網絡蠕蟲介紹、分析與防范

摘要：凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒，從這個意義上說，蠕蟲也是一種病毒。網絡蠕蟲病毒，作為對互聯網危害嚴重的一種計算機程序，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以計算機為載體，以網絡為攻擊對象。文章將蠕蟲病毒分為針對企業網絡和個人用戶2類，并從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施。

關鍵詞：蠕蟲；病毒；預防；檢測；原理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-902-03

Network Worms Introduction，Analysis and Prevention

SHI Jie1， JIANG Lei2

(1.East China University of Science and Technology，Department of Mathematics，Shanghai 200237，China;2.Jiangnan University，Department of Computer Sicence，Wuxi 214122， China)

Abstract: Worms are the new method of virus to infect computer programs. In this paper we will discuss all the possible method the worm will have to attack network computers and network itself. Companies and single person will have different experience of worm attack.And we will discuss it from different views. Finally we will give out a practical solution to this threat.

Key words: Worms; virus prevention; detection; principle

1 蠕蟲病毒的定義

1.1 蠕蟲病毒的定義

計算機病毒自出現之日起，就成為計算機的一個巨大威脅，而當網絡迅速發展的時候，蠕蟲病毒引起的危害開始顯現！從廣義上定義，凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！但是蠕蟲病毒和一般的病毒有著很大的區別。對于蠕蟲，現在還沒有一個成套的理論體系，一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合等等！在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓！

根據使用者情況可將蠕蟲病毒分為2類，一種是面向企業用戶和局域網而言，這種病毒利用系統漏洞，主動進行攻擊，可以對整個互聯網可造成癱瘓性的后果！以“紅色代碼”，“尼姆達”，以及“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網絡（主要是電子郵件，惡意網頁形式）迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例.在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣，少數利用了微軟的應用程序的漏洞，更多的是利用社會工程學對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經被各大殺毒廠商發現，但直到2002年底依然排在病毒危害排行榜的首位就是證明！出得在接下來的內容中，將分別分析這兩種病毒的一些特征及防范措施。

自從2007年開始，蠕蟲的作用方式已經從直接感染文件并加以破壞轉為更為商業化和利益化的攻擊方式：惡意廣告和僵尸網絡已經成為利用蠕蟲手段進行商業牟利的重要手段。蠕蟲往往會通過向宿主注入各種惡意代碼使得宿主被動訪問一些收費站點或者在宿主機中執行各種廣告軟件來為蠕蟲作者帶來各種收益，最近的形勢看來這種蠕蟲的傾向越來越有預謀有組織，有時甚至可能是某些商業軟件公司的公司行為。對于僵尸網絡的利用目前也逐漸從黑客工具變為商業牟利的手段。僵尸網絡，顧名思義就是一群中了蠕蟲而被獲得管理員權限的網絡計算機的群體，利用這些群體可以輕而易舉的造成各種網絡攻擊或者流量阻塞的破壞。在以前這些網絡主機往往是作為黑客的攻擊工具而存在，但在現在，這些主機往往被掛牌出租，未那些沒有成熟的攻擊主機的黑客提供平臺。

1.2 蠕蟲病毒與一般病毒的異同

蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為”宿主”，例如，Windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程序中，建立一個新節，將病毒代碼寫到新節中，修改的程序入口點等，這樣，宿主程序執行的時候，就可以先執行病毒程序，病毒程序運行完之后，在把控制權交給宿主原來的程序指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區病毒。引導區病毒他是感染磁盤的引導區，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

蠕蟲一般不采取利用pe格式插入文件的方法，而是復制自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對計算機內的文件系統而言，而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾，電子郵件email，網絡中的惡意網頁，大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球，而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策。

可以預見，未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲病毒！

1.3 蠕蟲的破壞和發展趨勢

1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡;而后來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失；北京時間2003年1月26日， 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名服務器（DNS）的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷， 機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在12億美元以上。

由表2可以知道，蠕蟲病毒對網絡產生堵塞作用，并造成了巨大的經濟損失！

通過對以上蠕蟲病毒的分析，可以知道，蠕蟲發作的一些特點和發展趨勢：

1）利用操作系統和應用程序的漏洞主動進行攻擊。此類病毒主要是“紅色代碼”和“尼姆達”，以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand)，使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，只要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊。

2）傳播方式多樣 如“尼姆達”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

3）病毒制作技術與傳統的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發。

4）與黑客技術相結合，潛在的威脅和損失更大！以紅色代碼為例，感染后的機器的web目錄的\\scripts下將生成一個root.exe，可以遠程執行任何命令，從而使黑客能夠再次進入。

2 網絡蠕蟲病毒分析和防范

蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，我們分為2種，軟件上的缺陷和人為上的缺陷。軟件上的缺陷，如遠程溢出，微軟ie和outlook的自動執行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件。而人為的缺陷，主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering)，當收到一封郵件帶著病毒的求職信郵件時候，大多數人都會報著好奇去點擊的。對于企業用戶來說，威脅主要集中在服務器和大型應用軟件的安全上，而個人用戶而言，主要是防范第二種缺陷。

2.1 利用系統漏洞的惡性蠕蟲病毒分析

在這種病毒中，以紅色代碼，尼姆達和sql蠕蟲為代表，他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊，由于網上存在這樣的漏洞比較普遍，使得病毒很容易的傳播，而且攻擊的對象大都為服務器，所以造成的網絡堵塞現象嚴重。

以2003年1月26號爆發的sql蠕蟲為例，爆發數小時內席卷了全球網絡，造成網絡大塞車。亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及南韓電訊公司，系統都陷入了癱瘓，其它的網絡用戶也被迫斷線，更為嚴重的是許多銀行的自動取款機都無法正常工作， 美國許美國銀行統計，該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響。

這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的，利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口，客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式（連接方式可以是命名管道也可以是TCP），但是此程序存在嚴重漏洞，當客戶端發送超長數據包時，將導致緩沖區溢出，黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。

微軟在200年7月份的時候就為這個漏洞發布了一個安全公告，但當sql蠕蟲爆發的時候，依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁，從而被蠕蟲病毒所利用，蠕蟲病毒通過一段376個字節的惡意代碼，遠程獲得對方主機的系統控制權限， 取得三個Win32 API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個隨機數，進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址，然后將自身代碼發送至1434端口(Microsoft SQL Server開放端口)，該蠕蟲傳播速度極快，其使用廣播數據包方式發送自身代碼，每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環的過程，發包密度僅和機器性能和網絡帶寬有關，所以發送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為，也沒有向硬盤上寫文件，僅僅存在與內存中。對于感染的系統，重新啟動后就可以清除蠕蟲，但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬，形成Udp Flood，感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。

通過以上分析可以知道，此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外，并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼，后果將不堪設想。

2.2 企業防范蠕蟲病毒措施

此次sql蠕蟲病毒，利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明！而且微軟也提供了安全補丁提供下載，然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁，其網絡管理員的安全防范意識可見一斑。

當前，企業網絡主要應用于文件和打印服務共享、辦公自動化系統、企業業務（MIS）系統、Internet應用等領域。網絡具有便利信息交換特性，蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時，就不得不考慮企業的病毒防范問題，以保證關系企業命運的業務數據完整不被破壞。

企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防范蠕蟲病毒的策略如下：

1）加強網絡管理員安全管理水平，提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新！由于各種漏洞的出現，使得安全不在是一種一勞永逸的事，而作為企業用戶而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識也越來越高。

2）建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

3）建立應急響應系統，將風險減少到最小！由于蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網絡，所以在突發情況下，建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。

4）建立災難備份系統。對于數據庫和數據系統，必須采用定期備份，多機備份措施，防止意外災難下的數據丟失。

5）對于局域網而言，可以采用以下一些主要手段：①在因特網接入口處安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外；②對郵件服務器進行監控，防止帶毒郵件進行傳播；③對局域網用戶進行安全培訓；④建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等。

2.3 對個人用戶產生直接威脅的蠕蟲病毒

在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用戶而言，是不會安裝iis（微軟的因特網服務器程序，可以使允許在網上提供web服務）或者是龐大的數據庫系統的！因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響)，但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒。

對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等。

對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(Social Engineering)，即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播。

惡意網頁確切的講是一段黑客破壞代碼程序，它內嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜，所以會被很多懷不良企圖者利用，在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇，并提供破壞程序代碼下載，從而造成了惡意網頁的大面積泛濫，也使越來越多的用戶遭受損失。

對于惡意網頁，以前常常采取vb script和java script編程的形式！由于編程方式十分的簡單！所以在網上非常的流行！但是目前對于此種病毒的防范軟件較多，這種傳播方式已經不流行了。目前經常使用的惡意網絡蠕蟲傳染方式往往是基于主機的操作系統漏洞進行主動傳播，有些甚至利用到了ARP欺騙等手段想盡辦法欺騙客戶下載含有病毒主題的可執行模塊并運行，更有甚者直接利用微軟操作系統的RPC機制，遠程控制直接下載病毒并遠程運行。對于個人用戶來說，不通過防火墻或者是網關直接暴露于因特網上無異于羊在狼群之中。

2.4 個人用戶對蠕蟲病毒的防范措施

通過上述的分析，我們可以知道，病毒并不是非常可怕的，網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防范此類病毒需要注意以下幾點：

1）購合適的殺毒軟件！網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向內存實時監控和郵件實時監控發展！另外面對防不勝防的網頁病毒，也使得用戶對殺毒軟件的要求越來越高！現有的依靠特征識別的殺毒軟件對于日新月異發展的蠕蟲病毒已經越來越力不從心，唯有改變現有的病毒識別模式才是能夠真正有效預防蠕蟲病毒的手段！

2）經常升級系統補丁。由于越來越多的網絡蠕蟲依靠操作系統自身的漏洞進行傳播，因此及時對操作系統的漏洞進行補丁操作已經成為當前網絡蠕蟲病毒防治的一個重要環節。在有條件有能力的局域網環境中可以安排專門的更新服務器對局域網內部所有的主機進行集體升級操作。

3）提高防殺毒意識。不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼！

當運行IE時，點擊“工具”→“Internet選項”→“安全”→“Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

4）不隨意查看陌生郵件，尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用戶需要升級ie和outlook程序，及常用的其他應用程序！

3 小結

網絡蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒，必將對網絡產生巨大的危險。在防御上，已經不再是由單獨的殺毒廠商所能夠解決，而需要網絡安全公司，系統廠商，防病毒廠商及用戶共同參與，構筑全方位的防范體系！

蠕蟲和黑客技術的結合，使得對蠕蟲的分析，檢測和防范具有一定的難度，同時對蠕蟲的網絡傳播性，網絡流量特性建立數學模型也是有待研究的工作！

參考文獻：

[1] Schneier B.Secrets and lies: digital security in a networked world[M].New York:John Wiley Press，2000.

[2] Brenton C.Active defense: a comprehensive guide to network security[M].San Francisco:Sybex Press，2001:100-146.

[3] 山秀明，李旲，焦健，等.網絡病毒行為模式分析[J].The Mode of Net-virus Actions [中國工程科學 Engineering Science].

[4] 任勇，山秀明，李旲.網絡安全概述[J].中國工程科學，2004，6(1):10-15.

[5[ 徐春玉，陳亞天.新的網絡病毒——網頁中的惡意代碼[J].鹽城工學院學報（自然科學版），2003，(03):41-42.

[6] 李川陽.企業網防病毒系統方案需求分析及實施策略[J].新疆鋼鐵，2002，(02):14-15.