蠕蟲病毒

常見的計算機病毒

蠕蟲病毒是一種常見的計算機病毒。它是利用網路進行複製和傳播,傳染途徑是通過網路和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下,病毒發作時會在屏幕上出現一條類似蟲子的東西,胡亂吞吃屏幕上的字母並將其改形。蠕蟲病毒是自包含的程序(或是一套程序),它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中(通常是經過網路連接)。

定義


蠕蟲是一種可以自我複製的代碼,並且通過網路傳播,通常無需人為干預就能傳播。蠕蟲病毒入侵併完全控制一台計算機之後,就會把這台機器作為宿主,進而掃描並感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制之後,蠕蟲會以這些計算機為宿主繼續掃描並感染其他計算機,這種行為會—直延續下去。蠕蟲使用這種遞歸的方法進行傳播,按照指數增長的規律分佈自己,進而及時控制越來越多的計算機。

特點


(一)、較強的獨立性
計算機病毒一般都需要宿主程序,病毒將自己的代碼寫到宿主程序中,當該程序運行時先執行寫入的病毒程序,從而造成感染和破壞。而蠕蟲病毒不需要宿主程序,它是一段獨立的程序或代碼,因此也就避免了受宿主程序的牽制,可以不依賴於宿主程序而獨立運行,從而主動地實施攻擊。
(二)、利用漏洞主動攻擊
由於不受宿主程序的限制,蠕蟲病毒可以利用操作系統的各種漏洞進行主動攻擊。例如,“尼姆達”病毒利用了IE遊覽器的漏洞,使感染病毒的郵件附件在不被打開的情況下就能激活病毒;“紅色代碼”利用了微軟IlSl]艮務器軟體的漏洞(idq.dll遠程緩存區溢出)來傳播;而蠕蟲王病毒則是利用了微軟資料庫系統的一個漏洞進行攻擊。
(三)、傳播更快更廣
蠕蟲病毒比傳統病毒具有更大的傳染性,它不僅僅感染本地計算機,而且會以本地計算機為基礎,感染網路中所有的伺服器和客戶端。蠕蟲病毒可以通過網路中的共享文件夾、電子郵件、惡意網頁以及存在著大量漏洞的伺服器等途徑肆意傳播,幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致。因此,蠕蟲病毒的傳播速度可以是傳統病毒的幾百倍,甚至可以在幾個小時內蔓延全球。
(四)、更好的偽裝和隱藏方式
為了使蠕蟲病毒在更大範圍內傳播,病毒的編製者非常注重病毒的隱藏方式。在通常情況下,我們在接收、查看電子郵件時,都採取雙擊打開郵件主題的方式來瀏覽郵件內容,如果郵件中帶有病毒,用戶的計算機就會立刻被病毒感染。
(五)、技術更加先迸
一些蠕蟲病毒與網頁的腳本相結合,利用VBScript,Java,ActiveX等技術隱藏在HTML頁面里。當用戶上網遊覽含有病毒代碼的網頁時,病毒會自動駐留內存並伺機觸發。還有一些蠕蟲病毒與後門程序或木馬程序相結合,比較典型的是“紅色代碼病毒”,病毒的傳播者可以通過這個程序遠程控制該計算機。這類與黑客技術相結合的蠕蟲病毒具有更大的潛在威脅。
(六)、使追蹤變得更困難
當蠕蟲病毒感染了大部分系統之後,攻擊者便能發動多種其他攻擊方式對付一個目標站點,並通過蠕蟲網路隱藏攻擊者的位置,這樣要抓住攻擊者會非常困難。

結構原理


結構

蠕蟲病毒的程序結構通常包括三個模塊:
(1)傳播模塊:負責蠕蟲的傳播,它可以分為掃描模塊、攻擊模塊和複製模塊三個子模塊。其中,掃描模塊負責探測存在漏洞的主機;攻擊模塊按漏洞攻擊步驟自動攻擊找到的對象;複製模塊通過原主機和新主機交互將蠕蟲程序複製到新主機並啟動。
(2)隱藏模塊:侵入主機后,負責隱藏蠕蟲程序。
(3)目的功能模塊:實現對計算機的控制、監視或破壞等。

原理

根據蠕蟲病毒的程序其工作流程可以分為漏洞掃描、攻擊、傳染、現場處理四個階段,首先蠕蟲程序隨機(或在某種傾向性策略下)選取某一段IP地址,接著對這一地址段的主機掃描,當掃描到有漏洞的計算機系統后,將蠕蟲主體遷移到目標主機。然後,蠕蟲程序進入被感染的系統,對目標主機進行現場處理。同時,蠕蟲程序生成多個副本,重複上述流程。各個步驟的繁簡程度也不同,有的十分複雜,有的則非常簡單。

分類


根據蠕蟲病毒在計算機及網路中傳播方式的不同,人們大致將其分為五種。
1、電子郵件E-mail蠕蟲病毒
通過電子郵件傳播的蠕蟲病毒,它以附件的形式或者是在信件中包含有被蠕蟲所感染的網站鏈接地址,當用
蠕蟲病毒
蠕蟲病毒
戶點擊閱讀附件時蠕蟲病毒被激活,或在用戶點擊那個被蠕蟲所感染網站鏈接時被激活感染蠕蟲病毒。
2、即時通訊軟體蠕蟲病毒
即時通訊軟體蠕蟲病毒是指利用即時通訊軟體,如QQ、NsN等通過對話窗日向在線好友發送欺騙性的信息,該信息一般會包含一個超鏈接。因為是在接受窗口中,可以直接點擊鏈接並啟動IElE就會和這個伺服器連接,下載鏈接病毒頁面。這個病毒頁面中含有惡意代碼,會把蠕蟲下載本機並運行。這樣就完成了一次傳播。然後再以該機器為基點,向本機所能發現的好友發送同樣的欺騙性消息,繼續傳播蠕蟲病毒。
3、P2P蠕蟲病毒
P2P蠕蟲是利用P2P應用協議和程序的特點、有漏洞的應用程序存在於P2P網路中進行傳播的蠕蟲病毒。人們根據它發現目標和激活的方式,將P2P蠕蟲分為:偽裝型、沉默型和主動型三種。
4、漏洞傳播的蠕蟲病毒
漏洞傳播的蠕蟲病毒就是基於漏洞來進行傳播的蠕蟲病毒,一般分為兩類:基於Windows共享網路和UNIX網路文件系統(NFS)的蠕蟲;利用攻擊操作系統或者網路服務的漏洞來進行傳播的蠕蟲。
5、搜索弓}擎傳播的蠕蟲病毒
基於搜索弓l擎傳播的蠕蟲病毒,通常其自身攜帶一個與漏洞相關的關鍵字列表,通過利用此列表在搜索引擎上搜索,當在搜索結果中找到了存在漏洞的主機,來進行攻擊。其特點是流量小,目標準確,隱蔽性強,傳播速度快,在整個傳播過程中,它和正常的搜索請求一樣。所以能夠容易的混入正常的流量,而很難被發現。

傳播和入侵


傳播過程

1、掃描
由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發送探測漏洞的信息並收到成功的反饋信息后,就得到一個可傳播的對象。
2、攻擊
攻擊模塊按漏洞攻擊步驟自動攻擊步驟l中找到的對象,取得該主機的許可權(一般為管理員許可權),獲得一個shell。
3、複製
複製模塊通過原主機和新主機的交互將蠕蟲程序複製到新主機並啟動。可以看到,傳播模塊實現的實際上是自動入侵的功能。所以蠕蟲的傳播技術是蠕蟲技術的首要技術。

傳播途徑

1、利用漏洞
這種方式是網路蠕蟲最主要的破壞方式,也是網路蠕蟲的一個最顯著的特點。網路蠕蟲攻擊時,首先探測目標計算機存在的漏洞,然後根據探測到的漏洞建立傳播路徑,最後實施攻擊。
2、依賴Email傳播
以電子郵件附件的形式進行傳播是網路蠕蟲採用的主要傳播方式,蠕蟲編寫者通過向用戶發送電子郵件,用戶在點擊電子郵件附件時,網路蠕蟲就會感染此計算機。
3、依賴網路共享
網路共享是網路蠕蟲傳播的重要途徑之一,網路蠕蟲利用共享網路資源進行傳播。
4、弱密碼攻擊
若用戶的密碼很容易猜測,網路蠕蟲則會在攻克了用戶密碼後進入計算機並獲得其控制權。所以用戶應該設置複雜的密碼,增加破解難度。

入侵過程

第一步:用各種方法收集目標主機的信息,找到可利用的漏洞或弱點。方法包括用掃描器掃描主機,探測主機的操作系統類型、版本,主機名,用戶名,開放的埠,開放的服務,開放的伺服器軟體版本等。當然是信息搜集的越全越好。搜集完信息後進入第二步。
第二步:針對目標主機的漏洞或缺陷,採取相應的技術攻擊主機,直到獲得主機的管理員許可權。對搜集來的信息進行分析,找到可以有效利用的信息。如果有現成的漏洞可以利用,上網找到該漏洞的攻擊方法,如果有攻擊代碼就直接COPY下來,然後用該代碼取得許可權;如果沒有現成的漏洞可以利用,就用根據搜集的信息試探猜測用戶密碼,另一方面試探研究分析其使用的系統,爭取分析出—個可利用的漏洞。第三步:利用獲得的許可權在主機上安裝後門、跳板、控制端、監視器等等,清除日誌。有了主機的許可權,就可以進入計算機系統完成想完成的任務了。

檢測技術


1、基於特徵的檢測技術
這是目前檢測蠕蟲最普遍的技術,主要源於模式匹配的思想。掃描程序工作之前,先要建立蠕蟲的特徵文件,根據保存在特徵文件中的特徵串,在掃描文件中進行匹配查找。如該數據包不符合特徵串,則不干預該數據包;如該數據包符合特徵串,則截斷該數據包。用戶通過更新特徵文件更新掃描軟體,從而能夠實現掃描新出現的蠕蟲的目的。但這種方法的缺陷就是只能夠查找已知的蠕蟲,而對於未知蠕蟲無法做到有效的防禦。
2、基於語義的分析技術
基於特徵的檢測技術對於未知的蠕蟲沒有防禦能力,為了克服這個缺點,通過對蠕蟲進行語義研究,從而發現代碼中是否含有破壞性成分的方法應運而生。具體方法是通過收集計算機和網路活動的數據以及它們之間的連接等信息來檢測蠕蟲。目前著名的基於GrIDS的網路蠕蟲檢測技術就屬於這一類。它收集計算機和網路活動的數據以及它們之間的連接。根據這些信息構建網路活動行為來表徵網路活動結構上的因果關係。它通過建立和分析節點間的行為圖,與預定義的行為模式圖進行匹配,檢測網路蠕蟲是否存在。該技術不僅能夠檢測已有的網路蠕蟲,也能夠檢測大部分未知蠕蟲,並且能夠檢測分散式網路蠕蟲。然而GrIDS只作簡單的基於事件的關聯分析,沒有對網路中傳輸的包信息基於上下文的相關性分析,沒有對TCP連接中的目標地址和目標服務進行分析。由中科院卿斯漢提出的基於網狀關聯分析的蠕蟲檢測方法在GrIDS的基礎上加以改進。它採用分散式體系結構,充分利用網路環境中各探測電提供的信息和數據,通過對網路數據的傳輸行為的數據挖掘和異常檢測來進行信息流的源節點與目標節點的關聯分析。
3、防火牆及路由控制
合理配置防火牆,禁止除需要的服務埠外的其它所有埠。由於蠕蟲要通過網路感染系統,向開放的埠發送攻擊代碼是必不可少的一個步驟,禁止埠可以切斷蠕蟲的發動攻擊的通道。同時,對於己經被感染的系統,防火牆也可以使它不能夠再對網路中的其它計算機發動攻擊。通過配置路由器,可以屏蔽和過濾含有某個蠕蟲特徵的報文,達到封堵的效果。

防範措施


蠕蟲病毒的一般防治方法是:使用具有實時監控功能的殺毒軟體,防範郵件蠕蟲的最好辦法,就是提高自己的安全意識,不要輕易打開帶有附件的電子郵件。另外,可以啟用瑞星殺毒軟體的“郵件發送監控”和“郵件接收監控”功能,也可以提高自己對病毒郵件的防護能力。
從2004年起,MSN 、QQ等聊天軟體開始成為蠕蟲病毒傳播的途徑之一。“性感烤雞”病毒就通過MSN軟體傳播,在很短時間內席捲全球,一度造成中國大陸地區部分網路運行異常。
對於普通用戶來講,防範聊天蠕蟲的主要措施之一,就是提高安全防範意識,對於通過聊天軟體發送的任何文件,都要經過好友確認后再運行;不要隨意點擊聊天軟體發送的網路鏈接。
病毒並不是非常可怕的,網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防範此類病毒需要注意以下幾點:
1、選購合適的殺毒軟體。網路蠕蟲病毒的發展已經使傳統的殺毒軟體的“文件級實時監控系統”落伍,殺毒軟體必須向內存實時監控和郵件實時監控發展!另外,面對防不勝防的網頁病毒,也使得用戶對殺毒軟體的要求越來越高!
2、經常升級病毒庫,殺毒軟體對病毒的查殺是以病毒的特徵碼為依據的,而病毒每天都層出不窮,尤其是在網路時代,蠕蟲病毒的傳播速度快、變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒。
蠕蟲病毒
蠕蟲病毒
3、提高防殺毒意識。不要輕易去點擊陌生的站點,有可能裡面就含有惡意代碼!
當運行IE時,點擊“工具→Internet選項→安全→ Internet區域的安全級別”,把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件,所以在IE設置中將ActiveX插件和控制項、Java腳本等全部禁止,就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE窗口中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標籤,再點擊“自定義級別”按鈕,就會彈出“安全設置”對話框,把其中所有ActiveX插件和控制項以及與Java相關全部選項選擇“禁用”。但是,這樣做在以後的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。
4、不隨意查看陌生郵件,尤其是帶有附件的郵件。由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程序,及常用的其他應用程序。最新蠕蟲病毒“蒙面客”被發現,可泄露用戶隱私。