恶意代码防范技术笔记（七）

蠕虫

蠕虫的最大贡献：蠕虫更像是一种传播方式

1.基本概念

定义：蠕虫（Worm）是恶意代码的一种，它的传播通常不需要所谓的激活。它通过分布式媒介散布特定信息或错误，进而造成网络服务遭到拒绝并发生锁死。

分布式媒介：网络、电子邮件、系统漏洞
蠕虫强调的是传播方式

2. 与传统病毒的联系和区别

3. 与木马的联系和区别

4. 蠕虫分类

根据攻击对象不同

面向企业用户和局域网
- 利用系统漏洞、主动进行攻击，造成网络瘫痪
- 具有很大的主动攻击性，爆发具有一定的突然性
针对个人用户
- 通过网络（主要是电子邮件、恶意网页形式）传播
- 少数利用应用程序漏洞

5. 蠕虫的特征

5.1 利用漏洞直接攻击
“红色代码”：利用微软服务器软件的漏洞
“尼姆达”：利用IE浏览器漏洞，不打开附件就能激活
“SQL”：利用微软数据库系统的漏洞

5.2 与黑客技术相结合
“红色代码”：感染后能够远程执行任何命令，使黑客再
次进入

5.3 传染方式多
蠕虫入侵网络的主要途径包括文件、电子邮件、Web服
务器、U盘和网络共享等

5.4 传播速度快
在单机上，病毒只能通过被动方式从一台计算机传染到另
一台计算机
在网络中可以通过网络通信协议，借助高速电缆迅速扩散

5.5 清除难度大
单机病毒可以通过删除带毒文件、格式化硬盘等措施清除
网络中只要有一台工作站未能查杀干净就能使得整个网络
重新感染病毒
仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒问题

5.6 破坏性强
直接影响网络工作状态
轻则降低速度，影响工作效率
重则造成网络瘫痪，破坏服务器系统资源，多年工作毁于
一旦

6. 蠕虫病毒的机理

从编程的角度，蠕虫分为：主程序、引导程序

6.1 主程序
主程序一旦在计算机中建立，就开始收集与当前机器联网
的其他机器的信息，检测计算机的联网状态信息，利用漏
洞在远程机上建立引导程序。

主程序做重要的是传播模块
实现子东入侵的功能
分为扫描、攻击和复制三个步骤

扫描
- 主要负责探测远程主机的漏洞
- 模拟了攻防的Scan过程
- 当蠕虫相某个主机发送探测漏洞的信息并收到成功的应答后，就得到一个潜在的传播对象
攻击
- 按特定漏洞的攻击方法对潜在的传播对象进行自动攻击
- 取得该主机的合适权限，为后续做准备
复制
- 在特定权限下，实现蠕虫引导程序的远程建立
- 即把引导程序复制到攻击对象

6.2 引导程序
把“蠕虫”病毒带入了它所感染的每一台机器中。

7. 蠕虫的防范

蠕虫病毒实例

莫里斯蠕虫
美丽杀手 Melissa
求职信
爱虫蠕虫
红色代码
尼姆达
SQL蠕虫王
基于RPC漏洞蠕虫
- 冲击波病毒
震网病毒
震荡波病毒
网络天空病毒
诺维格蠕虫病毒
恶鹰蠕虫病毒
灾飞病毒