謝朝海，劉立超，蔡學(xué)軍

（1.深圳職業(yè)技術(shù)學(xué)院，廣東 深圳 518055；2.深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司，廣東 深圳 518028）

信息安全技術(shù)是一個(gè)新興的多學(xué)科交叉學(xué)科技術(shù)，具有實(shí)踐性、復(fù)合性、特殊性等特點(diǎn)．這些技術(shù)特點(diǎn)決定了信息安全技術(shù)課程學(xué)生除了需要掌握扎實(shí)的理論基礎(chǔ)，還必須具備較強(qiáng)的工程實(shí)踐能力．案例教學(xué)是培養(yǎng)學(xué)生專業(yè)技術(shù)應(yīng)用能力和職業(yè)技能的主要手段，是高職教育最重要的特色之一，它是凸顯高職與社會(huì)企業(yè)崗位相融通的重要環(huán)節(jié)，也是由知識(shí)轉(zhuǎn)向技能的重要手段．因此，信息安全課程教學(xué)案例體系的建設(shè)在很大程度上決定著高職高專信息安全技術(shù)人才的培養(yǎng)質(zhì)量．在國際上，信息安全技術(shù)專業(yè)的教育普遍重視案例教學(xué)的作用，強(qiáng)調(diào)充分利用高質(zhì)量的實(shí)訓(xùn)案例環(huán)境與企業(yè)資源來訓(xùn)練學(xué)生的崗位職業(yè)能力．例如，美國很早就在其“國家信息安全教育培訓(xùn)計(jì)劃”要求加強(qiáng)學(xué)生實(shí)踐技能培養(yǎng)，并在“國家信息系統(tǒng)安全專業(yè)人才培訓(xùn)標(biāo)準(zhǔn)”明確提出實(shí)踐層面的知識(shí)，強(qiáng)調(diào)通過項(xiàng)目案例來加強(qiáng)學(xué)生保護(hù)信息系統(tǒng)安全的職業(yè)能力[1]．

“信息安全基礎(chǔ)”課程教學(xué)內(nèi)容主要是信息安全領(lǐng)域的公共基礎(chǔ)知識(shí)和一般性應(yīng)用知識(shí)，涉及密碼學(xué)、防火墻、病毒防治與信息安全工程等方面知識(shí)．其中，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中的病毒防治是所有企事業(yè)單位都面臨的重要信息安全問題，病毒防治知識(shí)應(yīng)用面廣，但由于其理解起來較為困難和枯燥，直接講授難以激發(fā)學(xué)生的學(xué)習(xí)熱情，難以達(dá)到熟練應(yīng)用的教學(xué)目標(biāo)，需要采取案例教學(xué)．另一方面，由于病毒的傳播性強(qiáng)，其樣本的抓取、保護(hù)和合理使用都比較困難，因此，在信息安全課程建設(shè)中不易構(gòu)造好的病毒知識(shí)實(shí)戰(zhàn)教學(xué)案例．

飛客蠕蟲是近兩年感染率最高的蠕蟲病毒．國家互聯(lián)網(wǎng)應(yīng)急中心公布，2012年7月，境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)約為340萬個(gè)，其中，境內(nèi)感染飛客蠕蟲的主機(jī)IP約為260萬個(gè)[2]．使用這種當(dāng)前流行的又極具代表性的蠕蟲作為“信息安全基礎(chǔ)”課程的病毒防治知識(shí)實(shí)戰(zhàn)教學(xué)案例，可以讓學(xué)生在充分領(lǐng)會(huì)信息安全基礎(chǔ)知識(shí)的同時(shí)，激勵(lì)學(xué)生學(xué)習(xí)興趣，鍛煉綜合解決實(shí)際問題的能力，符合應(yīng)用型人才培養(yǎng)目標(biāo)的要求．

1 飛客蠕蟲病毒基礎(chǔ)

1.1 飛客蠕蟲病毒

飛客蠕蟲最早發(fā)現(xiàn)于 2008年 11月，它以Windows操作系統(tǒng)為攻擊目標(biāo)．現(xiàn)存在 A、B、B++、C、E五個(gè)主要變種，這些變種的功能和隱蔽性比原始程序得到了很大提升[3]．

飛客蠕蟲自出現(xiàn)以來，已經(jīng)在全球范圍內(nèi)得到了大范圍傳播，形成了巨大的僵尸網(wǎng)絡(luò)[4,5]．飛客蠕蟲與其他傳統(tǒng)蠕蟲在傳播模式上有著顯著的區(qū)別：傳統(tǒng)蠕蟲的傳播和泛濫會(huì)占用大量網(wǎng)絡(luò)和主機(jī)系統(tǒng)資源，對(duì)網(wǎng)絡(luò)造成瞬間巨大的損害，同時(shí)，瞬間的爆發(fā)迫使各種查殺工具的出現(xiàn)進(jìn)而大部分感染主機(jī)在較短的時(shí)間內(nèi)得到修復(fù)，但是飛客蠕蟲從發(fā)現(xiàn)至今，一直處于潛伏期，并沒有重大惡意攻擊行為的發(fā)生，因此其查殺難度更大，傳播周期更長[6]．

1.2 蠕蟲病毒原理分析

飛客蠕蟲病毒主要是借助閃存、利用微軟的MS08-067漏洞以及通過加掛自帶的字典猜解存在弱口令主機(jī)使用IPC$通道進(jìn)行傳播的[7]．當(dāng)飛客病毒進(jìn)入系統(tǒng)后，首先破壞系統(tǒng)中的默認(rèn)屬性設(shè)置，接著會(huì)自動(dòng)掃描局域網(wǎng)內(nèi)其他計(jì)算機(jī)是否存在MS08-067漏洞或者弱口令，一旦發(fā)現(xiàn)有存在問題的計(jì)算機(jī)系統(tǒng)，就會(huì)通過漏洞攻擊或者通過IPC$通道，進(jìn)行遠(yuǎn)程感染[8]．如果受感染的計(jì)算機(jī)插入優(yōu)盤，飛客蠕蟲就會(huì)向優(yōu)盤寫入病毒體，創(chuàng)建Autorun.inf，當(dāng)其他計(jì)算機(jī)插入此優(yōu)盤，即可通過“自動(dòng)運(yùn)行”的功能受到感染．

飛客蠕蟲的病毒主體僅僅是一個(gè) DLL動(dòng)態(tài)鏈接庫文件，不同于傳統(tǒng)的一些蠕蟲病毒．傳統(tǒng)病毒主體往往是一個(gè)可執(zhí)行的exe文件．這些蠕蟲病毒可能是自身就帶有病毒功能，也可能是運(yùn)行后釋放出帶有病毒功能的 DLL或者 sys文件．飛客蠕蟲只有一個(gè)DLL文件，這種蠕蟲主體文件本身無法直接執(zhí)行，但是可以用rundll32.exe加載或者作為模塊加載在其他進(jìn)程中運(yùn)行．同時(shí)，與以往病毒相比，飛客蠕蟲可以通過P2P協(xié)議自我更新，這也就意味著通過它，控制者可以隨時(shí)為其升級(jí)，實(shí)現(xiàn)各種功能．飛客蠕蟲在系統(tǒng)中運(yùn)行起來之后，首先會(huì)檢查Workstation、Server和Computer browser這3個(gè)服務(wù)，如果有其中一個(gè)服務(wù)未啟動(dòng)，則病毒功能終止.如果這3個(gè)服務(wù)都啟動(dòng)的話，則蠕蟲啟動(dòng)相應(yīng)的病毒功能，枚舉局域網(wǎng)內(nèi)的IP地址，并對(duì)每個(gè)存活的主機(jī)嘗試進(jìn)行MS 08-067漏洞利用攻擊，一旦攻擊成功就會(huì)將自身拷貝到被攻陷的系統(tǒng)中并在其內(nèi)存中運(yùn)行．圖1是飛客蠕蟲變種A的程序主要流程圖．

圖1 飛客蠕蟲變種A的程序主要流程圖

2 飛客蠕蟲查殺實(shí)戰(zhàn)案例

為了達(dá)到實(shí)戰(zhàn)案例教學(xué)的目的，本文設(shè)計(jì)一個(gè)涉及飛客蠕蟲病毒診斷、中毒文件檢測和病毒清除、對(duì)病毒樣本進(jìn)行驗(yàn)證等病毒查殺完整過程的教學(xué)案例．

2.1 實(shí)戰(zhàn)案例網(wǎng)絡(luò)環(huán)境

實(shí)戰(zhàn)案例網(wǎng)絡(luò)環(huán)境如圖2所示．IH是一臺(tái)已經(jīng)被飛客蠕蟲感染的主機(jī)．飛客蠕蟲病毒樣本可以通過http://www.offensive computing.net網(wǎng)站獲得．WPH是一臺(tái)弱保護(hù)主機(jī)，存在 MS 08-067漏洞，配置了弱口令和網(wǎng)絡(luò)共享，是飛客蠕蟲傳播攻擊的目標(biāo)．在網(wǎng)絡(luò)拓?fù)鋱D中設(shè)置該主機(jī)目的是待飛客蠕蟲對(duì)其進(jìn)行感染后，可以供學(xué)生進(jìn)行病毒查殺實(shí)訓(xùn)練習(xí)使用．SPH是一臺(tái)強(qiáng)保護(hù)主機(jī)，安裝了最新安全補(bǔ)丁，配置了強(qiáng)口令，安裝有最新版本的殺毒軟件．

圖2 實(shí)戰(zhàn)案例網(wǎng)絡(luò)拓?fù)涫疽鈭D

2.2 中毒現(xiàn)象演示

首先，在受害主機(jī)IH上通過ping命令和瀏覽百度等網(wǎng)站，證明網(wǎng)絡(luò)是暢通的，可以正常上網(wǎng)．然后，再試圖訪問微軟公司的惡意軟件刪除工具網(wǎng)站，結(jié)果發(fā)現(xiàn)不能訪問，如圖3所示．這是顯著的飛客蠕蟲中毒現(xiàn)象，即不能訪問許多系統(tǒng)升級(jí)和病毒軟件升級(jí)網(wǎng)站．

圖3 訪問微軟網(wǎng)站結(jié)果

2.3 中毒診斷

如何進(jìn)一步診斷一臺(tái)計(jì)算機(jī)是否中了飛客蠕蟲病毒呢？其實(shí)計(jì)算機(jī)中毒跟人生病一樣，總會(huì)有一些明顯的癥狀表現(xiàn)出來的．感染飛客蠕蟲后的計(jì)算機(jī)會(huì)禁止系統(tǒng)訪問各種殺毒廠商的網(wǎng)站和相關(guān)安全信息內(nèi)容．根據(jù)這個(gè)特性我們可以檢查一臺(tái)計(jì)算機(jī)是否中了飛客蠕蟲病毒．

診斷步驟一：受害主機(jī)殺毒軟件不能啟動(dòng)監(jiān)控功能和正常升級(jí)．在受害主機(jī) IH上試圖啟動(dòng)殺毒軟件的安全防護(hù)功能，結(jié)果發(fā)現(xiàn)不能啟動(dòng)，如圖4所示．試圖進(jìn)行殺毒軟件的升級(jí)，發(fā)現(xiàn)不能進(jìn)行正常升級(jí)，如圖5所示．

圖4 殺毒軟件保護(hù)功能啟動(dòng)結(jié)果

圖5 殺毒軟件升級(jí)結(jié)果

圖6 訪問測試網(wǎng)站結(jié)果

診斷步驟二：上網(wǎng)診斷．針對(duì)飛客蠕蟲，互聯(lián)網(wǎng)上有專門的診斷網(wǎng)站．可以通過該網(wǎng)站進(jìn)行飛客蠕蟲感染情況的初步診斷．在受害主機(jī) IH上輸入：http://www.confickerworkinggroup.org/infection_test/cfeyechart.html網(wǎng)址，打開網(wǎng)頁．若能看到6個(gè)圖標(biāo)，說明就沒感染飛客病毒，若第一排圖標(biāo)左右2個(gè)圖標(biāo)不顯示，說明該機(jī)器中了飛客病毒A或B變種，若第一排圖標(biāo)3個(gè)不顯示那就中了飛客病毒C變種等等．受害主機(jī)IH不能正常顯示第一排圖標(biāo)左右2個(gè)圖標(biāo)，如圖6所示，說明該機(jī)器可能中了飛客病毒A或B變種．

診斷步驟三：通過局域網(wǎng)上的其他主機(jī)診斷．飛客蠕蟲的傳播性極強(qiáng)，如果局域網(wǎng)內(nèi)有一臺(tái)機(jī)器因訪問含病毒網(wǎng)站，或含木馬郵件等方式感染了飛客蠕蟲，那么它很快就會(huì)試圖感染局域網(wǎng)內(nèi)其他有漏洞的主機(jī)．通過強(qiáng)保護(hù)主機(jī)SPH可以確認(rèn)網(wǎng)絡(luò)上有無飛客蠕蟲在局域網(wǎng)內(nèi)進(jìn)行嘗試傳播的情況，結(jié)果如圖7所示，SPH主機(jī)上的殺毒軟件在短短的 10多分鐘時(shí)間內(nèi)發(fā)現(xiàn)局域網(wǎng)內(nèi)有主機(jī)試圖向其進(jìn)行病毒傳播．圖7中的IP地址192.168.0.194就是主機(jī)IH的 IP地址，IP地址192.168.0.212就是弱保護(hù)主機(jī)WPH的IP地址．可見，弱保護(hù)主機(jī) WPH此時(shí)也已經(jīng)被飛客蠕蟲病毒感染了，這也說明飛客蠕蟲病毒具有極強(qiáng)的感染性．

通過上面三步診斷，可以初步確定主機(jī) IH應(yīng)該是感染了飛客蠕蟲病毒．

圖7 主機(jī)SPH上的殺毒軟件報(bào)告結(jié)果

2.4 病毒檢測與清除

確定主機(jī) IH是被蠕蟲病毒感染后，接下來的任務(wù)就是要找出具體感染病毒的文件，準(zhǔn)確地報(bào)出病毒名稱，并對(duì)其進(jìn)行查殺清除等工作．

檢測與清除步驟一：使用Windows惡意軟件刪除工具檢測．通過主機(jī) SPH從互聯(lián)網(wǎng)上下載Microsoft的 Windows惡意軟件刪除工具Windows-KB890830-V4.13.exe，在主機(jī) IH上進(jìn)行病毒檢測．結(jié)果發(fā)現(xiàn)該工具沒能檢測到該機(jī)器上的飛客蠕蟲病毒，結(jié)果見圖8所示，此次查毒嘗試失?。?/p>

檢測與清除步驟二：使用Windows清理助手進(jìn)行檢測．通過主機(jī) SPH從互聯(lián)網(wǎng)上下載Windows清理助手arswp3_x86.zip，在主機(jī)IH上進(jìn)行病毒檢測．結(jié)果發(fā)現(xiàn)該工具檢測到8個(gè)可清理對(duì)象，結(jié)果見圖9，并導(dǎo)出這8個(gè)可清理對(duì)象的文件備份到“病毒檢測結(jié)果文件.zip”以待驗(yàn)證．

檢測與清除步驟三：使用Windows清理助手進(jìn)行病毒清除．在檢測結(jié)果界面圖9上選中全部對(duì)象，然后點(diǎn)擊‘執(zhí)行清理’按鈕就可以進(jìn)行病毒清除．

圖8 清除病毒失敗

2.5 樣本驗(yàn)證

打開備份出來的“病毒檢測結(jié)果文件.zip”文件，可以找到一個(gè)DLL文件，如圖10所示．為了驗(yàn)證該文件是否為飛客蠕蟲病毒，可以采取病毒查殺工具、上網(wǎng)提交驗(yàn)證等多種方式進(jìn)行．

樣本驗(yàn)證步驟一：使用病毒查殺工具進(jìn)行驗(yàn)證．把“病毒檢測結(jié)果文件.zip”文件拷貝到主機(jī)SPH上，解壓后，啟動(dòng)病毒查殺工具對(duì)備份出來的文件進(jìn)行檢查，結(jié)果如圖11所示．圖11中的w32.Downadup.B是諾頓殺毒軟件給飛客蠕蟲病毒變種B起的名稱．

圖9 木馬清理軟件檢查結(jié)果

圖10 飛客蠕蟲病毒文件

圖11 諾頓殺毒軟件檢查結(jié)果

圖12 VirSCAN網(wǎng)站檢測結(jié)果

樣本驗(yàn)證步驟二：提交 VirSCAN網(wǎng)站驗(yàn)證．VirSCAN網(wǎng)站是一個(gè)非盈利性的免費(fèi)為廣大網(wǎng)友服務(wù)的網(wǎng)站，它通過多種不同廠家提供的最新版本的病毒檢測引擎來對(duì)上傳的可疑文件進(jìn)行在線掃描，并立刻將檢測結(jié)果顯示出來．將“病毒檢測結(jié)果文件.zip”文件解壓出來的DLL文件重命名后，提交到VirSCAN網(wǎng)站進(jìn)行檢測，結(jié)果如圖12所示．從圖12可以看到，多數(shù)檢測引擎認(rèn)為提交的文件是飛客蠕蟲病毒．

通過上面 2步驗(yàn)證后，可以確認(rèn)主機(jī) IH上的文件 xgzlgvjq.dll就是飛客蠕蟲病毒文件．從圖7也可以看到，飛客蠕蟲病毒已經(jīng)感染主機(jī)WPH，學(xué)生可以使用該主機(jī)進(jìn)行實(shí)訓(xùn)練習(xí)，掌握整個(gè)殺毒過程，鍛煉綜合解決實(shí)際問題的能力．

[1] 融燕，侯思奇．中美信息安全教育與培訓(xùn)比較研究[J]．北京電子科技學(xué)院學(xué)報(bào)，2009，17（1）：27-31．

[2] 國家互聯(lián)網(wǎng)應(yīng)急中心．CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告[EB/OL]．http://www.cert.org.cn/, 2012-07（19）．

[3] 王宜陽，劉家豪．Conficker蠕蟲的分析與防范[J]．信息網(wǎng)絡(luò)安全，2010（10）：74-75．

[4] 江健，諸葛建偉，段海新，等．僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]．軟件學(xué)報(bào)，2012，23（1）：82-96．

[5] Rhiannon Weaver. A probabilistic population study of the Conficker-C botnet[C]// Proceedings of the 11th Passive and Active Measurement Conference(PAM 2010), 2010，6032：181-190．

[6] 李潤恒，王明華，賈焰．Conficker蠕蟲傳播模型[J]．?dāng)?shù)學(xué)的實(shí)踐與認(rèn)識(shí)，2010（12）：89-97．

[7] Phillip Porras, Hassen Sa di, Vinod Yegneswaran. A Foray into Conficker's Logic and Rendezvous Points[C]//USENIX Workshop on Large-Scale Exploits and Emergent Threats(LEET), 2009．

[8] Lee L Chuan, Chan L Yee, Ismail M, Jumari K.Automating Uncompressing and Static Analysis of Conficker Worm[C]// Proc IEEE 9th Malaysia Int Communications (MICC) Conf, 2009：193-198．