蠕虫病毒解析

蠕虫病毒原理
蠕虫病毒是一种网络安全威胁，利用计算机网络的漏洞和弱点，通过自我复制和传播的方式攻击其他主机。

蠕虫病毒的原理主要包括以下几个步骤：
1.潜入主机：蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。

一旦进入主机，它会尽可能隐藏自己以避免被发现。

2.自我复制：一旦成功潜入一个主机，蠕虫病毒会尝试自我复
制并传播到其他主机。

它会扫描网络上的其他计算机，并利用各种方式（如远程执行命令、文件传输协议等）将自身复制到目标主机上。

3.利用漏洞：蠕虫病毒利用已知的漏洞来传播自己。

它会扫描
目标计算机上的漏洞，并尝试使用这些漏洞入侵目标系统并复制自己。

这些漏洞可能存在于操作系统、应用程序或网络设备中。

4.创建后门：蠕虫病毒有时会在成功复制到目标主机后创建一
个后门，以便将来能够远程访问和控制被感染的主机。

这样，黑客可以利用这个后门，进一步滥用被感染主机的资源。

5.传播到其他网络：蠕虫病毒通过互联网或局域网传播，并试
图感染更多的主机。

它会扫描相邻的IP地址，尝试连接到其
他计算机，并重复上述的复制和传播过程。

蠕虫病毒的攻击行为通常是自动完成的，它可以在短时间内感
染大量主机，并对网络安全造成巨大的威胁。

为了保护计算机和网络免受蠕虫病毒的攻击，用户和管理员应该定期更新操作系统和应用程序，使用强密码，并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。

详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁。

下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站，谢谢!详细的蠕虫病毒介绍：“蠕虫”病毒由两部分组成：一个主程序和另一个是引导程序。

主程序一旦在计算机中得到建立，就可以去收集与当前机器联网的其他机器的信息，它能通过读取公共配置文件并检测当前机器的联网状态信息，尝试利用系统的缺陷在远程机器上建立引导程序。

就是这个一般被称作是引导程序或类似于“钓鱼”的小程序，把“蠕虫”病毒带入了它所感染的每一台机器中。

“蠕虫”病毒程序能够常驻于一台或多台机器中，并有自动重新定位(autorelocation)的能力。

假如它能够检测到网络中的某台机器没有被占用，它就把自身的一个拷贝(一个程序段)发送到那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器上，并且能够识别出它自己所占用的哪台机器。

计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源，然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。

在网络环境下，蠕虫病毒可以按指数增长模式进行传染。

蠕虫病毒侵入计算机网络，可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。

因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。

在网络环境中，蠕虫病毒具有一些新的特性：(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中，再由服务器的共享目录传播到其他的工作站。

但蠕虫病毒的传染方式比较复杂。

(2)传播速度快在单机上，病毒只能通过软盘从一台计算机传染到另一台计算机，而在网络中则可以通过网络通信机制，借助高速电缆进行迅速扩散。

由于蠕虫病毒在网络中传染速度非常快，使其扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。

(3)清除难度大在单机中，再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除，而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染，甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染，因此，仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。

蠕虫病毒的分析与防范作者：朱慧爽来源：《科学与财富》2019年第06期摘要：蠕虫病毒给网络环境带来了巨大的灾难。

日益严重的蠕虫问题，不仅给用户造成了巨大的损失，而且严重威胁着国家的信息安全。

蠕虫的检测和防范成为当前网络安全研究的热点。

关键词：蠕虫;病毒;网络安全1.蠕虫病毒简介蠕虫病毒与一般病毒不同。

蠕虫病毒不需要将其自身附着到宿主程序，是一种独立的智能程序。

它利用网络进行传播并能够自我复制，爆发时消耗大量的系统资源，使其他程序运行减慢甚至停止，最后导致系统和网络瘫痪。

“熊猫烧香”就是一个典型的感染型蠕虫病毒，其感染行为主要包括：复制自身到系统目录;创建启动项;在各分区根目录生成病毒副本;修改“显示所有文件和文件夹”设置;尝试关闭注册表编辑器、系统配置实用程序、Windows任务管理器、杀毒软件等。

2.蠕虫的检测技术（1）基于蠕虫特征码的检测技术首先将一些蠕虫恶意代码的特征值收集起来，然后逐个创建每一个特征值的特征码规则库。

检测时，利用在特征码和特征码规则库中的具体规则与要检测的网络行为进行匹配，如果存在异常就会匹配成功，对于这样的异常应当给出警告或者拒绝访问。

这样的检测方式有一定的限制，如果有些蠕虫病毒在规则库中没有匹配成功，就无法检测出蠕虫。

（2）基于蠕虫行为特征的检测技术Bakos提出了一种蠕虫行为特征检测技术，利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为，并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息，然后统计消息的个数，并和给定的阈值进行比较，以此判断蠕虫是否有传播行为。

但是这种方法中如果路由器个数较少，那么收集到的报文信息数就会较少，会影响到判断的准确性（3）基于贝叶斯的检测技术在网络传播蠕虫的时候，蠕虫会先向网络中有漏洞的目标主机发送大量连接请求数据包，用这种方法就可以判断出目标主机是否开机，还能判断出这些目标主机是否存在漏洞，由此判断是否会被感染。

3.蠕虫病毒的防范3.1单位用户防范措施（1）提高网络管理员的安全意识和管理水平。

分类
根据蠕虫病毒在计算机及络中传播方式的不同，人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒，它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接，当用户点击 阅读附件时蠕虫病毒被激活，或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒

第一步：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。方法包括用扫描器扫描主机，探测主 机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步：针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的 信息进行分析，找到可以有效利用的信息。如果有现成的漏洞可以利用，上找到该漏洞的攻击方法，如果有攻击 代码就直接COPY下来，然后用该代码取得权限；如果没有现成的漏洞可以利用，就用根据搜集的信息试探猜测用 户密码，另一方面试探研究分析其使用的系统，争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性，它不仅仅感染本地计算机，而且会以本地计算机为基础，感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此，蠕虫病毒的传播速度可以是传统病 毒的几百倍，甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块：
(1)传播模块：负责蠕虫的传播，它可以分为扫描模块、攻击模块和复制模块三个子模块。其中，扫描模块 负责探测存在漏洞的主机；攻击模块按漏洞攻击步骤自动攻击找到的对象；复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。

关于计算机的病毒案例分析,实例解析蠕⾍病毒的原理-电脑资料如今对⼤家的电脑威胁最⼤的就属⽹络蠕⾍病毒了！⽹络蠕⾍病毒的危害之⼤简直令⼈吃惊，从⼤名⿍⿍的爱⾍到欢乐时光，再到红⾊代码，其破坏⼒越来越强，因此我们有必要了解⽹络蠕⾍病毒，蠕⾍病毒与⼀般的计算机病毒不同，它不采⽤将⾃⾝拷贝附加到其他程序中的⽅式来复制⾃⼰，所以在病毒中它也算是⼀个另类。

蠕⾍病毒的破坏性很强，部分蠕⾍病毒不仅可以在因特⽹上兴风作浪，局域⽹也成了它们施展⾝⼿的舞台？D？D蠕⾍病毒可以潜伏在基于客户机/服务机模式的局域⽹的服务机上的软件内，当客户机访问服务机，并对有毒的软件实施下载后，病毒就神不知、⿁不觉地从服务机上拷贝到客户机上了。

其实脚本病毒是很容易制造的，它们都利⽤了视窗系统的开放性的特点。

特别是COM到COM+的组件编程思路，⼀个脚本程序能调⽤功能更⼤的组件来完成⾃⼰的功能。

以VB脚本病毒(如欢乐时光、ILoveYou、库尔尼科娃病毒、Homepage病毒等)为例，他们都是把.vbs脚本⽂件添在附件中，最后使⽤*.htm.vbs等欺骗性的⽂件名。

下⾯我们详细了解⼀下蠕⾍病毒的⼏⼤特性，从中找到对付蠕⾍病毒的⽅法。

⼀、蠕⾍病毒具有⾃我复制能⼒我们以普通的VB脚本为例来看看：SetobjFs=CreateObject(Scripting.FileSystemObject)'创建⼀个⽂件系统对象objFs.CreateTextFile(“C：\virus.txt”，1)'通过⽂件系统对象的⽅法创建了⼀个TXT⽂件。

如果我们把这两句话保存成为.vbs的VB脚本⽂件，点击就会在C盘中创建⼀个TXT⽂件了。

倘若我们把第⼆句改为：objFs.GetFile(WScript.ScriptFullName).Copy(“C：\virus.vbs”)⼆、蠕⾍病毒具有很强的传播性病毒需要传播，电⼦邮件病毒的传播⽆疑是通过电⼦邮件传播的。

繁殖，繁殖，再繁殖，利用系统漏洞，通过网络感染感染其他计算机，繁殖，繁殖，再繁殖。

此类病毒深得“乾坤生两仪，两仪生四象，四象生八卦”之能，每台受感染的机器，本身又以病毒发送者的身份将蠕虫病毒送向四面八方。

蠕虫病毒描述：蠕虫病毒的本质特征之一就是透过网络主动进行感染，本身不具有太多破坏特性，以消耗系统带宽、内存、CPU为主。

这类病毒最大的破坏之处不是对终端用户造成的麻烦，而是对网络的中间设备无谓耗用。

例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。

蠕虫病毒浅析：在以前，编写蠕虫病毒的技术要求相当高。

1988年，前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后，编写了一个精巧的程序，短短时间便将当时的大半个互联网瘫痪。

由以上可以看出，蠕虫的出现，传播，感染是需要系统漏洞和获得系统权限的。

莫里斯不愧为技术高手，不光在于对病毒的编写，更在于对系统漏洞的发掘上。

随着时间的推移，操作系统的进步，在功能完善的同时，漏洞也随之增加。

不少真正的安全小组在发现漏洞的同时，除了会给出详细的技术说明外，往往附带一个小程序的源代码，说明利用漏洞获得权限的实现。

而这个小程序被蠕虫病毒编写者如获至宝，将起改写，加上文件传输，ping扫描，修改启动项自动执行等能用代码简单实现的功能，就成了一个蠕虫病毒——换句话说，现在编写蠕虫病毒的门槛已经大大降低了，所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来，发现安全漏洞更是需要高超的技术水平——这是安全小组做到的，而不是病毒编写者。

因此可以这样概括：自从莫里斯发明出蠕虫病毒以来，该种病毒的编写者自身实力日渐下降，从操作系统级水平沦落到代码编写级水平，不可同日而语。

蠕虫病毒感染途径：系统漏洞/用户错误权限：蠕虫病毒本事是一个需要以一定身份执行的程序。

蠕虫病毒原理
蠕虫病毒是一种能够自我复制和传播的恶意软件，它可以通过网络迅速传播，
并对计算机系统造成严重的破坏。

蠕虫病毒的原理主要包括感染、传播和破坏三个方面。

首先，蠕虫病毒通过利用系统的漏洞或者安全漏洞进行感染。

一旦蠕虫病毒成
功侵入系统，它就会开始自我复制，并试图传播到其他的计算机系统中。

蠕虫病毒通常会利用网络上的共享资源、邮件附件、移动设备等方式进行传播，以此来迅速扩散和感染更多的计算机系统。

其次，蠕虫病毒会利用各种手段来破坏受感染的系统。

它可以删除文件、篡改
数据、监视用户的操作、窃取个人信息等，从而给受感染的系统带来严重的安全隐患。

蠕虫病毒的破坏性非常强，一旦感染，往往会给用户带来巨大的损失。

蠕虫病毒的传播和破坏原理是密不可分的，它们共同构成了蠕虫病毒的恶意行为。

蠕虫病毒通过不断自我复制和传播，不仅会给受感染的系统带来严重的安全威胁，也会对网络安全造成严重的影响。

因此，我们必须加强对蠕虫病毒的防范意识，及时更新系统补丁，安装杀毒软件，加强网络安全防护，以确保计算机系统的安全。

总之，蠕虫病毒的原理主要包括感染、传播和破坏三个方面。

它通过利用系统
漏洞进行感染，利用各种手段进行传播和破坏，给计算机系统的安全带来了严重威胁。

我们必须加强对蠕虫病毒的防范意识，提高网络安全防护能力，以保护计算机系统的安全。

蠕虫病毒—恶意软件分析姓名：冯鑫苑班级：计算机应用专业1021 学号：2010284112一、蠕虫病毒1.蠕虫（Worm）病毒定义：蠕虫病毒是一种常见的计算机病毒。

它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。

比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。

蠕虫程序主要利用系统漏洞进行传播。

它通过网络、电子邮件和其它的传播方式，象生物蠕虫一样从一台计算机传染到另一台计算机。

因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。

蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。

虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。

蠕虫还会蚕食并破坏系统，最终使整个系统瘫痪。

2.蠕虫病毒入侵模式：蠕虫病毒由两部分组成：一个主程序和一个引导程序。

主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。

它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。

随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。

蠕虫病毒程序常驻于一台或多台机器中，并有自动重新定位。

(autoRelocation)的能力。

如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝（一个程序段）发送给那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的哪台机器。

二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。

主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。

分析过程：clam av 引擎流程图:clam av没有明确的引擎代码部分，这里以scanmanager函数为开始只画出clamav 整个检测流程。

什么是蠕虫病毒蠕虫病毒是计算机病毒的一种。

它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

目前危害比较大的蠕虫病毒主要通过三种途径传播：系统漏洞、聊天软件和电子邮件。

其中利用系统漏洞传播的病毒往往传播速度极快，如利用微软04-011漏洞的“震荡波”病毒，三天之内就感染了全球至少 50 万台计算机。

防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。

通过电子邮件传播，是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。

这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。

防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。

另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。

从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。

“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。

对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。

随着网络和病毒编写技术的发展，综合利用多种途径的蠕虫也越来越多，比如有的蠕虫病毒就是通过电子邮件传播，同时利用系统漏洞侵入用户系统。

还有的病毒会同时通过邮件、聊天软件等多种渠道传播。

蠕虫病毒的一般防治方法使用具有实时监控功能的杀毒软件，防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。

四、蠕虫病毒防范措施
1 2
选购合适的杀毒软件。
经常升级病毒库。
3 4
提高安全意识，防杀毒意识。
不随意查看陌生邮件，尤其 是带有附件的邮件。
Company
பைடு நூலகம்
LOGO
一、蠕虫病毒的基本简介
（三）蠕虫病毒的类型
网络蠕虫
网络蠕虫是一种智能化、自动化， 综合网络攻击、密码学和计算机病毒 技术，无须计算机使用者干预即可运 行的攻击程序或代码，它会扫描和攻 击网络上存在系统漏洞的节点主机, 通过局域网或者国际互联网从一个节 点传播到另外一个节点”。
一、蠕虫病毒的基本简介
（四）蠕虫病毒的特点
1.主动进行攻击 利用操作系统和应用程序的漏洞主动进行攻击 2.传播方式多样 可利用的传播途径包括文件、电子邮件、Web服务器、 网络共享、聊天软件等等 3.病毒制作新技术 新病毒利用Java、ActiveX、VB Script等技术，可以 潜伏在HTML页面里，在上网浏览时触发。 4.与黑客技术相结合 新病毒利用Java、ActiveX、VB Script等技术，可以 潜伏在HTML页面里，在上网浏览时触发。 5.对个人用户产生直接威胁的蠕虫病毒
2001年12月至今 大量病毒邮件堵塞 2003年1月 2012年3月 网络大面积瘫痪，银行自动提款机运做中断，直 接经济损失超过26亿美元 北京某公司内部网络大面积瘫痪，公司紧急关闭 网络服务器，直接经济损失无法估算，大量内部 机密文件丢失外漏。
三、蠕虫病毒举例
（一）熊猫烧香病毒
熊猫烧香是一种经过多次变种的蠕虫病毒变种， 2006年10月16日由25岁的中国湖北武汉新洲区人李 俊编写，2007年1月初肆虐网络，对计算机程序、系 统破坏严重。这一病毒利用了微软视窗操作系统的 漏洞，计算机感染这一病毒后，会不断自动拨号上 网，并利用文件中的地址信息或者网络共享进行传 播，最终破坏用户的大部分重要数据。被感染的用 户系统中所有.exe可执行文件全部被改成熊猫举着 三根香的模样。

6.1 蠕虫的基本概念

根据攻击对象不同 面向企业用户和局域网
• • • •
利用系统漏洞，主动进行攻击，可以使整个因特网瘫痪 “红色代码”、“尼姆达”、“SQL蠕虫王” 具有很大的主动攻击性，爆发也具有一定的突然性 相对来说查杀较容易

针对个人用户
•
• • •
通过网络（主要是电子邮件、恶意网页）迅速传播 “爱虫”、“求职信” 传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞， 更多的利用社会工程学对用户进行欺骗和诱使 造成的损失非常大，同时很难根除
21

“灾飞”病毒


6.6 目前流行的蠕虫病毒

QQ消息机木马病毒、网游/网银盗号木马

QQ消息机利用IE漏洞传播 每一个病毒传播范围不广，但是其变种频出

网游盗号木马病毒泛滥，其变种繁多，针对各类网络游戏的木马 病毒每天都在增加
它们会伪装成工具欺骗用户运行，捆绑到网游外挂上 利用QQ消息机的传播特性等多种手段进入用户的系统，通过监视 用户系统的一举一动伺机盗取用户的网游账号、密码和网络银行 的账号、密码 给用户带来一定的经济损失
求职信及变种


一种电子邮件蠕虫病毒 它自动向外发送带毒邮件，病毒发作后会感染电脑中的Word文档 和Excel文档，且遭受感染的文档和数据根本无法恢复 同时，该病毒将终止反病毒软件的运行，并将其从电脑中删除
23
6.6 目前流行的蠕虫病毒

冲击波杀手及其变种

利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的 Windows用户 使他们的计算机无法工作并反复重启，大量企业用户也未能幸免 该病毒还引发了DOS攻击，使多个国家的互联网也受到相当影响 出现的故障如：电脑不能正常复制粘贴，系统网络连接数增大， 系统反应奇慢等 利用微软公布的两个漏洞进行传播 病毒运行后会生成病毒文件，修改注册表，终止一些防病毒软件 和防火墙的运行 另外，病毒可通过局域网共享进行传播，并具有后门功能

蠕虫病毒原理
蠕虫病毒是一种能够自动复制和传播的恶意软件程序。

它利用计算机网络的漏洞，通过网络连接传播到其他计算机，感染并复制自身。

蠕虫病毒具有以下特点：
1. 自动复制：蠕虫病毒可以自动复制自己，并利用网络连接将复制的副本传播到其他计算机。

它不需要用户的介入或文件传输，可以通过网络针对其他计算机进行扩散。

2. 利用漏洞：蠕虫病毒利用计算机网络中的漏洞，如操作系统漏洞、应用程序漏洞等，来感染和传播。

一旦感染了某台计算机，就会利用漏洞攻击其他未修补漏洞的计算机。

3. 快速传播：由于蠕虫病毒的自动复制和传播特性，它能够在网络上快速传播，感染大量计算机。

这会极大地影响网络的正常运行，并且很难进行控制和清除。

4. 破坏性：蠕虫病毒除了传播自身外，还可能对感染的计算机造成破坏。

它可以删除、损坏或盗取计算机上的文件和敏感信息，甚至可以控制被感染计算机的操作。

为了保护计算机免受蠕虫病毒的感染，用户应采取以下预防措施：
1. 安装安全补丁：及时安装操作系统和应用程序的安全补丁，以修补已知漏洞。

2. 使用防病毒软件：安装并定期更新防病毒软件，及时扫描和清除潜在的病毒。

3. 谨慎打开附件：不打开来自未知或不可信源的文件和链接，以防止蠕虫病毒通过电子邮件或即时消息传播。

4. 防火墙设置：配置和使用防火墙，限制计算机与未经授权的网络之间的通信，减少蠕虫病毒的传播机会。

5. 定期备份数据：定期备份重要文件和数据，以防止蠕虫病毒的破坏。

14

攻击



复制

6.4 蠕虫病毒的机理

蠕虫程序常驻于一台或多台计算机中

具有自动重新定位的能力 如果它检测到网络中的某台计算机未被占用，就把自 身的一个拷贝发送给那台计算机 每个程序段都能把自身的拷贝重新定位于另一台计算 机中，并且能够识别出它自己所占用的计算机


当前流行的病毒主要采用一些已公开的漏洞、脚 本以及电子邮件等进行传播
蠕虫病毒
6.1 蠕虫的基本概念

1988年

美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数 千台计算机停机，蠕虫病毒开始现身网络 造成几十亿美元的损失 迅速传播并袭击了全球，致使互联网网路严重堵塞 作为互联网主要基础的域名服务器（DNS）的瘫痪造成网民浏览 互联网网页及收发电子邮件的速度大幅减缓 银行自动提款机的运作中断，机票等网络预订系统的运作中断， 信用卡等收付款系统出现故障 造成的直接经济损失至少在12亿美元以上
15
6.5 蠕虫病毒的检测与防范

对未知蠕虫的检测

通用的方法是对流量异常的统计分析 对TCP连接异常的分析 对ICMP数据异常的分析
•
• •
•
在蠕虫的扫描阶段，会随机地或伪随机地生成大量的IP地址进 行扫描，探测漏洞主机 这些被扫描的IP地址中会存在许多空的或者不可达的IP地址 从而在一段时间内蠕虫主机会接收到大量来自不同路由器的 ICMP-T3（目标不可达）数据包 通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发 现，然后隔离分析，并采取相应措施
11
6.3 蠕虫病毒的特性
蠕虫病毒的特点

清除难度大

第19页
粗检测粒度旳体现
通过对病毒旳分析来看， Worm.NewApt附件文献清单是 26个，而不是24个。 Rule(s) from C&D没有错误，但 Capture&Decode之外，但愿能 补充进，Code&Disassemblers
第20页
附件文献名检测方式弊端
对于那些随机选择附件名文献名或者提取本机 文献旳文献名作为自身名字旳蠕虫无能为力。
第7页
从传播模式进行安全防御
对蠕虫在网络中产生旳异常，有多种旳旳办法 可以对未知旳蠕虫进行检测，比较通用旳办法 是对流量异常旳记录分析，重要涉及对TCP连 接异常旳分析和ICMP数据异常分析旳办法。
第8页
从传播模式进行安全防御
在蠕虫旳扫描阶段，蠕虫会随机旳或者伪随机旳生成 大量旳IP地址进行扫描，探测漏洞主机。这些被扫描 主机中会存在许多空旳或者不可达旳IP地址，从而在 一段时间里，蠕虫主机会接受到大量旳来自不同路由 器旳ICMP不可达数据包。流量分析系统通过对这些 数据包进行检测和记录，在蠕虫旳扫描阶段将其发现， 然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而 采用防御措施。
同步新旳问题产生：|0d 0a|如何解决？
第23页
问题（二）特性码质量
特性码不能任意选用，而规 定可以精确无误报旳实现检 测。 •长度规定 •复杂度规定 •其他规定
第24页
问题（三）如何面对更多层面旳需求
IDS旳规则问题只是我们问题旳出发点。 能否实现御毒于内网之外 Firewall、Gap能否扩充反病毒能力 骨干网络能否建立病毒疫情监控机制，甚至直
name="worm.exe" Content-Transfer-Encoding: base64

论文题目：蠕虫病毒摘要21世纪信息安全变得尤为重要，人们越来越多的依赖于计算机，随之也衍生出越来越多的计算机病毒，蠕虫病毒可以说是近年来最猖獗的病毒。

而它的代表性病毒则是尼姆达病毒，它综合运用了当时流行的所有传播方式，因此传播更快，破坏性更大。

本文主要介绍尼姆达病毒的特点，并对其的传播方式进行分析。

最后对病毒的子文件做以介绍使大家了解它，并且掌握一定的防治手段。

关键字：信息安全蠕虫病毒尼姆达病毒1. 背景介绍1.1蠕虫病毒的介绍蠕虫病毒通常是由两部分组成：一个是主程序和一个引导程序。

主程序的主要功能是搜索与扫描，它可以读取系统的公共配置文件，获得与本机联网的客户端信息，检测到网络中哪台机器没有被占用，从而通过系统漏洞，将引导程序建立到远程计算机上。

引导程序实际上是蠕虫病毒主程序自身的一个副本，而主程序与引导程序都有自动重新定位在另一台机器上。

1.2蠕虫病毒的传播传播模块：负责蠕虫的传播。

隐藏模块：侵入主机后，隐藏蠕虫程序，防止被发现目的功能模块：实现对计算机的控制、监视或破坏扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机攻击：攻击模块按照漏洞攻击步骤自动攻击步骤一找出的主机，去得该主机的权限，获得一个shell复制：它通过原主机和新主机的交互将蠕虫病毒程序复制到新主机上并且进行启动1.3 与普通病毒的区别下面对蠕虫病毒与普通病毒作以区别2. 尼姆达病毒概述尼姆达病（Nimda）毒典型的蠕虫病毒，病毒由JavaScript脚本语言编写，病毒通过email、共享网络资源、IIS服务器传播，修改本地驱动器上的·htm, .html和.asp文件。

此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。

该文件将尼姆达蠕虫作为附件，不需要拆开或运行这个附件病毒就被执行。

是一个传播性非常强的黑客病毒。

3. 尼姆达病毒的传播方式：感染文件：尼姆达病毒定位系统中exe文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行传播。

蠕虫病毒原理蠕虫病毒是一种具有自我复制能力的恶意软件，它可以在计算机网络中迅速传播，并对系统造成严重的破坏。

蠕虫病毒的传播方式主要包括利用系统漏洞、网络共享、邮件附件等途径，一旦感染，将对计算机系统造成严重危害。

下面我们来了解一下蠕虫病毒的原理。

首先，蠕虫病毒利用系统漏洞进行传播。

蠕虫病毒通常会利用操作系统或软件的漏洞，通过网络对系统进行扫描，一旦找到漏洞，便会利用该漏洞进行感染。

由于许多用户对系统的更新和补丁安装不够及时，漏洞得不到及时修复，这为蠕虫病毒的传播提供了便利。

其次，蠕虫病毒利用网络共享进行传播。

许多计算机在网络中进行文件共享，蠕虫病毒可以利用这一特性，通过网络共享的方式传播到其他计算机。

一旦一个计算机感染了蠕虫病毒，它就会自动在网络中寻找其他可感染的目标，并将自身复制传播到其他计算机上。

另外，蠕虫病毒还可以通过邮件附件进行传播。

它会将自身伪装成邮件附件的形式，发送给用户，一旦用户点击打开附件，蠕虫病毒就会感染用户的计算机，并通过邮件系统传播到其他用户的计算机上。

蠕虫病毒的原理还包括对系统的破坏。

一旦感染了计算机系统，蠕虫病毒会破坏系统的正常运行，可能导致系统崩溃、数据丢失甚至个人隐私泄露。

蠕虫病毒还可能利用感染的计算机进行DDoS攻击，对网络服务器进行攻击，造成网络拥堵，影响正常的网络使用。

为了防范蠕虫病毒的感染，用户应该及时更新系统补丁，加强网络安全意识，不随意点击未知来源的邮件附件，使用防病毒软件进行实时监测和防护。

此外，网络管理员还应该加强网络监控和安全防护，及时发现和清除潜在的蠕虫病毒感染。

总之，蠕虫病毒利用系统漏洞、网络共享、邮件附件等途径进行传播，一旦感染，将对计算机系统造成严重危害。

用户和网络管理员应该加强安全意识，及时更新系统补丁，使用防病毒软件进行防护，以防范蠕虫病毒的感染和传播。