病毒特徵

2.3.3.1 Code Red Worm

感染紅色警戒病毒後，主機至少會被植入第一代木馬，這支木馬會 持續送出攻擊封包，企圖感染別的主機。這些攻擊行為有一個特性，

就是每個 flow 的 desitonation port=80, packets=3, size=144

2.3.3.2 Nimda Worm

Nimda 由於使用多種漏洞，並且依照被攻擊主機有不同行為， 無 法以特定 Packet 數量和 Byte 數量作為判斷條件，因此採用

desitonation port = 80 且五分鐘內同一 IP 之 flow 數大於threshold 判 斷。

2.3.3.3 SQL Slammer

自2003/01/25起網際網路開始遭受SQL Slammer蠕蟲的威脅，受害 主機以UDP Port 1434高速溢滿網際網路，形成分散式阻斷服務攻擊 (DDOS)。

面引擎 (MSDE) 2000。它利用Microsoft SQL Server 2000的緩衝區滿溢 漏洞進行傳播。這個漏洞的成因是SQL沒有妥善處理傳送往UDP port 1434的數據。

當SQL伺服器收到惡意要求，會引致緩衝區滿溢而令蠕蟲可以執 行。當它入侵了有漏洞的系統後，便開始在網路上循環的尋找其他有 漏洞的主機，再利用UDP連接埠1434將自已傳送到有漏洞的主機，一 傳十、十傳百，進而癱瘓整個網路。

2.3.3.4 疾風病毒 MSBLAST(DCOM_RPC)

受感染的電腦會出現「RPC服務意外終止，倒數60秒重新啟動」的 訊息，造成系統不斷重開機、無法執行複製貼上或拖曳圖示的動作、

新增移除程式呈現空白狀態、某些應用程式且無法執行（例如Internet Explorer、Microsoft Outlook、Outlook Express、MS Office...等），也會 讓網路與系統速度都變慢。不過，此病毒不具大量寄送郵件的症狀。

病毒發作為1 - 8月的16 - 31日，9 - 12月的任一天。該病蟲試圖對 Windows Update執行「拒絕服務」（DoS）攻擊。其目的是阻止你使用 針對DCOM RPC弱點的修正程式。

其 DoS 流量具有下列特徵：

1. 在 windowsupdate.com 的埠號 80 上有 SYN 流量。

2. 試圖每秒傳送 50 個 RPC 封包及 50 個 HTTP 封包。

3. 每個封包長度為 40 位元組。

4. 如果病蟲在 DNS 裏找不到 windowsupdate.com，它會使用 255.255.255.255 作 d目標位址。

2.3.3.5 Welchia 假好心病毒

此病毒為「疾風」病毒的變種，檔案名稱為「dllhost.exe」（在Window

系統中也有另外一個同名的系統檔案，但大小只有6 KB。）。它會試圖

從Microsoft的Windows Update網站下載更新程式，並移除先前的「疾 風」病毒，然後開啟電腦的666 ~ 765 Port以進行感染，所以被稱為「假

好心病毒」。此病毒當電腦的系統時間為2004年時，會自動從系統內移

除。此病蟲會使用兩種不同的方式來選取受害者的IP位址。它會從受 感染機器的IP (A.B.C.D)中使用A.B.0.0並往上累加，或者根據某些內建 的位址來隨機建立IP位址。當選定開始位址後，它會在Class C網路的 位址範圍內往上累加。例如，若從A.B.0.0開始，它將往上累加到至少 A.B.255.255。此病蟲將傳送ICMP回應或PING來檢查所建立的IP位址是 否為網路上啟用中的機器。一旦病蟲辨識出此位址屬於網路上啟用中 的機器，它將傳送資料至TCP port 135以探測DCOM RPC弱點，或者傳