下载文档原格式
怎么理解蠕虫病毒有哪些恶意行为一些被窃的恶意程序,它们可以多方传播,以首次中毒的计算机为跳板,通过邮件,后门,漏洞等各种方式传播,这种恶意程序,我们可以称之为病毒,其中病毒种类也有很多,如木马,蠕虫等等,今天我们具体介绍蠕虫病毒,有兴趣的朋友们一起看看!什么是蠕虫?蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。
因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
而且它的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害远较普通病毒为大。
典型的蠕虫病毒有尼姆达、震荡波、熊猫烧香等。
蠕虫病毒恶意行为样本会在QQ群共享文件中上传诱导性的网站链接。
如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。
虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
关于计算机的病毒案例分析,实例解析蠕⾍病毒的原理-电脑资料如今对⼤家的电脑威胁最⼤的就属⽹络蠕⾍病毒了!⽹络蠕⾍病毒的危害之⼤简直令⼈吃惊,从⼤名⿍⿍的爱⾍到欢乐时光,再到红⾊代码,其破坏⼒越来越强,因此我们有必要了解⽹络蠕⾍病毒,蠕⾍病毒与⼀般的计算机病毒不同,它不采⽤将⾃⾝拷贝附加到其他程序中的⽅式来复制⾃⼰,所以在病毒中它也算是⼀个另类。
蠕⾍病毒的破坏性很强,部分蠕⾍病毒不仅可以在因特⽹上兴风作浪,局域⽹也成了它们施展⾝⼿的舞台?D?D蠕⾍病毒可以潜伏在基于客户机/服务机模式的局域⽹的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、⿁不觉地从服务机上拷贝到客户机上了。
其实脚本病毒是很容易制造的,它们都利⽤了视窗系统的开放性的特点。
特别是COM到COM+的组件编程思路,⼀个脚本程序能调⽤功能更⼤的组件来完成⾃⼰的功能。
以VB脚本病毒(如欢乐时光、ILoveYou、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本⽂件添在附件中,最后使⽤*.htm.vbs等欺骗性的⽂件名。
下⾯我们详细了解⼀下蠕⾍病毒的⼏⼤特性,从中找到对付蠕⾍病毒的⽅法。
⼀、蠕⾍病毒具有⾃我复制能⼒我们以普通的VB脚本为例来看看:SetobjFs=CreateObject(Scripting.FileSystemObject)'创建⼀个⽂件系统对象objFs.CreateTextFile(“C:\virus.txt”,1)'通过⽂件系统对象的⽅法创建了⼀个TXT⽂件。
如果我们把这两句话保存成为.vbs的VB脚本⽂件,点击就会在C盘中创建⼀个TXT⽂件了。
倘若我们把第⼆句改为:objFs.GetFile(WScript.ScriptFullName).Copy(“C:\virus.vbs”)⼆、蠕⾍病毒具有很强的传播性病毒需要传播,电⼦邮件病毒的传播⽆疑是通过电⼦邮件传播的。
繁殖,繁殖,再繁殖,利用系统漏洞,通过网络感染感染其他计算机,繁殖,繁殖,再繁殖。
此类病毒深得“乾坤生两仪,两仪生四象,四象生八卦”之能,每台受感染的机器,本身又以病毒发送者的身份将蠕虫病毒送向四面八方。
蠕虫病毒描述:蠕虫病毒的本质特征之一就是透过网络主动进行感染,本身不具有太多破坏特性,以消耗系统带宽、内存、CPU为主。
这类病毒最大的破坏之处不是对终端用户造成的麻烦,而是对网络的中间设备无谓耗用。
例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。
蠕虫病毒浅析:在以前,编写蠕虫病毒的技术要求相当高。
1988年,前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后,编写了一个精巧的程序,短短时间便将当时的大半个互联网瘫痪。
由以上可以看出,蠕虫的出现,传播,感染是需要系统漏洞和获得系统权限的。
莫里斯不愧为技术高手,不光在于对病毒的编写,更在于对系统漏洞的发掘上。
随着时间的推移,操作系统的进步,在功能完善的同时,漏洞也随之增加。
不少真正的安全小组在发现漏洞的同时,除了会给出详细的技术说明外,往往附带一个小程序的源代码,说明利用漏洞获得权限的实现。
而这个小程序被蠕虫病毒编写者如获至宝,将起改写,加上文件传输,ping扫描,修改启动项自动执行等能用代码简单实现的功能,就成了一个蠕虫病毒——换句话说,现在编写蠕虫病毒的门槛已经大大降低了,所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来,发现安全漏洞更是需要高超的技术水平——这是安全小组做到的,而不是病毒编写者。
因此可以这样概括:自从莫里斯发明出蠕虫病毒以来,该种病毒的编写者自身实力日渐下降,从操作系统级水平沦落到代码编写级水平,不可同日而语。
蠕虫病毒感染途径:系统漏洞/用户错误权限:蠕虫病毒本事是一个需要以一定身份执行的程序。
蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件,它可以通过网络迅速传播,
并对计算机系统造成严重的破坏。
蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
首先,蠕虫病毒通过利用系统的漏洞或者安全漏洞进行感染。
一旦蠕虫病毒成
功侵入系统,它就会开始自我复制,并试图传播到其他的计算机系统中。
蠕虫病毒通常会利用网络上的共享资源、邮件附件、移动设备等方式进行传播,以此来迅速扩散和感染更多的计算机系统。
其次,蠕虫病毒会利用各种手段来破坏受感染的系统。
它可以删除文件、篡改
数据、监视用户的操作、窃取个人信息等,从而给受感染的系统带来严重的安全隐患。
蠕虫病毒的破坏性非常强,一旦感染,往往会给用户带来巨大的损失。
蠕虫病毒的传播和破坏原理是密不可分的,它们共同构成了蠕虫病毒的恶意行为。
蠕虫病毒通过不断自我复制和传播,不仅会给受感染的系统带来严重的安全威胁,也会对网络安全造成严重的影响。
因此,我们必须加强对蠕虫病毒的防范意识,及时更新系统补丁,安装杀毒软件,加强网络安全防护,以确保计算机系统的安全。
总之,蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
它通过利用系统
漏洞进行感染,利用各种手段进行传播和破坏,给计算机系统的安全带来了严重威胁。
我们必须加强对蠕虫病毒的防范意识,提高网络安全防护能力,以保护计算机系统的安全。
蠕虫病毒—恶意软件分析姓名:冯鑫苑班级:计算机应用专业1021 学号:2010284112一、蠕虫病毒1.蠕虫(Worm)病毒定义:蠕虫病毒是一种常见的计算机病毒。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。
比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。
蠕虫程序主要利用系统漏洞进行传播。
它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。
因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。
蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。
虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。
蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。
2.蠕虫病毒入侵模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。
主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。
它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。
随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位。
(autoRelocation)的能力。
如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。
二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。
主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。
分析过程:clam av 引擎流程图:clam av没有明确的引擎代码部分,这里以scanmanager函数为开始只画出clamav 整个检测流程。
什么是蠕虫病毒蠕虫病毒是计算机病毒的一种。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。
其中利用系统漏洞传播的病毒往往传播速度极快,如利用微软04-011漏洞的“震荡波”病毒,三天之内就感染了全球至少 50 万台计算机。
防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的“漏洞扫描”工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。
通过电子邮件传播,是近年来病毒作者青睐的方式之一,像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。
这样的病毒往往会频繁大量的出现变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
另外,启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。
“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
随着网络和病毒编写技术的发展,综合利用多种途径的蠕虫也越来越多,比如有的蠕虫病毒就是通过电子邮件传播,同时利用系统漏洞侵入用户系统。
还有的病毒会同时通过邮件、聊天软件等多种渠道传播。
蠕虫病毒的一般防治方法使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
蠕虫病毒原理
蠕虫病毒是一种能够自动复制和传播的恶意软件程序。
它利用计算机网络的漏洞,通过网络连接传播到其他计算机,感染并复制自身。
蠕虫病毒具有以下特点:
1. 自动复制:蠕虫病毒可以自动复制自己,并利用网络连接将复制的副本传播到其他计算机。
它不需要用户的介入或文件传输,可以通过网络针对其他计算机进行扩散。
2. 利用漏洞:蠕虫病毒利用计算机网络中的漏洞,如操作系统漏洞、应用程序漏洞等,来感染和传播。
一旦感染了某台计算机,就会利用漏洞攻击其他未修补漏洞的计算机。
3. 快速传播:由于蠕虫病毒的自动复制和传播特性,它能够在网络上快速传播,感染大量计算机。
这会极大地影响网络的正常运行,并且很难进行控制和清除。
4. 破坏性:蠕虫病毒除了传播自身外,还可能对感染的计算机造成破坏。
它可以删除、损坏或盗取计算机上的文件和敏感信息,甚至可以控制被感染计算机的操作。
为了保护计算机免受蠕虫病毒的感染,用户应采取以下预防措施:
1. 安装安全补丁:及时安装操作系统和应用程序的安全补丁,以修补已知漏洞。
2. 使用防病毒软件:安装并定期更新防病毒软件,及时扫描和清除潜在的病毒。
3. 谨慎打开附件:不打开来自未知或不可信源的文件和链接,以防止蠕虫病毒通过电子邮件或即时消息传播。
4. 防火墙设置:配置和使用防火墙,限制计算机与未经授权的网络之间的通信,减少蠕虫病毒的传播机会。
5. 定期备份数据:定期备份重要文件和数据,以防止蠕虫病毒的破坏。
上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。
网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!
3...恶意代码网页病毒恶意网站流氓软件
不必要代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
蠕虫病毒详细介绍蠕虫病毒是一种常见的计算机病毒。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!蠕虫病毒介绍:蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,去年春天流行“熊猫烧香”以及其变种也是蠕虫病毒。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
蠕虫是怎么发作的? 如何采取有效措施防范蠕虫?蠕虫病毒一、利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及至今依然肆虐的”求职信”等。
由于IE浏览器的漏洞(IFRAME EXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。
“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。
蠕虫病毒二、传播方式多样如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。
论文题目:蠕虫病毒摘要21世纪信息安全变得尤为重要,人们越来越多的依赖于计算机,随之也衍生出越来越多的计算机病毒,蠕虫病毒可以说是近年来最猖獗的病毒。
而它的代表性病毒则是尼姆达病毒,它综合运用了当时流行的所有传播方式,因此传播更快,破坏性更大。
本文主要介绍尼姆达病毒的特点,并对其的传播方式进行分析。
最后对病毒的子文件做以介绍使大家了解它,并且掌握一定的防治手段。
关键字:信息安全蠕虫病毒尼姆达病毒1. 背景介绍1.1蠕虫病毒的介绍蠕虫病毒通常是由两部分组成:一个是主程序和一个引导程序。
主程序的主要功能是搜索与扫描,它可以读取系统的公共配置文件,获得与本机联网的客户端信息,检测到网络中哪台机器没有被占用,从而通过系统漏洞,将引导程序建立到远程计算机上。
引导程序实际上是蠕虫病毒主程序自身的一个副本,而主程序与引导程序都有自动重新定位在另一台机器上。
1.2蠕虫病毒的传播传播模块:负责蠕虫的传播。
隐藏模块:侵入主机后,隐藏蠕虫程序,防止被发现目的功能模块:实现对计算机的控制、监视或破坏扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机攻击:攻击模块按照漏洞攻击步骤自动攻击步骤一找出的主机,去得该主机的权限,获得一个shell复制:它通过原主机和新主机的交互将蠕虫病毒程序复制到新主机上并且进行启动1.3 与普通病毒的区别下面对蠕虫病毒与普通病毒作以区别2. 尼姆达病毒概述尼姆达病(Nimda)毒典型的蠕虫病毒,病毒由JavaScript脚本语言编写,病毒通过email、共享网络资源、IIS服务器传播,修改本地驱动器上的·htm, .html和.asp文件。
此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。
该文件将尼姆达蠕虫作为附件,不需要拆开或运行这个附件病毒就被执行。
是一个传播性非常强的黑客病毒。
3. 尼姆达病毒的传播方式:感染文件:尼姆达病毒定位系统中exe文件,并将病毒代码置入原文件体内,从而达到对文件的感染,当用户执行这些文件的时候,病毒进行传播。
蠕虫病毒深度解析日期:2004-11-22 15:44 作者:天极网来源:天极网1.引言近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。
从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。
蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。
看来,蠕虫病毒不再是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。
各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。
“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。
由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。
只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。
2.蠕虫原始定义蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。
1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
3.病毒原始定义在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。
” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。
1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。
“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。
它不能独立运行,需要由它的宿主程序运行来激活它。
”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。
4.蠕虫/病毒计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分病毒的技术,更加剧了这种情况。
下表1给出了病毒和蠕虫的一些差别:/article_03090033a5.蠕虫完整定义上述蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。
而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。
可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。
通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。
而利用信件作为宿主的病毒同样不具备独立运行的能力。
不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。
通过以上的分析和比较,重新给出的Internet蠕虫完整定义为:“Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
”通过简单的分析,可以得出结论,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”,“NAVIDAD网络蠕虫”、“Blebla.B网络蠕虫”、“VBS_KAKWORM.A蠕虫”等等,都是病毒,而不是蠕虫。
6.蠕虫发展现状从1988年CERT(计算机紧急响应小组)由于Morris蠕虫事件成立以来,统计到的Internet安全威胁事件每年以指数增长。
这些安全威胁事件给Internet带来巨大的经济损失。
美国每年因为网络安全造成的经济损失超过170亿美元,使网络信息安全问题得到了世界各国的重视。
2001年美国投资20亿美元加强网络安全建设,同样其它各国也都投入了巨大的人力和物力。
在全球信息化浪潮的冲击下,我国信息化建设也已进入高速发展阶段,电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来,这些与国民经济、社会稳定息息相关的领域急需信息安全的保障。
因此,解决我国的信息安全问题刻不容缓。
在Internet安全问题中,恶意软件(malware)造成的经济损失占有最大的比例。
恶意软件主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。
另外,许多人提出,要把恶意软件作为网络战的一种攻击手段,这时的网络安全问题已经上升到国家安全的高度了。
Internet蠕虫是目前危害最大的恶意软件,几乎每次蠕虫发作都会因其造成的巨大经济损失:1988年11月2日,Morris 蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元;2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元;随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元;2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后,继续攀升,到现在已无法估计。
自从它诞生以来到现在,无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜,它都榜上有名。
日前全球爆发的“冲击波” 蠕虫病毒及其变种,它们传播速度及危害之大是史无前例的,与以前的蠕虫病毒相比,“冲击波”的感染潜力大得多,由于全球微软操作系统这一漏洞影响的电脑数量庞大。
从因此,其危害很难在近期内统计出。
目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫出现,其传播速度成几何级增长,危害也大有过之而无不及。
7.蠕虫研究概况Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。
从1990年开始,对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上,而且这种状况一直延续到现在。
科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。
虽然邮件病毒的出现,使人们认识到了Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少;近年来,新蠕虫层出不穷,危害越来越大,其造成的危害程度远远超过传统的病毒,由于对蠕虫研究的滞后,使人们在蠕虫面前手忙脚乱。
通过对蠕虫的研究,可以扩大反病毒技术涵盖的范围,推进反病毒技术的发展。
对蠕虫的实体特征、功能结构模型的研究,可以直接的转化应用到安全产品和反病毒产品中去,为减少恶意软件造成的经济损失提供相应的手段。
2001年CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。
比较突出的有Nicholas Weaver,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。
Slammer的出现证实了他的预言,但值得注意的是Slammer没有采用任何一种他提到的快速传播策略,而依然使用的是最原始的随机目标选择策略。
Cliff Changchun Zou以CodeRed蠕虫为例,讨论了基于微分方程描述的蠕虫传播模型,考虑了人为因素对蠕虫传播的影响,他的工作可以看作是SIR传播模型的一种扩展。
David Moore(CAIDA, the Cooperative Association for Internet Data Analysis)提出了衡量防治蠕虫的技术有效性的三个参数:响应时间、防治策略、布置策略,他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。
Dug Song等人对蠕虫引起的网络流量统计特征做了研究。
这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的蠕虫(如CodeRed蠕虫)进行研究讨论和建模。
