蠕蟲病毒

蠕蟲是一種可以自我複製的代碼，並且通過網路傳播，通常無需人為干預就能傳播。蠕蟲病毒入侵併完全控制一台計算機之後，就會把這台機器作為宿主，進而掃描並感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制之後，蠕蟲會以這些計算機為宿主繼續掃描並感染其他計算機，這種行為會一直延續下去。蠕蟲使用這種遞歸的方法進行傳播，按照指數增長的規律分布自己，進而及時控制越來越多的計算機。

(一)、較強的獨立性

計算機病毒一般都需要宿主程式，病毒將自己的代碼寫到宿主程式中，當該程式運行時先執行寫入的病毒程式，從而造成感染和破壞。而蠕蟲病毒不需要宿主程式，它是一段獨立的程式或代碼，因此也就避免了受宿主程式的牽制，可以不依賴於宿主程式而獨立運行，從而主動地實施攻擊。

(二)、利用漏洞主動攻擊

由於不受宿主程式的限制，蠕蟲病毒可以利用作業系統的各種漏洞進行主動攻擊。例如，“尼姆達”病毒利用了IE遊覽器的漏洞，使感染病毒的郵件附屬檔案在不被打開的情況下就能激活病毒；“紅色代碼”利用了微軟IlSl]艮務器軟體的漏洞(idq.dll遠程快取區溢出)來傳播；而蠕蟲王病毒則是利用了微軟資料庫系統的一個漏洞進行攻擊。

(三)、傳播更快更廣

蠕蟲病毒比傳統病毒具有更大的傳染性，它不僅僅感染本地計算機，而且會以本地計算機為基礎，感染網路中所有的伺服器和客戶端。蠕蟲病毒可以通過網路中的已分享檔案夾、電子郵件、惡意網頁以及存在著大量漏洞的伺服器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致。因此，蠕蟲病毒的傳播速度可以是傳統病毒的幾百倍，甚至可以在幾個小時內蔓延全球。

(四)、更好的偽裝和隱藏方式

為了使蠕蟲病毒在更大範圍內傳播，病毒的編制者非常注重病毒的隱藏方式。在通常情況下，我們在接收、查看電子郵件時，都採取雙擊打開郵件主題的方式來瀏覽郵件內容，如果郵件中帶有病毒，用戶的計算機就會立刻被病毒感染。

(五)、技術更加先迸

一些蠕蟲病毒與網頁的腳本相結合，利用VBScript，Java，ActiveX等技術隱藏在HTML頁面里。當用戶上網遊覽含有病毒代碼的網頁時，病毒會自動駐留記憶體並伺機觸發。還有一些蠕蟲病毒與後門程式或木馬程式相結合，比較典型的是“紅色代碼病毒”，病毒的傳播者可以通過這個程式遠程控制該計算機。這類與黑客技術相結合的蠕蟲病毒具有更大的潛在威脅。

(六)、使追蹤變得更困難

當蠕蟲病毒感染了大部分系統之後，攻擊者便能發動多種其他攻擊方式對付一個目標站點，並通過蠕蟲網路隱藏攻擊者的位置，這樣要抓住攻擊者會非常困難。

蠕蟲病毒的程式結構通常包括三個模組：

(1)傳播模組：負責蠕蟲的傳播，它可以分為掃描模組、攻擊模組和複製模組三個子模組。其中，掃描模組負責探測存在漏洞的主機；攻擊模組按漏洞攻擊步驟自動攻擊找到的對象；複製模組通過原主機和新主機互動將蠕蟲程式複製到新主機並啟動。

(2)隱藏模組：侵入主機後，負責隱藏蠕蟲程式。

(3)目的功能模組：實現對計算機的控制、監視或破壞等。

根據蠕蟲病毒的程式其工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段，首先蠕蟲程式隨機(或在某種傾向性策略下)選取某一段IP位址，接著對這一地址段的主機掃描，當掃描到有漏洞的計算機系統後，將蠕蟲主體遷移到目標主機。然後，蠕蟲程式進入被感染的系統，對目標主機進行現場處理。同時，蠕蟲程式生成多個副本，重複上述流程。各個步驟的繁簡程度也不同，有的十分複雜，有的則非常簡單。

根據蠕蟲病毒在計算機及網路中傳播方式的不同，人們大致將其分為五種。

1、電子郵件E-mail蠕蟲病毒

通過電子郵件傳播的蠕蟲病毒，它以附屬檔案的形式或者是在信件中包含有被蠕蟲所感染的網站連結地址，當用戶點擊閱讀附屬檔案時蠕蟲病毒被激活，或在用戶點擊那個被蠕蟲所感染網站連結時被激活感染蠕蟲病毒。

2、即時通訊軟體蠕蟲病毒

即時通訊軟體蠕蟲病毒是指利用即時通訊軟體，如QQ、NsN等通過對話窗日向線上好友傳送欺騙性的信息，該信息一般會包含一個超連結。因為是在接受視窗中，可以直接點擊連結並啟動IElE就會和這個伺服器連線，下載連結病毒頁面。這個病毒頁面中含有惡意代碼，會把蠕蟲下載本機並運行。這樣就完成了一次傳播。然後再以該機器為基點，向本機所能發現的好友傳送同樣的欺騙性訊息，繼續傳播蠕蟲病毒。

3、P2P蠕蟲病毒

P2P蠕蟲是利用P2P套用協定和程式的特點、有漏洞的應用程式存在於P2P網路中進行傳播的蠕蟲病毒。人們根據它發現目標和激活的方式，將P2P蠕蟲分為：偽裝型、沉默型和主動型三種。

4、漏洞傳播的蠕蟲病毒

漏洞傳播的蠕蟲病毒就是基於漏洞來進行傳播的蠕蟲病毒，一般分為兩類：基於Windows共享網路和UNIX網路檔案系統(NFS)的蠕蟲；利用攻擊作業系統或者網路服務的漏洞來進行傳播的蠕蟲。

5、搜尋引擎傳播的蠕蟲病毒

基於搜尋弓l擎傳播的蠕蟲病毒，通常其自身攜帶一個與漏洞相關的關鍵字列表，通過利用此列表在搜尋引擎上搜尋，當在搜尋結果中找到了存在漏洞的主機，來進行攻擊。其特點是流量小，目標準確，隱蔽性強，傳播速度快，在整個傳播過程中，它和正常的搜尋請求一樣。所以能夠容易的混入正常的流量，而很難被發現。

1、掃描

由蠕蟲的掃描功能模組負責探測存在漏洞的主機。當程式向某個主機傳送探測漏洞的信息並收到成功的反饋信息後，就得到一個可傳播的對象。

2、攻擊

攻擊模組按漏洞攻擊步驟自動攻擊步驟l中找到的對象，取得該主機的許可權(一般為管理員許可權)，獲得一個shell。

3、複製

複製模組通過原主機和新主機的互動將蠕蟲程式複製到新主機並啟動。可以看到，傳播模組實現的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術。

1、利用漏洞

這種方式是網路蠕蟲最主要的破壞方式，也是網路蠕蟲的一個最顯著的特點。網路蠕蟲攻擊時，首先探測目標計算機存在的漏洞，然後根據探測到的漏洞建立傳播路徑，最後實施攻擊。

2、依賴Email傳播

以電子郵件附屬檔案的形式進行傳播是網路蠕蟲採用的主要傳播方式，蠕蟲編寫者通過向用戶傳送電子郵件，用戶在點擊電子郵件附屬檔案時，網路蠕蟲就會感染此計算機。

3、依賴網路共享

網路共享是網路蠕蟲傳播的重要途徑之一，網路蠕蟲利用共享網路資源進行傳播。

4、弱密碼攻擊

若用戶的密碼很容易猜測，網路蠕蟲則會在攻克了用戶密碼後進入計算機並獲得其控制權。所以用戶應該設定複雜的密碼，增加破解難度。

第一步：用各種方法收集目標主機的信息，找到可利用的漏洞或弱點。方法包括用掃描器掃描主機，探測主機的作業系統類型、版本，主機名，用戶名，開放的連線埠，開放的服務，開放的伺服器軟體版本等。當然是信息蒐集的越全越好。蒐集完信息後進入第二步。

第二步：針對目標主機的漏洞或缺陷，採取相應的技術攻擊主機，直到獲得主機的管理員許可權。對蒐集來的信息進行分析，找到可以有效利用的信息。如果有現成的漏洞可以利用，上網找到該漏洞的攻擊方法，如果有攻擊代碼就直接COPY下來，然後用該代碼取得許可權；如果沒有現成的漏洞可以利用，就用根據蒐集的信息試探猜測用戶密碼，另一方面試探研究分析其使用的系統，爭取分析出—個可利用的漏洞。第三步：利用獲得的許可權在主機上安裝後門、跳板、控制端、監視器等等，清除日誌。有了主機的許可權，就可以進入計算機系統完成想完成的任務了。

1、基於特徵的檢測技術

這是目前檢測蠕蟲最普遍的技術，主要源於模式匹配的思想。掃描程式工作之前，先要建立蠕蟲的特徵檔案，根據保存在特徵檔案中的特徵串，在掃描檔案中進行匹配查找。如該數據包不符合特徵串，則不干預該數據包；如該數據包符合特徵串，則截斷該數據包。用戶通過更新特徵檔案更新掃描軟體，從而能夠實現掃描新出現的蠕蟲的目的。但這種方法的缺陷就是只能夠查找已知的蠕蟲，而對於未知蠕蟲無法做到有效的防禦。

2、基於語義的分析技術

基於特徵的檢測技術對於未知的蠕蟲沒有防禦能力，為了克服這個缺點，通過對蠕蟲進行語義研究，從而發現代碼中是否含有破壞性成分的方法應運而生。具體方法是通過收集計算機和網路活動的數據以及它們之間的連線等信息來檢測蠕蟲。目前著名的基於GrIDS的網路蠕蟲檢測技術就屬於這一類。它收集計算機和網路活動的數據以及它們之間的連線。根據這些信息構建網路活動行為來表征網路活動結構上的因果關係。它通過建立和分析節點間的行為圖，與預定義的行為模式圖進行匹配，檢測網路蠕蟲是否存在。該技術不僅能夠檢測已有的網路蠕蟲，也能夠檢測大部分未知蠕蟲，並且能夠檢測分散式網路蠕蟲。然而GrIDS只作簡單的基於事件的關聯分析，沒有對網路中傳輸的包信息基於上下文的相關性分析，沒有對TCP連線種的目標地址和目標服務進行分析。由中科院卿斯漢提出的基於網狀關聯分析的蠕蟲檢測方法在GrIDS的基礎上加以改進。它採用分散式體系結構，充分利用網路環境中各探測電提供的信息和數據，通過對網路數據的傳輸行為的數據挖掘和異常檢測來進行信息流的源節點與目標節點的關聯分析。

3、防火牆及路由控制

合理配置防火牆，禁止除需要的服務連線埠外的其它所有連線埠。由於蠕蟲要通過網路感染系統，向開放的連線埠傳送攻擊代碼是必不可少的一個步驟，禁止連線埠可以切斷蠕蟲的發動攻擊的通道。同時，對於己經被感染的系統，防火牆也可以使它不能夠再對網路中的其它計算機發動攻擊。通過配置路由器，可以禁止和過濾含有某個蠕蟲特徵的報文，達到封堵的效果。

病毒並不是非常可怕的，網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防範此類病毒需要注意以下幾點：

1、選購合適的防毒軟體。網路蠕蟲病毒的發展已經使傳統的防毒軟體的“檔案級實時監控系統”落伍，防毒軟體必須向記憶體實時監控和郵件實時監控發展！另外，面對防不勝防的網頁病毒，也使得用戶對防毒軟體的要求越來越高！

2、經常升級病毒庫，防毒軟體對病毒的查殺是以病毒的特徵碼為依據的，而病毒每天都層出不窮，尤其是在網路時代，蠕蟲病毒的傳播速度快、變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。

3、提高防防毒意識。不要輕易去點擊陌生的站點，有可能裡面就含有惡意代碼！當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁檔案 ，所以在IE設定中將ActiveX外掛程式和控制項、Java腳本等全部禁止，就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE視窗中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標籤，再點擊“自定義級別”按鈕，就會彈出“安全設定”對話框，把其中所有ActiveX外掛程式和控制項以及與Java相關全部選項選擇“禁用”。但是，這樣做在以後的網頁瀏覽過程中有可能會使一些正常套用ActiveX的網站無法瀏覽。

4、不隨意查看陌生郵件，尤其是帶有附屬檔案的郵件。由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用戶需要升級ie和outlook程式，及常用的其他應用程式。最新蠕蟲病毒“蒙面客”被發現，可泄漏用戶隱私。