网络蠕虫病毒：全球蔓延速度惊人，人们束手无策！

网络蠕虫（worm）是严重危害网络安全的一种恶性病毒，常见的有红色代码、冲击波、震荡波等，其破坏力和传染力不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

1.蠕虫的定义

计算机病毒自出现之日起，就成为计算机系统的一个巨大威胁，而当网络迅速发展时，蠕虫病毒引起的危害开始显现。

蠕虫病毒和普通病毒有着很大的区别。普通病毒是需要寄生的，它可以通过自身指令的执行，将自己的指令代码寄宿在其他程序体内，而被感染的文件就被称为“宿主”。宿主程序执行的时候，就可以先执行病毒程序，病毒程序执行完之后，再把控制权交给宿主原来的程序指令。由此可见，普通病毒主要是感染文件和引导区，而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如，传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如，不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫疾。

2.蠕虫的分类

（1）按使用者情况的不同可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。

面向企业用户的蠕虫病毒利用系统漏洞，主动进行攻击，可以对整个网络造成瘫痪性的后果，以“红色代码尼姆达”、“SQL蠕虫王”为代表；面向个人用户的蠕虫病毒通过网络（主要是电子邮件、恶意网页形式等）迅速传播，以“爱虫”、“求职信”“蠕虫”为代表。

在这两类蠕虫病毒中，第1类具有很大的主动攻击性，而发作也有一定的突然性，但相对来说，查杀这种蠕虫并不是很难；第2类蠕虫的传播方式比较复杂和多样，少部分利用了微软的应用程序漏洞，大部分是利用社会工程学（Social Engineering）陷阱对用户进行欺骗和诱使，这样的蠕虫造成的损失是非常大的，同时也是很难根除的。

（2）按其传播和攻击特征可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。

其中以利用系统漏洞进行破坏的蠕虫病毒最多，占蠕虫病毒总数量的69％；邮件蠕虫居第二位，占蠕虫病毒总数量的27％；其他传统蠕虫病毒占4％。

蠕虫病毒可以造成Internet大面积的瘫痪，引起服务器堵塞，最主要的症状表现在用户无法浏览Internet，或者企业用户无法接收邮件。例如，2004年爆发的“震荡波”病毒造成了Internet大面积瘫痪，众多用户无法使用Internet；“五毒虫”蠕虫病毒可以堵塞企业邮件服务器，造成邮件病毒泛滥。

漏洞蠕虫可利用微软的系统漏洞进行传播，主要是SQL漏洞、RPC漏洞和LSASS漏洞，其中，RPC漏洞和LSASS漏洞最为严重。病毒蠕虫极具危害性，大量的攻击数据堵塞网络，并可造成被攻击系统不断重启、系统速度变慢等故障。漏洞蠕虫的特性若被集成到黑客病毒，造成的危害就更大了。

邮件蠕虫主要通过电子邮件进行传播。邮件蠕虫使用自己的SMTP引擎，将病毒邮件发送给搜索到的邮件地址。邮件蠕虫还能利用IE漏洞，使用户在没有打开附件的情况下感染病毒。

3.蠕虫的基本结构

蠕虫主要是由两个部分组成：主程序和引导程序。主程序建立在一台机器上之后，就会去读取这一台机器上的公共配置文件，运行系统的一些程序，显示这一台机器的联机状态信息，收集一些跟这个机器相连的其他机器的信息，获取这些计算机的IP地址。因为网络世界中的有缺陷的机器太多了，发现了这些目标之后，这个主程序就会复制自己，生成一个自身的副本，然后尝试地利用网络和电子邮件发送给他们，在这些远程的机器上建立引导程序。然后这些机器一旦染毒，这些引导程序就能定位识别这个机器，以这个染毒机器为据点重复上面的过程。为了实现以上功能，蠕虫一般包含以下模块：

·目标定位模块：蠕虫主要是为了传播，所以应该能发现目标。比如搜索本地系统上的电子邮件列表，然后向这些地址发送副本，邮件信息一般可以穿过防火墙，这样就能找到很多网络节点，利用节点的“指纹”信息能识别那些机器的系统，然后利用漏洞进行感染。

·感染传播模块：一般的蠕虫都是感染特定类型的操作系统的。感染的方式有两种，可以是利用社工欺骗机主运行蠕虫程序，二是可以让蠕虫携带漏洞利用模块。比如使用脚本语言，文档格式，二进制文件，注入内存的代码攻击目标操作系统。

·远程控制和更新接口模块：蠕虫还可以写一个通信模块控制感染的机器，更新上面的蠕虫代码。因为系统漏洞的利用，一般只能利用一次。重复感染容易造成系统崩溃。

4.蠕虫的传播

局域网条件下的共享文件夹、电子邮件和网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延到全球，而且蠕虫的主动攻击性和突然爆发性将使得人们束手无策。

蠕虫程序的一般传播过程如下。

（1）扫描，由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类到、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。

（2）攻击，攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个Shell。

（3）复制，复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。

5.蠕虫的破坏性(www.xing528.com)

历史上有很多著名的蠕虫病毒，例如1988年第一个被广泛注意的莫里斯蠕虫，后来造成几十亿美元的损失的“红色代码”“尼达姆病毒”，2003—2004年肆虐全球的冲击波和震荡波病毒。但是，真正能威胁到国家安全的是一种称为“震网”（Stuxnet，又称作“超级工厂”）的蠕虫病毒。

2010年6月，计算机安全专家发现了一种威力巨大的“网络蠕虫病毒”。据报道，这种新病毒采取了多种先进技术，因此具有极强的隐身和破坏力。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在神不知鬼不觉的情况下（不会有任何其他操作要求或者提示出现））取得一些工业用电脑系统的控制权。

与传统的电脑病毒相比：

·“震网”病毒不会通过窃取个人隐私信息牟利。

·由于它的打击对象是全球各地的重要目标，因此被一些专家定性为全球首个投入实战舞台的“网络武器”。

·无需借助网络连接进行传播。

计算机安全专家在对软件进行反编译后发现，“震网”病毒结构非常复杂，因此它应该是一个“受国家资助高级团队研发的结晶”。据悉，这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件，并且代替其对工厂其他电脑“发号施令”。

在对这种名为“震网”的病毒进行了深入分析后，越来越多的人相信，这可能是全球第一种投入实战的网络武器，对那些不属于自己打击对象的系统，“震网”会在留下了其“电子指纹”后溜之大吉，继续寻找真正的破坏目标。

6.蠕虫的特点

通过对以上蠕虫病毒的分析，可见蠕虫病毒具有以下特点。

（1）传播迅速，难以清除。一旦某台计算机感染了蠕虫病毒，在短时间内，几乎网络上所有的计算机都会被依次传染，同时网络出现了各种异常状况甚至发生阻塞，严重影响网络的正常使用；而系统感染这些病毒后，很难清除。

（2）利用操作系统和应用程序的漏洞主动进行攻击。此类蠕虫主要是“红色代码”“尼姆达”和“震荡波”等。由于IE浏览器的漏洞，使得感染了“尼姆达”蠕虫的邮件在不用手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，只要不去打开带病毒附件的邮件，病毒就不会有危害。“红色代码”利用微软I1S服务器软件的idq.dll远程缓存区溢出漏洞来传播，“震荡波”病毒利用微软操作系统漏洞LSASS进行攻击，“SQL蠕虫王”病毒则是利用微软的数据库系统的一个漏洞进行大肆攻击。

（3）传播方式多样。一些蠕虫可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。

（4）病毒制作技术与传统的病毒不同。许多新的蠕虫病毒是利用最新的编程语言技术实现的，易于修改以产生新的变种，从而躲避防病毒软件的搜索。另外，新病毒利用JavaScript、ActiveX、VBScript等技术，可以潜伏在HTML页面中，在用户上网浏览时触发。

（5）与黑客技术相结合。蠕虫和黑客技术的结合，使得对蠕虫的分析、监测和防范具有一定的难度。以“红色代码”蠕虫病毒为例，被感染机器的Web目录\scripts下将也成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入，潜在的威胁和损失更大。

7.蠕虫病毒的防范

与普通病毒不同，蠕虫病毒往往能够利用漏洞入侵、传播。这里的漏洞（或者说是缺陷）分为软件缺陷和人为缺陷两类。软件缺陷（例如，远程溢出、微软IE和Outlook的自动执行漏洞等）需要软件厂商和用户共同配合，不断地升级软件来解决。

2002年7月，微软的安全公示中就对“SQL蠕虫”病毒利用的漏洞做了详细的说明，而且，微软也提供了安全补工程序，然而在病毒发作时还是有相当多的服务器没有安装最新的补丁，其网络管理员的安全防范意识可见一般。

当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业管理信息系统MIS、Internet应用等领域。网络具有便利的信息交换特性，蠕虫病毒也可以充分利用网络快速传播以达到其阻塞网络的目的。企业在充分利用网络进行业务处理的同时，也要考虑病毒的防范问题，以保证关系企业命运的业务数据的完整性和可用性。

企业防治蠕虫病毒需要考虑病毒的查杀能力、病毒的监控能力和新病毒的反应能力等几个问题。而企业防病毒的一个重要方面就是管理策略，企业防范蠕虫病毒的建议策略如下：

·加强网络管理员的安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞，所以需要在第一时间保持系统和应用软件的安全性，保持各种操作系统和应用软件的更新。由于各种漏洞的出现，使得安全问题不再是一劳永逸的事，而作为企业用户而言，所经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高。

·建立病毒检测系统，能够在第一时间内检测到网络的异常和病毒的攻击。

·建立应急响应系统，将风险降到最低。由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以建立一个紧急响应系统是很必要的，在病毒爆发的第一时间即能提供解决方案。

·建立备份和容灾系统，对于系统数据库和数据系统，必须采用定期备份、多机备份和容灾等措施，防止意外灾难下的数据丢失。