總會有一些明顯的癥狀表現(xiàn)出來的．感染飛客蠕蟲后的計算機會禁止系統(tǒng)訪問各種殺毒廠商的網(wǎng)站和相關安全信息內(nèi)容．根據(jù)這個特性我們可以檢查一臺計算機是否中了飛客蠕蟲病毒．

診斷步驟一：受害主機殺毒軟件不能啟動監(jiān)控功能和正常升級．在受害主機 IH上試圖啟動殺毒軟件的安全防護功能，結(jié)果發(fā)現(xiàn)不能啟動，如圖4所示．試圖進行殺毒軟件的升級，發(fā)現(xiàn)不能進行正常升級，如圖5所示．

圖4 殺毒軟件保護功能啟動結(jié)果

圖5 殺毒軟件升級結(jié)果

圖6 訪問測試網(wǎng)站結(jié)果

診斷步驟二：上網(wǎng)診斷．針對飛客蠕蟲，互聯(lián)網(wǎng)上有專門的診斷網(wǎng)站．可以通過該網(wǎng)站進行飛客蠕蟲感染情況的初步診斷．在受害主機 IH上輸入：http://www.confickerworkinggroup.org/infection_test/cfeyechart.html網(wǎng)址，打開網(wǎng)頁．若能看到6個圖標，說明就沒感染飛客病毒，若第一排圖標左右2個圖標不顯示，說明該機器中了飛客病毒A或B變種，若第一排圖標3個不顯示那就中了飛客病毒C變種等等．受害主機IH不能正常顯示第一排圖標左右2個圖標，如圖6所示，說明該機器可能中了飛客病毒A或B變種．

診斷步驟三：通過局域網(wǎng)上的其他主機診斷．飛客蠕蟲的傳播性極強，如果局域網(wǎng)內(nèi)有一臺機器因訪問含病毒網(wǎng)站，或含木馬郵件等方式感染了飛客蠕蟲，那么它很快就會試圖感染局域網(wǎng)內(nèi)其他有漏洞的主機．通過強保護主機SPH可以確認網(wǎng)絡上有無飛客蠕蟲在局域網(wǎng)內(nèi)進行嘗試傳播的情況，結(jié)果如圖7所示，SPH主機上的殺毒軟件在短短的 10多分鐘時間內(nèi)發(fā)現(xiàn)局域網(wǎng)內(nèi)有主機試圖向其進行病毒傳播．圖7中的IP地址192.168.0.194就是主機IH的 IP地址，IP地址192.168.0.212就是弱保護主機WPH的IP地址．可見，弱保護主機 WPH此時也已經(jīng)被飛客蠕蟲病毒感染了，這也說明飛客蠕蟲病毒具有極強的感染性．

通過上面三步診斷，可以初步確定主機 IH應該是感染了飛客蠕蟲病毒．

圖7 主機SPH上的殺毒軟件報告結(jié)果

2.4 病毒檢測與清除

確定主機 IH是被蠕蟲病毒感染后，接下來的任務就是要找出具體感染病毒的文件，準確地報出病毒名稱，并對其進行查殺清除等工作．

檢測與清除步驟一：使用Windows惡意軟件刪除工具檢測．通過主機 SPH從互聯(lián)網(wǎng)上下載Microsoft的 Windows惡意軟件刪除工具Windows-KB890830-V4.13.exe，在主機 IH上進行病毒檢測．結(jié)果發(fā)現(xiàn)該工具沒能檢測到該機器上的飛客蠕蟲病毒，結(jié)果見圖8所示，此次查毒嘗試失?。?/p>

檢測與清除步驟二：使用Windows清理助手進行檢測．通過主機 SPH從互聯(lián)網(wǎng)上下載Windows清理助手arswp3_x86.zip，在主機IH上進行病毒檢測．結(jié)果發(fā)現(xiàn)該工具檢測到8個可清理對象，結(jié)果見圖9，并導出這8個可清理對象的文件備份到“病毒檢測結(jié)果文件.zip”以待驗證．

檢測與清除步驟三：使用Windows清理助手進行病毒清除．在檢測結(jié)果界面圖9上選中全部對象，然后點擊‘執(zhí)行清理’按鈕就可以進行病毒清除．

圖8 清除病毒失敗

2.5 樣本驗證

打開備份出來的“病毒檢測結(jié)果文件.zip”文件，可以找到一個DLL文件，如圖10所示．為了驗證該文件是否為飛客蠕蟲病毒，可以采取病毒查殺工具、上網(wǎng)提交驗證等多種方式進行．

樣本驗證步驟一：使用病毒查殺工具進行驗證．把“病毒檢測結(jié)果文件.zip”文件拷貝到主機SPH上，解壓后，啟動病毒查殺工具對備份出來的文件進行檢查，結(jié)果如圖11所示．圖11中的w32.Downadup.B是諾頓殺毒軟件給飛客蠕蟲病毒變種B起的名稱．

圖9 木馬清理軟件檢查結(jié)果

圖10 飛客蠕蟲病毒文件

圖11 諾頓殺毒軟件檢查結(jié)果

圖12 VirSCAN網(wǎng)站檢測結(jié)果

樣本驗證步驟二：提交 VirSCAN網(wǎng)站驗證．VirSCAN網(wǎng)站是一個非盈利性的免費為廣大網(wǎng)友服務的網(wǎng)站，它通過多種不同廠家提供的最新版本的病毒檢測引擎來對上傳的可疑文件進行在線掃描，并立刻將檢測結(jié)果顯示出來．將“病毒檢測結(jié)果文件.zip”文件解壓出來的DLL文件重命名后，提交到VirSCAN網(wǎng)站進行檢測，結(jié)果如圖12所示．從圖12可以看到，多數(shù)檢測引擎認為提交的文件是飛客蠕蟲病毒．

通過上面 2步驗證后，可以確認主機 IH上的文件 xgzlgvjq.dll就是飛客蠕蟲病毒文件．從圖7也可以看到，飛客蠕蟲病毒已經(jīng)感染主機WPH，學生可以使用該主機進行實訓練習，掌握整個殺毒過程，鍛煉綜合解決實際問題的能力．

[1] 融燕，侯思奇．中美信息安全教育與培訓比較研究[J]．北京電子科技學院學報，2009，17（1）：27-31．

[2] 國家互聯(lián)網(wǎng)應急中心．CNCERT互聯(lián)網(wǎng)安全威脅報告[EB/OL]．http://www.cert.org.cn/, 2012-07（19）．

[3] 王宜陽，劉家豪．Conficker蠕蟲的分析與防范[J]．信息網(wǎng)絡安全，2010（10）：74-75．

[4] 江健，諸葛建偉，段海新，等．僵尸網(wǎng)絡機理與防御技術[J]．軟件學報，2012，23（1）：82-96．

[5] Rhiannon Weaver. A probabilistic population study of the Conficker-C botnet[C]// Proceedings of the 11th Passive and Active Measurement Conference(PAM 2010), 2010，6032：181-190．

[6] 李潤恒，王明華，賈焰．Conficker蠕蟲傳播模型[J]．數(shù)學的實踐與認識，2010（12）：89-97．

[7] Phillip Porras, Hassen Sa di, Vinod Yegneswaran. A Foray into Conficker's Logic and Rendezvous Points[C]//USENIX Workshop on Large-Scale Exploits and Emergent Threats(LEET), 2009．

[8] Lee L Chuan, Chan L Yee, Ismail M, Jumari K.Automating Uncompressing and Static Analysis of Conficker Worm[C]// Proc IEEE 9th Malaysia Int Communications (MICC) Conf, 2009：193-198．