蠕蟲病毒

蠕蟲是一種可以自我複製的代碼，並且通過網絡傳播，通常無需人為干預就能傳播。蠕蟲病毒入侵併完全控制一台計算機之後，就會把這台機器作為宿主，進而掃描並感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制之後，蠕蟲會以這些計算機為宿主繼續掃描並感染其他計算機，這種行為會一直延續下去。蠕蟲使用這種遞歸的方法進行傳播，按照指數增長的規律分佈自己，進而及時控制越來越多的計算機。 ^[2] 

(一)、較強的獨立性

計算機病毒一般都需要宿主程序，病毒將自己的代碼寫到宿主程序中，當該程序運行時先執行寫入的病毒程序，從而造成感染和破壞。而蠕蟲病毒不需要宿主程序，它是一段獨立的程序或代碼，因此也就避免了受宿主程序的牽制，可以不依賴於宿主程序而獨立運行，從而主動地實施攻擊。 ^[2] 

(二)、利用漏洞主動攻擊

由於不受宿主程序的限制，蠕蟲病毒可以利用操作系統的各種漏洞進行主動攻擊。例如，“尼姆達”病毒利用了IE遊覽器的漏洞，使感染病毒的郵件附件在不被打開的情況下就能激活病毒；“紅色代碼”利用了微軟IlSl服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播；而蠕蟲王病毒則是利用了微軟數據庫系統的一個漏洞進行攻擊。 ^[2] 

(三)、傳播更快更廣

蠕蟲病毒比傳統病毒具有更大的傳染性，它不僅僅感染本地計算機，而且會以本地計算機為基礎，感染網絡中所有的服務器和客户端。蠕蟲病毒可以通過網絡中的共享文件夾、電子郵件、惡意網頁以及存在着大量漏洞的服務器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致。因此，蠕蟲病毒的傳播速度可以是傳統病毒的幾百倍，甚至可以在幾個小時內蔓延全球。 ^[2] 

(四)、更好的偽裝和隱藏方式

為了使蠕蟲病毒在更大範圍內傳播，病毒的編制者非常注重病毒的隱藏方式。在通常情況下，我們在接收、查看電子郵件時，都採取雙擊打開郵件主題的方式來瀏覽郵件內容，如果郵件中帶有病毒，用户的計算機就會立刻被病毒感染。 ^[2] 

(五)、技術更加先進

一些蠕蟲病毒與網頁的腳本相結合，利用VBScript，Java，ActiveX等技術隱藏在HTML頁面裏。當用户上網遊覽含有病毒代碼的網頁時，病毒會自動駐留內存並伺機觸發。還有一些蠕蟲病毒與後門程序或木馬程序相結合，比較典型的是“紅色代碼病毒”，病毒的傳播者可以通過這個程序遠程控制該計算機。這類與黑客技術相結合的蠕蟲病毒具有更大的潛在威脅。 ^[2] 

(六)、使追蹤變得更困難

當蠕蟲病毒感染了大部分系統之後，攻擊者便能發動多種其他攻擊方式對付一個目標站點，並通過蠕蟲網絡隱藏攻擊者的位置，這樣要抓住攻擊者會非常困難。 ^[2] 

蠕蟲病毒的程序結構通常包括三個模塊： ^[3] 

(1)傳播模塊：負責蠕蟲的傳播，它可以分為掃描模塊、攻擊模塊和複製模塊三個子模塊。其中，掃描模塊負責探測存在漏洞的主機；攻擊模塊按漏洞攻擊步驟自動攻擊找到的對象；複製模塊通過原主機和新主機交互將蠕蟲程序複製到新主機並啓動。 ^[3] 

(2)隱藏模塊：侵入主機後，負責隱藏蠕蟲程序。 ^[3] 

(3)目的功能模塊：實現對計算機的控制、監視或破壞等。 ^[3] 

根據蠕蟲病毒的程序其工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段，首先蠕蟲程序隨機(或在某種傾向性策略下)選取某一段IP地址，接着對這一地址段的主機掃描，當掃描到有漏洞的計算機系統後，將蠕蟲主體遷移到目標主機。然後，蠕蟲程序進入被感染的系統，對目標主機進行現場處理。同時，蠕蟲程序生成多個副本，重複上述流程。各個步驟的繁簡程度也不同，有的十分複雜，有的則非常簡單。 ^[3] 

根據蠕蟲病毒在計算機及網絡中傳播方式的不同，人們大致將其分為五種。 ^[4] 

1、電子郵件E-mail蠕蟲病毒

通過電子郵件傳播的蠕蟲病毒，它以附件的形式或者是在信件中包含有被蠕蟲所感染的網站鏈接地址，當用户點擊閲讀附件時蠕蟲病毒被激活，或在用户點擊那個被蠕蟲所感染網站鏈接時被激活感染蠕蟲病毒。 ^[4] 

2、即時通訊軟件蠕蟲病毒

即時通訊軟件蠕蟲病毒是指利用即時通訊軟件，如QQ、MSN等通過對話窗日向在線好友發送欺騙性的信息，該信息一般會包含一個超鏈接。因為是在接受窗口中，可以直接點擊鏈接並啓動IElE就會和這個服務器連接，下載鏈接病毒頁面。這個病毒頁面中含有惡意代碼，會把蠕蟲下載本機並運行。這樣就完成了一次傳播。然後再以該機器為基點，向本機所能發現的好友發送同樣的欺騙性消息，繼續傳播蠕蟲病毒。 ^[4] 

3、P2P蠕蟲病毒

P2P蠕蟲是利用P2P應用協議和程序的特點、有漏洞的應用程序存在於P2P網絡中進行傳播的蠕蟲病毒。人們根據它發現目標和激活的方式，將P2P蠕蟲分為：偽裝型、沉默型和主動型三種。 ^[4] 

4、漏洞傳播的蠕蟲病毒

漏洞傳播的蠕蟲病毒就是基於漏洞來進行傳播的蠕蟲病毒，一般分為兩類：基於Windows共享網絡和UNIX網絡文件系統(NFS)的蠕蟲；利用攻擊操作系統或者網絡服務的漏洞來進行傳播的蠕蟲。 ^[4] 

5、搜索引擎傳播的蠕蟲病毒

基於搜索引擎傳播的蠕蟲病毒，通常其自身攜帶一個與漏洞相關的關鍵字列表，通過利用此列表在搜索引擎上搜索，當在搜索結果中找到了存在漏洞的主機，來進行攻擊。其特點是流量小，目標準確，隱蔽性強，傳播速度快，在整個傳播過程中，它和正常的搜索請求一樣。所以能夠容易的混入正常的流量，而很難被發現。 ^[4] 

1、掃描

由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發送探測漏洞的信息並收到成功的反饋信息後，就得到一個可傳播的對象。 ^[5] 

2、攻擊

攻擊模塊按漏洞攻擊步驟自動攻擊步驟l中找到的對象，取得該主機的權限(一般為管理員權限)，獲得一個shell。 ^[5] 

3、複製

複製模塊通過原主機和新主機的交互將蠕蟲程序複製到新主機並啓動。可以看到，傳播模塊實現的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術。 ^[5] 

1、利用漏洞

這種方式是網絡蠕蟲最主要的破壞方式，也是網絡蠕蟲的一個最顯著的特點。網絡蠕蟲攻擊時，首先探測目標計算機存在的漏洞，然後根據探測到的漏洞建立傳播路徑，最後實施攻擊。 ^[6] 

2、依賴Email傳播

以電子郵件附件的形式進行傳播是網絡蠕蟲採用的主要傳播方式，蠕蟲編寫者通過向用户發送電子郵件，用户在點擊電子郵件附件時，網絡蠕蟲就會感染此計算機。 ^[6] 

3、依賴網絡共享

網絡共享是網絡蠕蟲傳播的重要途徑之一，網絡蠕蟲利用共享網絡資源進行傳播。 ^[6] 

4、弱密碼攻擊

若用户的密碼很容易猜測，網絡蠕蟲則會在攻克了用户密碼後進入計算機並獲得其控制權。所以用户應該設置複雜的密碼，增加破解難度。 ^[6] 

第一步：用各種方法收集目標主機的信息，找到可利用的漏洞或弱點。方法包括用掃描器掃描主機，探測主機的操作系統類型、版本，主機名，用户名，開放的端口，開放的服務，開放的服務器軟件版本等。當然是信息蒐集的越全越好。蒐集完信息後進入第二步。 ^[5] 

第二步：針對目標主機的漏洞或缺陷，採取相應的技術攻擊主機，直到獲得主機的管理員權限。對蒐集來的信息進行分析，找到可以有效利用的信息。如果有現成的漏洞可以利用，上網找到該漏洞的攻擊方法，如果有攻擊代碼就直接COPY下來，然後用該代碼取得權限；如果沒有現成的漏洞可以利用，就用根據蒐集的信息試探猜測用户密碼，另一方面試探研究分析其使用的系統，爭取分析出—個可利用的漏洞。

第三步：利用獲得的權限在主機上安裝後門、跳板、控制端、監視器等等，清除日誌。有了主機的權限，就可以進入計算機系統完成想完成的任務了。 ^[5] 

1、基於特徵的檢測技術

這是目前檢測蠕蟲最普遍的技術，主要源於模式匹配的思想。掃描程序工作之前，先要建立蠕蟲的特徵文件，根據保存在特徵文件中的特徵串，在掃描文件中進行匹配查找。如該數據包不符合特徵串，則不干預該數據包；如該數據包符合特徵串，則截斷該數據包。用户通過更新特徵文件更新掃描軟件，從而能夠實現掃描新出現的蠕蟲的目的。但這種方法的缺陷就是隻能夠查找已知的蠕蟲，而對於未知蠕蟲無法做到有效的防禦。 ^[6] 

2、基於語義的分析技術

基於特徵的檢測技術對於未知的蠕蟲沒有防禦能力，為了克服這個缺點，通過對蠕蟲進行語義研究，從而發現代碼中是否含有破壞性成分的方法應運而生。具體方法是通過收集計算機和網絡活動的數據以及它們之間的連接等信息來檢測蠕蟲。目前著名的基於GrIDS的網絡蠕蟲檢測技術就屬於這一類。它收集計算機和網絡活動的數據以及它們之間的連接。根據這些信息構建網絡活動行為來表徵網絡活動結構上的因果關係。它通過建立和分析節點間的行為圖，與預定義的行為模式圖進行匹配，檢測網絡蠕蟲是否存在。該技術不僅能夠檢測已有的網絡蠕蟲，也能夠檢測大部分未知蠕蟲，並且能夠檢測分佈式網絡蠕蟲。然而GrIDS只作簡單的基於事件的關聯分析，沒有對網絡中傳輸的包信息基於上下文的相關性分析，沒有對TCP連接中的目標地址和目標服務進行分析。由中科院卿斯漢提出的基於網狀關聯分析的蠕蟲檢測方法在GrIDS的基礎上加以改進。它採用分佈式體系結構，充分利用網絡環境中各探測電提供的信息和數據，通過對網絡數據的傳輸行為的數據挖掘和異常檢測來進行信息流的源節點與目標節點的關聯分析。 ^[6] 

3、防火牆及路由控制

合理配置防火牆，禁止除需要的服務端口外的其它所有端口。由於蠕蟲要通過網絡感染系統，向開放的端口發送攻擊代碼是必不可少的一個步驟，禁止端口可以切斷蠕蟲的發動攻擊的通道。同時，對於己經被感染的系統，防火牆也可以使它不能夠再對網絡中的其它計算機發動攻擊。通過配置路由器，可以屏蔽和過濾含有某個蠕蟲特徵的報文，達到封堵的效果。 ^[6] 

病毒並不是非常可怕的，網絡蠕蟲病毒對個人用户的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防範此類病毒需要注意以下幾點： ^[7] 

1、選購合適的殺毒軟件。網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向內存實時監控和郵件實時監控發展！另外，面對防不勝防的網頁病毒，也使得用户對殺毒軟件的要求越來越高！ ^[7] 

2、經常升級病毒庫，殺毒軟件對病毒的查殺是以病毒的特徵碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度快、變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。 ^[7] 

3、提高防殺毒意識。不要輕易去點擊陌生的站點，有可能裏面就含有惡意代碼！當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止，就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標籤，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以後的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。 ^[7] 

4、不隨意查看陌生郵件，尤其是帶有附件的郵件。由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用户需要升級ie和outlook程序，及常用的其他應用程序。最新蠕蟲病毒“蒙面客”被發現，可泄漏用户隱私。 ^[7]