蠕虫病毒分析方法

1. 蠕虫病毒是什么

蠕虫是通过网络主动复制自己传播的程序

蠕虫传播途径

• 邮件蠕虫–Loveletter，在OUTlook或foxmail中找到联系人，将恶意程序发给联系人，让所有的联系人都收到这样的邮件；
• 即时通漏洞–MSN/Worm.MM，通过QQ、微信传播的蠕虫病毒，通过即时消息发送；
• 操作系统或应用网络漏洞–CodeRed，Nimda，往往很难发现

2.蠕虫病毒的行为特点

2.1 蠕虫传播

扫描阶段

• 传输层TCP握手包数量异常
• 网络层IP会话数异常
• 持续性扫描

渗透传播阶段

• 同一目标多次会话，不断尝试目标主机漏洞是否可利用。或者通过暴力破解等方式建立多个会话去尝试。
• 会话内容编码可疑

2.2 蠕虫的网络行为特征

网络层

• 同大量的主机会话
• 大多是发包，每个会话流量很少

会话层

• 会话连接很多
• 大多是发出的TCP SYN包，大部分没有响应或被拒绝

总体流量不一定很大，但发包远大于收包数量

3.分析案例

8月1日，8月4日TCP会话出现峰值，且同步和同步确认数量相差较大，出现异常，经与用户沟通，业务上业也无变化，需要进一步分析，通过网络流量发现感染主机

1. 通过沟通，用户在使用网络过程中没有感知到变化或其他异常。
2. 对同步未确认包发送较多这段周期时间的数据进行统计分析，定位到发送TCP同步包数量较多的主机。
   
3. 进一步提取指定主机的数据包，解码分析发现该IP有10000个TCP会话，且在1秒钟内向至少20个IP的445端口发送了相同数量的数据包，并且绝大部分目标没有响应。
   
4. 可以通过会话包数超过两个的来判断哪写是扫描成功的，通过使用的协议初步判断中了微软的CIFS蠕虫病毒，建议对该IP进行查杀。
5. 继续排查其他主机，发现192.168.1.37对内网的139、445端口进行扫描通信，而且通信方式和发包数量完全相同。
   
6. 选取其中两个会话进行分析，第一个会话可以看到前三个包是三次握手，之后交互了6个包是传输的数据，后面紧接着关闭了会话。第二个会话也是同样的情况，这种情况就比较可疑了。
   
7. 通过还原数据流，发现全部是乱码，但是可以看到使用administrator账号进行登录，密码部分有变化，所以乱码的地方不一致。通过这些信息判断这台主机可能感染了基于微软文件共享的蠕虫
   
8. CIFS蠕虫病毒在扫描、爆破期间会发送大量的SYN包，这种包长较小，约为70bytes左右，我们可以通过这些特征全流量分析设备的告警功能设置告警，在单位时间内每秒包长小于128bytes的，判定为CIFS蠕虫。
   

通过回溯分析技术发现网络中存在的异常访问，找出引起异常的根本原因。分析到数据包级别的问题。

通过数据包解读，了解最细微的网络动作，将网络由不可见的“黑盒”变的透明。

还能够依据分析结果，找出问题特征，通过警报系统预警同类问题发生。