蠕虫病毒 （常见的计算机病毒）

简介

随着互联网的迅猛发展,蠕虫对于网络安全的威胁日益严重，涌现了很多危害很大的病毒，比如利用微软的系统漏洞攻击计算机网络的“红色代码”“尼姆达”“sql蠕虫王”病毒，利用 E-mail 邮件迅速传播的“爱虫”病毒和“求职信”病毒。还有一些蠕虫病毒本身对网络有很强的危害，如有些蠕虫病毒会大量发送DoS攻击数据包，造成网络拥塞，有些蠕虫病毒能破坏网络的传输，还有一些设定后门，成为黑客攻击的工具。

蠕虫的背景介绍

概述

蠕虫病毒是一种通过网络传播的恶性计算机病毒，它的出现相对于木马病毒、宏病毒来说比较晚，但是无论从传播速度、传播范围还是从破坏程度上来讲，都是以往的传统病毒所无法比拟的。

病毒可以实现自我复制，独立运行，通过IP地址不停地寻找网络中有漏洞的计算机，进而通过部分或全部控制权来进行传播。“蠕虫”病毒由两部分组成：一个主程序和一个引导程序。主程序的主要功能是搜索和扫描，读取系统的公共配置文件，获得与本机联网的客户端信息，从而通过系统漏洞，将引导程序建立到远程计算机上。通过引导程序收集与当前机器联网的其他机器的信息，把“蠕虫”病毒扩散到网络中。引导程序是蠕虫病毒主程序（或一个程序段）自身的一个副本，通过不断重复这样的复制，蠕虫病毒能够在短时间大面积爆发并且带来严重后果。

为了实现病毒的传播，要找到一个可以攻击的目标主机，病毒会选择性的随机扫描整个计算机中的IP地址，目标主机被感染后可以进行顺序扫描，假设被感染的主机的IP地址是a.那么它就会按a+1或a-1I进行顺序扫描，扫描到有漏洞的电脑就自主传播感染。如W32.Blaster 就是典型的顺序扫描蠕虫。

起源

早期的蠕虫不属于病毒，也不具备破坏性，它只是一种网络自动工具。1972年，出于军事目的而开发的阿帕网（ARPANET）开始走向世界，发展成为现在的Internet，开启了互联网的时代。

网络上的资料浩如烟海，为了解决用户可以在网上快速的搜索到资料，一群热心的技术人员便开始编写“蠕虫”程序。原型来自于经典科幻小说《电波骑士》，小说里描写了一种叫做“绦虫”的程序，这种程序可以成群结队地出没于网上，造成网络阻塞。这种蠕虫程序可以在一个局域网中范围内的计算机上并行运行，并且能快速有效地检测网络的状态，进行相关信息的收集。后来，又出现了专门检测网络的爬虫程序和专门收集信息的蜘蛛程序。直到现在，这两种网络搜索技术还在被大量使用。

随着网络的发展，作为网络小工具的蠕虫程序，技术也得到了很大的发展，直到1989年的“莫里斯蠕虫”事件的出现。

22岁的康奈尔大学研究生罗伯特·莫里斯，从小就痴迷那种能够控制整个网络的程序，也由于父亲是贝尔实验室的研究员，因此他有机会接触计算机和网络，对Linux系统非常了解。当他发现当时操作系统中存在的几个严重漏洞时，便开始着手编写“莫里斯蠕虫”，这种蠕虫没有任何实用价值，只是利用系统的漏洞将自己在网络上进行复制。在实际操作中，由于莫里斯在编程中将控制复制速度的变量值设得太大，从而造成了蠕虫在短时间内迅速复制，最终使大半个互联网陷入了瘫痪。自此蠕虫也是一种计算机病毒的概念也被确立起来，而这种利用系统漏洞进行传播的方式就成了现在蠕虫病毒的主要传播方式。

蠕虫病毒的特点

计算机病毒类型及常见病毒

文件型病毒

文件型病毒是寄生型的，需要感染宿主操作系统中的文件系统进行传播的病毒（如：后缀为.com、.exe、.doc、.sys等文件）。这类计算机病毒在宿主运行可执行文件时或者当系统有任何读写操作时，向外进行传播计算机病毒。

宏病毒就是一种典型的文件型病毒。宏病毒是以微软office系列办公软件为主要攻击对象的一种病毒，通过E-mail和软盘入侵系统，这种病毒不感染.EXE型文件或.COM型文件，而只针对数据文件或文档文件（字处理文档、数据表格、演示文档等）。当用户打开了被感染的文件，宏病毒便会转移，感染其他文件，感染后文件是无法转存成任何格式的文件，只能保存为模板文件（即*.dot文件）。由于数据文件和模板文件的使用用户多，且跨越多种平台，使得宏病毒得到大规模的传播。

引导型病毒

引导区计算机病毒是在系统加载或启动时，在引导系统的过程中入侵磁盘引导区或主引导区 ，从而获得系统的控制权，病毒先执行完程序后，再执行系统的指令。感染的方式有两种，第一种，将原有的扇区信息转移走到一个特定的位置，然后病毒程序被写入这个位置。这样的病毒有“小球”病毒、“大麻”病毒、“巴基斯坦”病毒和“磁盘杀手”病毒等。第二种是只保留原扇区的部分内容（如分区信息和提示信息），剩下的都被病毒程序直接覆盖了，这样的病毒有“2708”病毒等。

混合型病毒

混合型病毒兼具文件型病毒和引导型病毒的特点，既能通过感染系统引导区的方式，也能通过感染文件的方式进行病毒传播，破坏性和危害性更大。

“新世纪”病毒就是一种典型的混合型病毒，既能感染系统引导区，也能攻击.EXE型文件和.COM型文件，当病毒被激活的时候，还将删除所有运行的程序，并在屏幕上留下一封信的内容，危害很大。

网络病毒

• 脚本病毒

脚本病毒是使用脚本语言编写的具有恶意操作意向的程序代码，通过E-mail附件、局域网共享、感染网页文件进行传播的计算机病毒。如“红色代码““欢乐时”光”“十四日”等。

• 蠕虫病毒

蠕虫是一种能够实现自我复制、独立运行且会利用系统漏洞、网络服务器漏洞发动主动攻击的网络病毒。蠕虫病毒传播途径多样化，可以通过电子邮件，局域网共享文件，Web服务器等传染病毒。由于蠕虫发送大量传播数据包搜索目标计算机，所以被蠕虫感染了的网络速度非常缓慢，CPU和内存也会因为占用过高资源而出现死锁现象。感染后的计算机会出现系统运行缓慢、文件丢失、文件被破坏或出现新文件的情况。

• 木马病毒

木马病毒是一种可以隐藏在正常程序下具有独立运行特定功能的一段恶意代码。病毒有时通过电子邮件附件传播，有时隐藏在捆绑的免费软件中下载到用户电脑上，有时通过Script、ActiveX及Asp.CGI交互脚本的方式植入，有时利用系统漏洞攻击服务器，当用户安装这个软件或者点击病毒邮件时，木马程序就会自动安装了。随着科技的发展，木马病毒还可以和蠕虫病毒、黑客病毒、后门病毒相结合，窃取用户计算机上的各种文件、程序，信息账号、密码等，收集用户浏览器、邮件客户端、屏幕截图、记录键盘击键。

2023年一种名为DogeRAT的新开源特洛伊木马（RAT）可以在用户未经授权的情况下远程控制感染的电子设备，发动了主要针对位于印度的安卓用户的网络安全攻击。主要以窃取个人信息为目的。

• 黑客病毒

黑客病毒经常是与木马病毒连在一起的，木马负责入侵用户的计算机，而黑客病毒则会通过该木马病毒远程控制用户端。

• 后门病毒

后门是一种绕过系统已有的安全设置以管理员身份进行登录的方法，黑客在利用某些方法成功绕过安全性控制进而控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置，达到方便黑客可以轻易地与这台计算机建立连接的目的，进而重新控制这台计算机。后门是一个形象的比喻，就好像黑客也有一把钥匙，可以随意进入别人的计算机并且不会被察。

蠕虫病毒与普通病毒的比较

一般的病毒是寄生的，不能独立运行，主要感染目标是文件，通过将指令代码写到其他程序体内，被感染的文件就被称为“宿主”。病毒分为DIRII链接型病毒，引导区病毒等。例如，Windows下可执行文件的格式为PE格式（Portable Executable），当需要感染PE文件时，就在宿主程序中建立一个新节，将病毒代码写到新节中，修改程序入口点，等等。这样，当宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，再把控制权交给宿主原来的程序指令。

蠕虫通过复制自身在互联网环境下进行传播，传染目标是互联网内的所有计算机，局域网下的共享文件夹、电子邮件（E-mail）、网络中的恶意网页以及存在着大量漏洞的服务器等都成为蠕虫传播的良好途径。蠕虫病毒的快速传播性、主动攻击性和突然爆发性要比普通病毒的危害更大。

蠕虫病毒的特征：

独立性：它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等，但同时具有自己的一些特征，计算机病毒一般都需要宿主程序，病毒将自己的代码写到宿主程序中，宿主程序运行时可触发病毒，而蠕虫病毒无须计算机使用者干预即可运行，通过大规模的扫描获取网络中存在漏洞的计算机的控制权进行复制和传播，在已感染的计算机中设置后门或执行恶意代码破坏计算机系统或信息。

传染目标: 计算机病毒感染的是本地文件，而蠕虫病毒感染的是网络计算机。

传播机制：不同于计算机病毒要依靠宿主程序运行，蠕虫病毒可以主动攻击目标。它的传染机理是利用网络进行复制和传播，传染途径是局域网条件下的共享文件夹、E-mail、网络中的恶意网页、存在大量漏洞的服务器等。如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了Windows操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

破坏性：每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机，在网络中扫描到存在漏洞的计算机后就马上发动攻击。由于蠕虫发送大量传播数据包，所以被蠕虫感染了的网络速度非常缓慢，被感染了的计算机也会因为CPU和内存占比高而接近崩溃状态。

先进的技术：与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改， 变种快，容易逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技术，可以潜伏在HTML页面里，在上网浏览时触发。病毒与黑客技术相结合，潜在的威胁和损失更大，以“红色代码”为例，感染后的机器的web目录的\scripts 下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入。

蠕虫病毒的类型

1. 按攻击群体分类：分为企业用户和个人用户，这种蠕虫病毒利用系统漏洞，主动进行攻击，危害大，可以造成网络大面积的瘫痪，巨大的经济损失，以“红色代码”“尼姆达”以及“Sql蠕虫王”为代表；另外一类是针对个人用户的，通过诱使用户点击带病毒的电子邮件和网页以达到迅速传播的病毒的目的，以“爱虫”病毒，“求职信”病毒为代表。

2.按运行方式分类：主机蠕虫这类与网络蠕虫。主机蠕虫通过网络连接仅将其自身复制到其他计算机中，任务就结束了。因此在任意给定的时刻，只有一个蠕虫的副本运行，这种点对点的传播，蠕虫被称为“野兔”，以“爱虫”病毒、“求职信”病毒为代表。网络蠕虫他有多种传播途径，利用邮件，系统漏洞，局域网共享等方式传播。网络蠕虫有一个主段，这个主段与其他段的工作相协调匹配，有时称为“章鱼”，以“红色代码”“尼姆达”及最新的“SQL蠕虫王”为代表。

3.按照网络病毒的传播途径分类：分为邮件型病毒和漏洞型病毒。邮件型病毒有的是通过伪造虚假信息诱使用户打开该附件从而感染病毒；有的利用的是浏览器的漏洞来实现，用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容，也会被感染。漏洞型病毒则利用window系统漏洞攻击，所以每隔一段时间微软都会发布安全补丁弥补漏洞。

蠕虫病毒的原理

工作原理

蠕虫病毒一般攻击分为下面几个步骤：首先随机生成IP地址进行扫描，然后由蠕虫的扫描功能模块负责探测存在漏洞的主机。找到后就得到一个可攻击的对象； 将蠕虫病毒主体迁移到目标主机，重复上面的动作，准备下一轮的攻击 。

功能结构

所有蠕虫都具有相似的功能结构，分为基本功能模块和扩展功能模块。基本功能模块的蠕虫程序就能完成复制传播流程，扩展功能模块的蠕虫程序则具有更强的生存能力和破坏能力，

基本功能模块可以分为五个 阶段：搜索模块、攻击模块、传输模块、信息模块、繁殖模块。搜索模块通过选择性随机扫描、顺序扫描等去寻找存在漏洞的主机，当扫描到有漏洞的计算机系统后，进行攻击，攻击模块主要完成蠕虫病毒主体的迁移工作以及病毒程序的执行过程；计算机蠕虫病毒进入系统后，要做现场处理工作，例如修改注册表、更改文件后缀、信息收集和自我隐藏等； 最后一步是自我复制，生成多个副本重复上述流程。 其次，计算机蠕虫病毒的扩展功能主要是实现计算机蠕虫病毒的攻击破坏能力，不同的蠕虫病毒其基本功能都基本上一致， 但是他们的扩展功能却不尽相同，这样可以让病毒的攻击力、防御力进一步增强。

蠕虫病毒造成的社会危害

从1988年11月2日下午5点至11月3日清晨5点，莫里斯病毒在这12小时内，6200台采用UNIX操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，不计其数的数据和资料毁于一旦，直接经济损失达9600万美元。

1999年，“SirCam 病毒”暴发。在全球蔓延所造成的损失高达12亿美元。该病毒主要依靠电子邮件传播，打开附件后自动附着在正常文件里，发作时会删除电脑中的所有文件，并在用户不知情的情况下，根据电脑里已有的邮件地址随电脑文件四处传播，造成企业网络堵塞、无法使用、文件泄密等后果。

2000年至202年，“爱虫”病毒（Lovelettle）“红色代码”（Redlof）“尼姆达”（Nimda）“求职信”（Klez）等蠕虫病毒相继暴发，在世界范围内造成了数百亿美元的经济损失。

2003年1月，SQL蠕虫王病毒暴发。中国的互联网突遭大面积蠕虫病毒感染，所有互联网运营单位的网络都出现访问变慢现象，20000多台数据库服务器受到影响。“蠕虫王”病毒在短时间内造成了全球各大网络系统的瘫痪，直接经济损失在100亿美元以上。

经典蠕虫病毒案例

“Worm.Guapim”蠕虫病毒

Guapim（Worm.Guapim）蠕虫病毒通过MSN、QQ等即时聊天工具发送假消息“Hehe.takea look at this funny game http://****//Monkye.exe”，诱使用户点击，同时假借HowtoHack.exe、HalfLife2FULL.exe、WindowsXP.exe、VisualStudio2005.exe等文件名复制自身到文件共享网络，并试图在互联网上下载执行另一种蠕虫病毒，直接降低系统安全设置，增大了安全隐患。

安莱普蠕虫病毒

“安莱普”（Worm.Anap.b）蠕虫病毒伪装成微软、IBM知名IT厂商给用户发邮件，诱骗用户点击打开附件，病毒运行后会弹出 一 窗 口，内容提示为 “ 这是一个蠕虫病毒 ” ，同时还会在后缀名为.hm*文件中收集邮件地址进而循环发送邮件 。随着科技的发展，病毒的传播方式也在不断的翻新，此类邮件病毒往往也会携带“网络钓鱼”“间谍软件”等不安因素。

“尼姆达病毒”

2001年9月18日，尼姆达病毒是一种传播性、隐蔽性非常强的蠕虫病毒，也是一个有特色的病毒，专挑Windows的PE格式文件感染，但扫描到winzip32.exe文件就不感染。利用 IIS 的 UNICODE 的漏洞、CodeRedII病毒的遗留漏洞、IE MIME 的漏洞 ，通过 E－mail 传播、即时通信软件以及网页进行传播和局域网的共享来传播病毒。这些传播方式都有自己的特点，邮件传播是利用邮件系统的漏洞传播一个病毒邮件，这个邮件无需用户点击，病毒就会自动下载并执行，脚本感染也是一个独有的特色，在扫描中，如果发现脚本（.hml）文件，就会感染该文件，当用户点击是，就会触发病毒。传播的过程中占用大量的网络带宽、计算机内存、CPU，可导致系统瘫痪。

“熊猫烧香”

2007年上半年，大量的电脑用户的计算机桌面出现了桌面图标被篡改成熊猫举着三根香的图案，还出现了倒计时的画面，不管用户怎样点击，这些快捷图标都毫无反应。“熊猫烧香”病毒采用了进程保护，病毒先生成了系统服务程序来保护进程不被关闭，能感染电脑内的可执行文件和网页文件。导致电脑屏幕蓝屏、系统频繁重启，以及系统硬盘中数据文件被破坏等现象，杀毒软件也自动退出。其后期的变种为“金猪报喜”，文件图标变为金猪模样，通过局域网传播感染局域网内的所有计算机系统，导致局域网崩溃，无法正常使用。

“I Love You”（爱虫）病毒

2000年5月4日，大量用户收到了一封伪装成表达爱意的一封邮件，主题为 “I Love You”，邮件的内容为 “kindly check the attacked love letter for you”，还有一个名为“LOVE－LETTER－FOR－YOU TXT．vbs”的病毒附件，只要用户点击了这个附件，就会感染该病毒，这个病毒会自我复制，使用VB编程语言，通过 Microsoft Outlook 向用户地址簿内所有的地址发送的邮件,短时间内就引发了计算机的连锁反应，导致用户的邮件系统变慢，最终导致系统崩溃，造成了巨大的损失。

蠕虫病毒的预防、检测、清除

蠕虫病毒的预防

• 安装合适的安全软件保护系统

• 格外小心网络钓鱼软件

• 更新操作系统到最新版本

• 建立灾难备份系统

• 建立预警与防御体系

蠕虫病毒的检测

• 监控计算机运行速度和性能

• 留意文件的丢失或新文件的出现

• 密切关注硬盘空间的变化

蠕虫病毒的清除

发现病毒后，第一时间切断被感染的计算机与网络系统的连接。分析病毒的类型，可以先手动删除系统目录下的受感染的文件，接着修改和删除注册表下被篡改的文件，然后重启计算机，下载最新的系统补丁和杀毒软件数据包。扫描硬盘，和系统文件，找到剩余的病毒进行查杀。

注释

现在比较流行的脚本语言有：UNIX/linux Shell、Pert、VBScrip、Javascrip、JS、PHP等。由于现在流行的脚本计算机病毒大都是利用JavaScript和VBScript脚本语言编写，