共找到6條詞條名為蠕蟲的結果 展開
- 漢語詞語
- 多細胞無脊椎動物
- 紐蟲
- 能通過網路進行自我傳播的惡意程序
- 植物病原線蟲
- 遊戲《使命召喚:現代戰爭2》角色
蠕蟲
能通過網路進行自我傳播的惡意程序
蠕蟲是一種能夠利用系統漏洞通過網路進行自我傳播的惡意程序。它是利用網路進行複製和傳播的,傳染途徑是通過網路和電子郵件傳播。蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網路連接)。
蠕蟲定義
計算機蠕蟲是一種獨立的惡意軟體計算機程序,它複製自身以便傳播到其他計算機。通常,它使用計算機網路來傳播自己,依靠目標計算機上的安全故障來訪問它。 與計算機病毒不同,它不需要附加到現有的程序。 蠕蟲幾乎總是對網路造成一些傷害,即使只是消耗帶寬,而病毒幾乎總是損壞或修改目標計算機上的文件。
蠕蟲病毒定義
是一種結合了蠕蟲和病毒機理(技術特點)的產物,蠕蟲病毒也集成了蠕蟲和病毒的優點,使其更加強大,傳播能力更強(注意與DOS操作系統下的“蠕蟲”病毒的區別)。
蠕蟲
組成部分
蠕蟲由兩部分組成:一個主程序和一個引導程序。 主程序一旦在機器上建立就會去收集與當前機器聯網的其它機器的信息。它能通過讀取公共配置文件並運行顯示當前網上聯機狀態信息的系統實用程序而做到這一點。隨後,它嘗試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導程序。
入侵方法
蠕蟲程序常駐於一台或多台機器中,並有自動重新定位(autoRelocation)的能力。如果它檢測到網路中的某台機器未被佔用,它就把自身的一個拷貝(一個程序段)發送給那台機器。每個程序段都能把自身的拷貝重新定位於另一台機器中,並且能識別它佔用的哪台機器。蠕蟲侵入一台計算機后,首先獲取其他計算機的IP地址,然後將自身副本發送給這些計算機。蠕蟲病毒也使用存儲在染毒計算機上的郵件客戶端地址簿里的地址來傳播程序。雖然有的蠕蟲程序也在被感染的計算機中生成文件,但一般情況下,蠕蟲程序只佔用內存資源而不佔用其它資源。蠕蟲還會蠶食並破壞系統,最終使整個系統癱瘓。
1、目標定位
為了在網路上快速傳播,蠕蟲應該具有發現新感染對象的能力。大多數蠕蟲搜索本地系統上的存儲的電子郵件地址列表並向這些地址發送蠕蟲的拷貝。這種方法對於攻擊者來說很方便,因為大部分單位都允許郵件信息穿過單位的防火牆,這就為蠕蟲提供了一個穿透點。
很多蠕蟲在IP層搜索網路上的可達節點,並利用節點的“指紋”信息識別遠程系統的類型,以確定該系統上是否有被利用的漏洞。
2、感染傳播
把自己傳輸到新系統並遠程控制該系統的策略是蠕蟲非常重要的組成部分。大部分的蠕蟲都假定目標系統運行在某種特定類型的操作系統上,然後發送一個可以在這種系統上運行的蠕蟲。舉例來說,蠕蟲開發者可以使用腳本語言、文檔格式、二進位文件或者注入到內存中的代碼(或者這幾種方式的組合)攻擊目標系統。通常,攻擊者利用社會工程學的知識 方法欺騙接受者執行蠕蟲程序。然而,越來越多的蠕蟲攜帶一些“漏洞利用”模塊,這樣,蠕蟲不需要用戶的干預就能夠自動在含有漏洞的遠程系統上執行。
3、遠程控制和更新介面
蠕蟲的另一個非常重要的組成部分是利用通信模塊進行遠程控制。如果沒有該模板,蠕蟲作者就不能通過給蠕蟲拷貝發送控制信息來控制蠕蟲網路。遠程允許攻擊者利用蠕蟲作為殭屍網路上的分散式拒絕服務工具攻擊多個未知的目標。
更新和插件介面是高級蠕蟲的另一重要特色,它允許在被感染的計算機系統上更新蠕蟲代碼,攻擊者必須面對的一個問題是:在利用系統的某個漏洞成功進入該系統后,通常就不能再次利用這個漏洞發起第二輪攻擊。這樣的問題有助於攻擊者使用同樣的代碼多次感染同一個系統,因為重複感染可能會造成系統崩潰。不過,入侵者可以通過多種途徑重複感染。
4、生命周期管理
有些蠕蟲作者希望某個版蠕蟲能在蟲在事先設定的某段時間內工作。比如蠕蟲W32/Welchia.A會在2004年初“自殺”,然後在2004年2 月下旬又發布了Welchia.B(該蠕蟲的B版本),這個版本又運行了3個多月自殺。另一方面,有些蠕蟲的生命周期控制模塊有問題,到了他們該壽終正寢仍然運行,我們還經常遇到有些版本的蠕蟲被其他版本的蠕蟲修補后又繼續運行下去的情況。
實際的術語“蠕蟲”最早用於約翰·布倫納的1975年小說“衝擊波騎士”。在這部小說中,Nichlas Haflinger設計和設置了一個數據收集蠕蟲,對一個強大的人進行報復,他們經營一個引發大規模一致性的國家電子信息網路。 “你有最大的蠕蟲在網路中,它自動破壞任何嘗試監測它...從來沒有一個蠕蟲與那麼堅韌的頭或長尾巴!”
1982年,Shock和Hupp根據The Shockwave Rider一書中的一種概念提出了一種“蠕蟲”(Worm)程序的思想。蠕蟲程序可用作為Ethernet(乙太網)網路設備的一種診斷工具,它能快速有效地檢測網路。
1988年11月2日,康奈爾大學計算機科學研究生羅伯特·塔潘·莫里斯(Robert Tappan Morris)發布了所謂的莫里斯蠕蟲,中斷了網際網路上的大量計算機,當時猜測是所有連接網際網路計算機的十分之一 。在莫里斯上訴過程中,美國上訴法院估計,從每個裝置中清除病毒的費用在200-53,000美元的範圍內,並促使建立CERT協調中心和Phage郵件列表。 莫里斯自己成為第一個根據1986年計算機欺詐和濫用法案被審判和定罪的人。
蠕蟲病毒大多數都是由C++ SDK編程下的產物,體積小巧隱藏更深,很好地躲過殺軟的查殺,另外還有delphi編寫的蠕蟲,例如大名鼎鼎的熊貓燒香病毒。
相同
蠕蟲也是一種病毒,因此具有病毒的共同特徵。一般的病毒是需要寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程序的體內,而被感染的文件就被稱為”宿主”,例如,Windows下可執行文件的格式為PE格式(Portable Executable),當需要感染pe文件時,在宿主程序中,建立一個新段,將病毒代碼寫到新段中,修改的程序入口點等,這樣,宿主程序執行的時候,就可以先執行病毒程序,病毒程序運行完之後,在把控制權交給宿主原來的程序指令。
不同
病毒主要是感染文件,當然也還有像DIRII這種鏈接型病毒,還有引導區病毒。引導區病毒他是感染磁碟的引導區,如果是軟盤、U盤(快閃記憶體盤)、移動硬碟等被感染,這張受感染的盤用在其他機器上后,同樣也會感染其他機器,所以傳播方式也可以是移動存儲設備。
蠕蟲一般不採取利用PE格式插入文件的方法,而是複製自身在網際網路環境下進行傳播,病毒的傳染能力主要是針對計算機內的文件系統而言,而蠕蟲病毒的傳染目標是網際網路內的所有計算機.區域網條件下的共享文件夾,電子郵件Email,網路中的惡意網頁,大量存在著漏洞的伺服器等都成為蠕蟲傳播的良好途徑。
殺毒軟體
使用具有實時監控功能的殺毒軟體,並且注意不要輕易打開、運行不明來源的文件。
提高安全意識、補丁、防火牆
首先是提高安全意識,勤打補丁,定時升級殺毒軟體和防火牆,對於網路管理員來說,還要對系統定期備份,尤其是多機備份,防止意外情況下的數據丟失,對於區域網用戶,可以在網際網路入口處安裝防火牆,對郵件伺服器進行監控,對用戶進行安全培訓。對於個人用戶,上網要盡量選擇一些大的門戶網站,盡量少上一些小的不知名的網站,對於來歷不明的電子郵件,最好不要打開,尤其是附件。另外,機器的安全設置可以設置得高一些,比如IE的安全級別可以設置為中,把其中所有ActiveX插件以及Java相關控制項全部選擇“禁用”即可。不過,這樣做在以後的網頁瀏覽過程中可能會造成個別含有ActiveX的網站無法瀏覽。另外,office裡面可以禁用宏等。
更改名字
對於有些網路蠕蟲病毒通過調用系統中已經編譯好的帶有破壞性的程序來實現這一功能。那麼我們就把本地的帶有破壞性的程序改名字,比如把format改成fmt,那樣病毒的編輯者就無法實現用調用本地命令來實現這一功能。
刪除Windows Script Host
由於蠕蟲病毒大多是用VBScript腳本語言編寫的,而VBScript代碼是通過Windows Script Host來解釋執行的,因此將Windows Script Host刪除,就再也不用擔心這些用VBS和JS編寫的病毒了。從另一個角度來說,Windows Script Host本來是被系統管理員用來配置桌面環境和系統服務,實現最小化管理的一個手段,但對於大部分一般用戶而言,WSH並沒有多大用處,所以我們可以禁止Windows Script Host。如果你嫌麻煩,可以到C:\Windows\System32目錄下,找到WScript.exe等腳本程序的系統支持文件,更改其名稱或者乾脆刪除(這種做法有一定的副作用,如果刪除腳本程序的系統支持文件的話,網頁的js和ws,vbs等腳本將不能再執行,所以請慎用)。