無孔不入的蠕蟲病毒

最近一種叫做威金的病毒在互聯網上迅速傳播。該病毒占用大量網速，使所有感染該病毒的計算機網絡變得極慢。該病毒將會捆綁所有的．exe文件，只要用戶一運行應用程序，在Winnt文件夾下的logol．eKe圖標就會相應變成應用程序圖標。有時還會時不時地彈出一些程序運行錯誤提示窗口，有時啟動程序后就被強行退出。此外，威金病毒會自動關閉包括卡巴斯基、金山毒霸、瑞星等殺毒軟件的監控程序。最可惡是的威金病毒會使rundll32．exe自動向打印機發送打印指令，浪費紙張。最近，江民反病毒中心監測到威金病毒(Worm／Viking)已經有88個變種在互聯網上頻繁活動，感染了15萬余臺計算機，已有多家企業用戶報告感染了該病毒并導致整個局域網受到不同程度的破壞。

威金病毒是蠕蟲病毒的一種，目前互聯網上蠕蟲病毒的種類很多，這些病毒主要是通過網絡傳播的惡性病毒，傳播速度快，破壞性也非常強。今天我們就一起來認識一下蠕蟲病毒。

何謂蠕蟲

1988年，22歲的康奈爾大學研究生羅伯特·莫里斯(RobertMorris)通過網絡發送了一種專為攻擊Unix系統缺陷、名為“蠕蟲”(Worm)的病毒，造成6000個系統癱瘓。

此后，人們就把這類通過分布式網絡來擴散傳播特定的信息或錯誤，進而造成網絡服務遭到拒絕并發生死鎖的病毒統稱為蠕蟲病毒?！叭湎x”由兩部分組成：一個主程序和一個引導程序。主程序一旦在機器上建立就會去收集與當前機器聯網的其他機器的信息(它能通過讀取公共配置文件并運行顯示當前網上聯機狀態信息的系統實用程序而做到這一點)。隨后，它嘗試利用其中的一些缺陷在這些遠程機器上建立其引導程序。雖然把蠕蟲定義為病毒，但是它和一般的病毒又有很大區別。從傳播特性來講，蠕蟲主要是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時也具有自己的一些特征，如不利用文件寄生，對網絡造成拒絕服務，以及和黑客技術相結合等等。

現在，蠕蟲病毒家族已經壯大到成千上萬種，它們大都出自黑客之手。

蠕蟲的一般特征

從破壞性上來講，蠕蟲病毒產生的破壞力極強，并不是普通病毒所能比擬的。蠕蟲可以在短時間內蔓延整個網絡，造成網絡癱瘓。例如：2003年1月25日，一種名為“2003蠕蟲王”的病毒迅速傳播并襲擊了全球，致使互聯網網路嚴重堵塞，作為互聯網主要基礎的DNS域名服務器的癱瘓造成網民瀏覽網頁及收發電子郵件的速度大幅減緩。同時，銀行自動提款機的運作中斷，機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在26億美元以上!

從傳播方式來看，蠕蟲病毒大致分為兩類：一類是利用系統漏洞，主動進行攻擊，可以造成計算機或互聯網癱瘓。此類病毒爆發有一定的突然性；另一類是利用電子郵件、惡意網頁形式傳播。此類病毒的傳播方式比較復雜和多樣，少數利用了微軟應用程序的漏洞，更多的是利用網絡釣魚形式對用戶進行欺騙，這樣的病毒造成的損失是非常大的，同時也是很難根除的。

從病毒制作技術講，蠕蟲病毒并沒有采用一般的病毒的寄生方式，它是通過復制自身在互聯網環境下進行傳播。蠕蟲病毒的傳染目標是互聯網內的所有計算機，它可以通過局域網下的共享文件夾、電子郵件、惡意網頁、大量存在著漏洞的服務器等途徑進行傳播。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲病毒的主動攻擊性和突然爆發性常常使得人們手足無措!

蠕蟲病毒的入侵過程

了解了蠕蟲病毒的一般特征，下面我們再一起看看蠕蟲病毒的入侵和傳播方式。

常見的蠕蟲病毒入侵方式分為手動入侵和自動入侵兩種。入侵過程一般分為“掃描一攻擊一復制”模式，也就是，程序通過掃描主機獲得一個攻擊對蒙一通過攻擊模塊獲得一個主機的shell(用戶與操作系統之間的接口)一復制模塊，通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。

(1)手動入侵

在蠕蟲病毒中，程序會提供一個掃描功能模塊，負責探測存在漏洞的主機。這樣蠕蟲用各種方法收集目標主機的信息，找到可利用的漏洞或弱點。掃描過程包括探測主機的操作系統類型、版本，主機名，用戶名，開放的端口，開放的服務，開放的服務器軟件版本，利用惡意網站代碼寫入系統緩沖區等。這樣程序通過掃描功能模塊搜索到大量的主機信息，接著程序對掃描到的信息進行分析，篩選有用信息，這些有用信息一般包括系統、端口漏洞等。隨后程序尋找漏洞攻擊的方法，最終獲得該系統的權限進行攻擊。

(2)自動入侵

由于程序大小的限制，自動入侵程序不可能有太強的智能性，所以自動入侵一般都采用某種特定的模式。它采用的依然是“掃描一攻擊一復制”模式，這種入侵模式也就是現在蠕蟲病毒常用的傳播模式。首先程序通過掃描模塊隨機選取某一段IP地址，然后對這一地址段上的主機掃描，一旦確認漏洞存在后就可以進行相應的攻擊步驟，不同的漏洞有不同的攻擊方法。攻擊成功后，一般是獲得一個遠程主機的shell，對Windows 2000系統來說就是emd．exe，得到這個shell后就擁有了對整個系統的控制權。復制過程也有多種方法，可以利用系統本身的程序實現，也可以用蠕蟲自帶的程序實現。

今天我們一起認識了蠕蟲病毒，也了解了蠕蟲病毒的特性和傳播過程。因此我們在平時要提高警惕，隨時預防蠕蟲的入侵。此外我們還要多搜集、掌握各種蠕蟲病毒的相關資料和查殺方法，及時預防、抵御蠕蟲病毒給我們造成的危害。

附錄：

常見的蠕蟲病毒包括：

莫里斯蠕蟲、美麗殺手、愛蟲病毒、紅色代碼、蠕蟲王、沖擊波、MyDoom

一些蠕蟲病毒相關資料：

莫里斯蠕蟲(1988年)：6000多臺計算機停機，直接經濟損失達9600萬美元!

美麗殺手(1999年)：政府部門和一些大公司緊急關閉了網絡服務器，經濟損失超過12億美元!

愛蟲病毒(2000年5月至今)：眾多用戶電腦被感染，損失超過100億美元以上。

紅色代碼(2001年7月)：網絡癱瘓，直接經濟損失超過26億美元。

求職信(2001年12月至今)：大量病毒郵件堵塞服務器，損失達數百億美元。

蠕蟲王(2003年1月)：網絡大面積癱瘓，銀行自動提款機運作中斷，直接經濟損失超過26億美元。

[責任編輯]趙新宇