7章计算机病毒技术分析与安全防护.docVIP

7.8 蠕虫病毒 蠕虫：一种通过网络传播的恶性计算机病毒 蠕虫具有病毒的一些共性，如传播性、隐蔽性、破坏性等，还有其特有的特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务等攻击。 蠕虫使用存在危害的代码攻击网上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机。 7.8.1 蠕虫的起源及其定义 1、蠕虫的起源 1980年，Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时，编写了一种程序，Xerox蠕虫 1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生 Morris为求证计算机程序能否在不同的计算机之间进行自我复制传播，编写了一段试验程序 为了让程序能顺利进入另一台计算机，他还写了一段破解用户口令的代码；11月2日早上5点，这段被称为“Worm”(蠕虫)的程序开始了它的旅行。进入了几千台计算机，让它们死机；Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播；Morris在证明其结论的同时，也开启了蠕虫新纪元。 2、蠕虫的原始定义 蠕虫在1982年由Xerox PARC的John F. Shoch等人引入计算机领域，并给出蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制” Fred Cohen在1984年给出病毒定义：“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.” 1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. 解释病毒为：“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.” 3 、蠕虫定义的进一步说明 计算机病毒主要攻击：文件系统 蠕虫主要利用：计算机系统漏洞(Vulnerability) 蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。通过观察攻击程序是否存在载体来区分蠕虫与病毒。 普通病毒与蠕虫病毒比较： 病 毒 蠕 虫 存在形式 寄生 独立个体 复制机制 插入到宿主程序(文件)中 自身的拷贝 传染机制 宿主程序运行 系统存在漏洞(Vulnerability) 搜索机制(传染目标) 主要是针对本地文件 主要针对网络上的其它计算机 触发传染 计算机使用者 程序自身 影响重点 文件系统 网络性能、系统性能 计算机使用者角色 病毒传播中的关键环节 无关 防治措施 从宿主程序中摘除 为系统打补丁(Patch) 7.8.2 蠕虫的分类 1、蠕虫的分类 根据蠕虫的传播、运作方式，将蠕虫分为两类： 主机蠕虫：主机蠕虫的所有部分均包含在其所运行的计算机中；在任意给定的时刻，只有一个蠕虫的拷贝在运行；也称作“兔子”(Rabbit)。 网络蠕虫：网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作)；使用网络是为了进行各部分之间的通信以及传播；网络蠕虫具有一个主segment，用以协调其他segment的运行；这种蠕虫有时也称作“章鱼”(Octopus)。 根据使用者情况可将蠕虫病毒分为两类： 面向企业用户和局域网的蠕虫：利用系统漏洞，主动攻击，可对整个Internet造成瘫痪性后果；典型代表：“红色代码”、“尼姆达”、“Sql蠕虫王”；具有很强的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不难。 针对个人用户的蠕虫：通过网络(电子邮件、恶意网页)迅速传播的蠕虫病毒；典型代表：“爱虫病毒”，“求职信病毒”；传播方式比较复杂和多样，少数利用了应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失非常大，同时也很难根除。 2、蠕虫与漏洞 网络蠕虫最大特点是利用各种漏洞进行自动传播 根据网络蠕虫所利用漏洞的不同，又可以将其细分：