摘 要: 凡能够引起计算机故障,破坏计算机数据的程序统称为计算
机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,
作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽
视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对
象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业
用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传
播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒
分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面
探讨蠕虫病毒的特征和一些防范措施!
一 蠕虫病毒定义
1蠕虫病毒的定义
2蠕虫病毒与一般病毒的异同
3蠕虫病毒的危害和趋势
二 蠕虫病毒的分析和防范
1企业用户的防止蠕虫
2个人用户防止蠕虫
三 研究蠕虫的现实意义
一 蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络
迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡
能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所
以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒
有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认
为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如
传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文
件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客
技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能
比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造
成网络瘫痪!
在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用
户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个
互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最
新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(
主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求
职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆
发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二
种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏
洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒
造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在
2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危
害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两
种病毒的一些特征及防范措施!
1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的
寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程
序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执
行文件的格式为pe格式(Portable Executable),当需要感染pe文件时
,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程
序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,
病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,
病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引
导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,
这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式
也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网
环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而
言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的
共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的
服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可
以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使
得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造
成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码
,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1
月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球
,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器
(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅
减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作
中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经
济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美
元!
美丽杀手 1999年3月 政府部门和一些大公司紧急关闭了网络服务器,
经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染,损失超过100亿美元
以上,
红色代码 2001年7月 网络瘫痪,直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美
元
Sql蠕虫王 2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直
接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损
失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋
势:
1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是
“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于
IE浏览器的漏洞(Iframe ExecCommand),使得感
染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激
活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件
,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软
IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王
病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播
途径包括文件、电子邮件、Web服务器、网络共享等等.
3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当
前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从
而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB
Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。
4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,
感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程
执行任何命令,从而使黑客能够再次进入!
二网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里
的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷
。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等
等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷
,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学
(social engineering),当收到一封邮件带着病毒的求职信邮件时候
,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集
中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范
第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征
是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存
在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都
为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,
造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影
响较为严重。韩国两大网络业KFT及南韩电
