无孔不入蠕虫病毒.doc

无孔不入蠕虫病毒最近一种叫做威金的病毒在互联网上迅速传播。该病毒占用大量网速，使所有感染该病毒的计算机网络变得极慢。该病毒将会捆绑所有的．exe文件，只要用户一运行应用程序，在Winnt文件夹下的logol．eKe图标就会相应变成应用程序图标。有时还会时不时地弹出一些程序运行错误提示窗口，有时启动程序后就被强行退出。此外，威金病毒会自动关闭包括卡巴斯基、金山毒霸、瑞星等杀毒软件的监控程序。最可恶是的威金病毒会使rundll32．exe自动向打印机发送打印指令，浪费纸张。最近，江民反病毒中心监测到威金病毒(Worm／Viking)已经有88个变种在互联网上频繁活动，感染了15万余台计算机，已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。 威金病毒是蠕虫病毒的一种，目前互联网上蠕虫病毒的种类很多，这些病毒主要是通过网络传播的恶性病毒，传播速度快，破坏性也非常强。今天我们就一起来认识一下蠕虫病毒。 何谓蠕虫 1988年，22岁的康奈尔大学研究生罗伯特(RobertMorris)通过网络发送了一种专为攻击Unix系统缺陷、名为“蠕虫”(Worm)的病毒，造成6000个系统瘫痪。 此后，人们就把这类通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁的病毒统称为蠕虫病毒。“蠕虫”由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其他机器的信息(它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点)。随后，它尝试利用其中的一些缺陷在这些远程机器上建立其引导程序。虽然把蠕虫定义为病毒，但是它和一般的病毒又有很大区别。从传播特性来讲，蠕虫主要是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时也具有自己的一些特征，如不利用文件寄生，对网络造成拒绝服务，以及和黑客技术相结合等等。 现在，蠕虫病毒家族已经壮大到成千上万种，它们大都出自黑客之手。 蠕虫的一般特征 从破坏性上来讲，蠕虫病毒产生的破坏力极强，并不是普通病毒所能比拟的。蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪。例如：2003年1月25日，一种名为“2003蠕虫王”的病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的DNS域名服务器的瘫痪造成网民浏览网页及收发电子邮件的速度大幅减缓。同时，银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障!专家估计，此病毒造成的直接经济损失至少在26亿美元以上! 从传播方式来看，蠕虫病毒大致分为两类：一类是利用系统漏洞，主动进行攻击，可以造成计算机或互联网瘫痪。此类病毒爆发有一定的突然性；另一类是利用电子邮件、恶意网页形式传播。此类病毒的传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用网络钓鱼形式对用户进行欺骗，这样的病毒造成的损失是非常大的，同时也是很难根除的。 从病毒制作技术讲，蠕虫病毒并没有采用一般的病毒的寄生方式，它是通过复制自身在互联网环境下进行传播。蠕虫病毒的传染目标是互联网内的所有计算机，它可以通过局域网下的共享文件夹、电子邮件、恶意网页、大量存在着漏洞的服务器等途径进行传播。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫病毒的主动攻击性和突然爆发性常常使得人们手足无措! 蠕虫病毒的入侵过程 了解了蠕虫病毒的一般特征，下面我们再一起看看蠕虫病毒的入侵和传播方式。 常见的蠕虫病毒入侵方式分为手动入侵和自动入侵两种。入侵过程一般分为“扫描一攻击一复制”模式，也就是，程序通过扫描主机获得一个攻击对蒙一通过攻击模块获得一个主机的shell(用户与操作系统之间的接口)一复制模块，通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 (1)手动入侵 在蠕虫病毒中，程序会提供一个扫描功能模块，负责探测存在漏洞的主机。这样蠕虫用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。扫描过程包括探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本，利用恶意网站代码写入系统缓冲区等。这样程序通过扫描功能模块搜索到大量的主机信息，接着程序对扫描到的信息进行分析，筛选有用信息，这些有用信息一般包括系统、端口漏洞等。随后程序寻找漏洞攻击的方法，最终获得该系统的权限进行攻击。 (2)自动入侵 由于程序大小的限制，自动入侵程序不可能有太强的智能性，所以自动入侵一般都采用某种特定的模式。它采用的依然是“扫描一攻击一复制”模式，这种入侵模式也就是现在蠕虫病毒常用的传播模式。首先程序通过扫描模块随机选取某一段IP地址，然