下载文档原格式
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
蠕虫病毒的分析与防范作者:朱慧爽来源:《科学与财富》2019年第06期摘要:蠕虫病毒给网络环境带来了巨大的灾难。
日益严重的蠕虫问题,不仅给用户造成了巨大的损失,而且严重威胁着国家的信息安全。
蠕虫的检测和防范成为当前网络安全研究的热点。
关键词:蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。
蠕虫病毒不需要将其自身附着到宿主程序,是一种独立的智能程序。
它利用网络进行传播并能够自我复制,爆发时消耗大量的系统资源,使其他程序运行减慢甚至停止,最后导致系统和网络瘫痪。
“熊猫烧香”就是一个典型的感染型蠕虫病毒,其感染行为主要包括:复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。
2.蠕虫的检测技术(1)基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来,然后逐个创建每一个特征值的特征码规则库。
检测时,利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配,如果存在异常就会匹配成功,对于这样的异常应当给出警告或者拒绝访问。
这样的检测方式有一定的限制,如果有些蠕虫病毒在规则库中没有匹配成功,就无法检测出蠕虫。
(2)基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性(3)基于贝叶斯的检测技术在网络传播蠕虫的时候,蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包,用这种方法就可以判断出目标主机是否开机,还能判断出这些目标主机是否存在漏洞,由此判断是否会被感染。
3.蠕虫病毒的防范3.1单位用户防范措施(1)提高网络管理员的安全意识和管理水平。
关于计算机的病毒案例分析,实例解析蠕⾍病毒的原理-电脑资料如今对⼤家的电脑威胁最⼤的就属⽹络蠕⾍病毒了!⽹络蠕⾍病毒的危害之⼤简直令⼈吃惊,从⼤名⿍⿍的爱⾍到欢乐时光,再到红⾊代码,其破坏⼒越来越强,因此我们有必要了解⽹络蠕⾍病毒,蠕⾍病毒与⼀般的计算机病毒不同,它不采⽤将⾃⾝拷贝附加到其他程序中的⽅式来复制⾃⼰,所以在病毒中它也算是⼀个另类。
蠕⾍病毒的破坏性很强,部分蠕⾍病毒不仅可以在因特⽹上兴风作浪,局域⽹也成了它们施展⾝⼿的舞台?D?D蠕⾍病毒可以潜伏在基于客户机/服务机模式的局域⽹的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、⿁不觉地从服务机上拷贝到客户机上了。
其实脚本病毒是很容易制造的,它们都利⽤了视窗系统的开放性的特点。
特别是COM到COM+的组件编程思路,⼀个脚本程序能调⽤功能更⼤的组件来完成⾃⼰的功能。
以VB脚本病毒(如欢乐时光、ILoveYou、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本⽂件添在附件中,最后使⽤*.htm.vbs等欺骗性的⽂件名。
下⾯我们详细了解⼀下蠕⾍病毒的⼏⼤特性,从中找到对付蠕⾍病毒的⽅法。
⼀、蠕⾍病毒具有⾃我复制能⼒我们以普通的VB脚本为例来看看:SetobjFs=CreateObject(Scripting.FileSystemObject)'创建⼀个⽂件系统对象objFs.CreateTextFile(“C:\virus.txt”,1)'通过⽂件系统对象的⽅法创建了⼀个TXT⽂件。
如果我们把这两句话保存成为.vbs的VB脚本⽂件,点击就会在C盘中创建⼀个TXT⽂件了。
倘若我们把第⼆句改为:objFs.GetFile(WScript.ScriptFullName).Copy(“C:\virus.vbs”)⼆、蠕⾍病毒具有很强的传播性病毒需要传播,电⼦邮件病毒的传播⽆疑是通过电⼦邮件传播的。
繁殖,繁殖,再繁殖,利用系统漏洞,通过网络感染感染其他计算机,繁殖,繁殖,再繁殖。
此类病毒深得“乾坤生两仪,两仪生四象,四象生八卦”之能,每台受感染的机器,本身又以病毒发送者的身份将蠕虫病毒送向四面八方。
蠕虫病毒描述:蠕虫病毒的本质特征之一就是透过网络主动进行感染,本身不具有太多破坏特性,以消耗系统带宽、内存、CPU为主。
这类病毒最大的破坏之处不是对终端用户造成的麻烦,而是对网络的中间设备无谓耗用。
例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。
蠕虫病毒浅析:在以前,编写蠕虫病毒的技术要求相当高。
1988年,前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后,编写了一个精巧的程序,短短时间便将当时的大半个互联网瘫痪。
由以上可以看出,蠕虫的出现,传播,感染是需要系统漏洞和获得系统权限的。
莫里斯不愧为技术高手,不光在于对病毒的编写,更在于对系统漏洞的发掘上。
随着时间的推移,操作系统的进步,在功能完善的同时,漏洞也随之增加。
不少真正的安全小组在发现漏洞的同时,除了会给出详细的技术说明外,往往附带一个小程序的源代码,说明利用漏洞获得权限的实现。
而这个小程序被蠕虫病毒编写者如获至宝,将起改写,加上文件传输,ping扫描,修改启动项自动执行等能用代码简单实现的功能,就成了一个蠕虫病毒——换句话说,现在编写蠕虫病毒的门槛已经大大降低了,所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来,发现安全漏洞更是需要高超的技术水平——这是安全小组做到的,而不是病毒编写者。
因此可以这样概括:自从莫里斯发明出蠕虫病毒以来,该种病毒的编写者自身实力日渐下降,从操作系统级水平沦落到代码编写级水平,不可同日而语。
蠕虫病毒感染途径:系统漏洞/用户错误权限:蠕虫病毒本事是一个需要以一定身份执行的程序。
蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件,它可以通过网络迅速传播,
并对计算机系统造成严重的破坏。
蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
首先,蠕虫病毒通过利用系统的漏洞或者安全漏洞进行感染。
一旦蠕虫病毒成
功侵入系统,它就会开始自我复制,并试图传播到其他的计算机系统中。
蠕虫病毒通常会利用网络上的共享资源、邮件附件、移动设备等方式进行传播,以此来迅速扩散和感染更多的计算机系统。
其次,蠕虫病毒会利用各种手段来破坏受感染的系统。
它可以删除文件、篡改
数据、监视用户的操作、窃取个人信息等,从而给受感染的系统带来严重的安全隐患。
蠕虫病毒的破坏性非常强,一旦感染,往往会给用户带来巨大的损失。
蠕虫病毒的传播和破坏原理是密不可分的,它们共同构成了蠕虫病毒的恶意行为。
蠕虫病毒通过不断自我复制和传播,不仅会给受感染的系统带来严重的安全威胁,也会对网络安全造成严重的影响。
因此,我们必须加强对蠕虫病毒的防范意识,及时更新系统补丁,安装杀毒软件,加强网络安全防护,以确保计算机系统的安全。
总之,蠕虫病毒的原理主要包括感染、传播和破坏三个方面。
它通过利用系统
漏洞进行感染,利用各种手段进行传播和破坏,给计算机系统的安全带来了严重威胁。
我们必须加强对蠕虫病毒的防范意识,提高网络安全防护能力,以保护计算机系统的安全。
蠕虫病毒—恶意软件分析姓名:冯鑫苑班级:计算机应用专业1021 学号:2010284112一、蠕虫病毒1.蠕虫(Worm)病毒定义:蠕虫病毒是一种常见的计算机病毒。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。
比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。
蠕虫程序主要利用系统漏洞进行传播。
它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。
因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。
蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。
虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。
蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。
2.蠕虫病毒入侵模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。
主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。
它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。
随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位。
(autoRelocation)的能力。
如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。
二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。
主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。
分析过程:clam av 引擎流程图:clam av没有明确的引擎代码部分,这里以scanmanager函数为开始只画出clamav 整个检测流程。
什么是蠕虫病毒蠕虫病毒是计算机病毒的一种。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。
这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。
其中利用系统漏洞传播的病毒往往传播速度极快,如利用微软04-011漏洞的“震荡波”病毒,三天之内就感染了全球至少 50 万台计算机。
防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的“漏洞扫描”工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。
通过电子邮件传播,是近年来病毒作者青睐的方式之一,像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。
这样的病毒往往会频繁大量的出现变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
另外,启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。
“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
随着网络和病毒编写技术的发展,综合利用多种途径的蠕虫也越来越多,比如有的蠕虫病毒就是通过电子邮件传播,同时利用系统漏洞侵入用户系统。
还有的病毒会同时通过邮件、聊天软件等多种渠道传播。
蠕虫病毒的一般防治方法使用具有实时监控功能的杀毒软件,防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。
繁殖,繁殖,再繁殖,利用系统漏洞,通过网络感染感染其他计算机,繁殖,繁殖,再繁殖。
此类病毒深得“乾坤生两仪,两仪生四象,四象生八卦”之能,每台受感染的机器,本身又以病毒发送者的身份将蠕虫病毒送向四面八方。
蠕虫病毒描述:
蠕虫病毒的本质特征之一就是透过网络主动进行感染,本身不具有太多破坏特性,以消耗系统带宽、内存、CPU为主。
这类病毒最大的破坏之处不是对终端用户造成的麻烦,而是对网络的中间设备无谓耗用。
例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。
蠕虫病毒浅析:
在以前,编写蠕虫病毒的技术要求相当高。
1988年,前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后,编写了一个精巧的程序,短短时间便将当时的大半个互联网瘫痪。
由以上可以看出,蠕虫的出现,传播,感染是需要系统漏洞和获得系统权限的。
莫里斯不愧为技术高手,不光在于对病毒的编写,更在于对系统漏洞的发掘上。
随着时间的推移,操作系统的进步,在功能完善的同时,漏洞也随之增加。
不少真正的安全小组在发现漏洞的同时,除了会给出详细的技术说明外,往往附带一个小程序的源代码,说明利用漏洞获得权限的实现。
而这个小程序被蠕虫病毒编写者如获至宝,将起改写,加上文件传输,ping扫描,修改启动项自动执行等能用代码简单实现的功能,就成了一个蠕虫病毒——换句话说,现在编写蠕虫病毒的门槛已经大大降低了,所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来,发现安全漏洞更是需要高超的技术水平——这是安全小组做到的,而不是病毒编写者。
因此可以这样概括:自从莫里斯发明出蠕虫病毒以来,该种病毒的编写者自身实力日渐下降,从操作系统级水平沦落到代码编写级水平,不可同日而语。
蠕虫病毒感染途径:
系统漏洞/用户错误权限:蠕虫病毒本事是一个需要以一定身份执行的程序。
因此通过系统漏洞进行感染是其手段,提升权限是其企图,重复感染是其目的。
没打上系统漏洞补丁的操作系统,权限设置松散的设置,极其简单的用户密码是这类病毒的最爱。
蠕虫病毒自查:
由于通过网络感染,蠕虫病毒都会大量占用网络带宽。
由于现在普通pc的性能相当不错,因此一些新兴的蠕虫病毒在大肆占用网卡发送封包的同时,本机速度不会变的太缓慢,这跟自查带来了一定麻烦。
以天缘工作为例,检查到内网中有用户染毒后,电话通知他,结果被反问:“我运行单机程序的时候这么快,只有上网的时候才觉得慢,是不是你们网络中心故意捣乱??”网管难做啊,不对单机造成任何伤害的病毒用户一般难以察觉,因此还是后来会导致系统出错1分钟内自动关闭的这类病毒比较受我们网管欢迎呢。
上网的朋友可以检查一下网络连接的封包发送,如果自己没进行任何操作的时候,依然有大量的数据报文不断发出—
—那么有很大可能您中了蠕虫病毒。
蠕虫病毒查杀:
蠕虫病毒由于感染非常迅速,而且是通过系统漏洞方式感染,所以对互联网络的危害相当大,唇亡齿寒,因此一般来说发现了该漏洞的操作系统公司和杀毒公司都不会坐视不管,会在第一时间推出补丁和专杀工具。
用户下载后,断网进行杀毒,然后打上patch,重新启动系统就能避免再次重复感染了。
至于病毒传播速度太快,在杀毒后下载patch的中途又被重复感染的问题,可以阅读:冲击波和冲击波克星感染主机问题解析和删除冲击波和冲击波克星病毒解决方案,举一反三则可以。
蠕虫病毒杀毒遗留:
由于蠕虫病毒本身是独立程序,利用系统漏洞进行远程权限获取,进而上传,运行,感染,所以用专用的软件杀除后,基本无文件残留,但部分专杀工具没有将其启动项目清理得非常完全,可以使用上面查找木马启动设置的方法手工查找加载位置进行删除。
另外切记一定在杀毒后第一时间及时打上补丁,否则重复感染机会高达100% 。
蠕虫病毒防御:
1.勤打补丁,一般说来一个操作系统被发现漏洞以后,大概在15天以内相关的病毒就会出现,因此有必要随时关注自己所使用的操作系统的补丁升级情况,养成每天定时查看补丁升级情形的习惯。
这里的补丁不光包括操作系统自身的,也包含程序服务的补丁,例如ftp服务器的补丁等等。
2.权限设置,很多蠕虫病毒感染的条件是需要以root级运行的进程出现漏洞,那么蠕虫病毒才有权限进行上载、执行的权利,在windows下由于大多数后台进程是以administrator权限执行,带来的危害也相当大;*nix下则可设置非关键进程使用普通用户或chroot方式来避免权限提升。
3.尽量少开服务,可开可不开的服务绝对不开,最小化风险;
4.安装网络封包防火墙,只允许特定的端口的数据包通过或者特定的程序访问网络。
