計算機蠕蟲病毒及其防范日期:2011-4-2022:40:07瀏覽:0來源:學海網收集整理作者:佚名1計算機蠕蟲病毒的定義及發展

1.1計算機蠕蟲病毒的定義

計算機蠕蟲是無須計算機使用者干預即可運行的獨立程序,它通過不停的獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播.計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機蠕蟲和計算機病毒都具有傳染性和復制功能，這兩個主要特性上的一致導致二者之間是非常難區分的，尤其是近年來，計算機蠕蟲、計算機病毒和木馬程序之間的界限已不在明顯，三者相互滲透，優勢互補。一方面越來越多的病毒采取了部分蠕蟲的技術另一方面具有破壞性的蠕蟲也采取了部分病毒和木馬技術。例如，Nimda蠕蟲病毒和CodeRed蠕蟲病毒即以蠕蟲的傳播方式去感染別的計算機，影響網絡，又以病毒的方式在被感染計算機上執行惡意程序，破壞被感染計算機上的文件，最后利用木馬程序在被感染主機上設置后門，供其他蠕蟲病毒利用。

綜上所述，計算機蠕蟲病毒是一種融合計算機蠕蟲、計算機病毒和木馬技術的新技術，它無須計算機使用者干預即可運行，通過大規模的掃描獲取網絡中存在漏洞的計算機的控制權進行復制和傳播，在已感染的計算機中設置后門或執行惡意代碼破壞計算機系統或信息。

1.2計算機蠕蟲病毒的破壞

從1988年首例蠕蟲（Morris）事件以來，統計到的Internet安全威脅事件每年以指數增長，近年來的增長態勢變得的尤為迅猛。以美國為例，其每年因為網絡安全造成的經濟損失超過170億美元。蠕蟲的大規模爆發，使網絡大面積癱，給金融系統和政府部門造成的直接經濟損失不計其數；給整個世界經濟也造成很大損失；另外，蠕蟲病毒還能破壞計算機上的文件，泄漏機密信息。因此，網絡信息安全問題得到了世界各國的重視。

1.3計算機蠕蟲病毒的發展趨勢

從Morris蠕蟲到現在基于P2P的QQ蠕蟲，蠕蟲病毒總是隨著網絡技術的進步而發展，2000年至今，出現的蠕蟲病毒數不勝數（redcodeⅠ,nimda等等），同時Internet上每天都充斥著大量的蠕蟲病毒。蠕蟲病毒隨著網絡安全技術的進步也出現了新的變化，①傳播多樣化。蠕蟲病毒不再是以僅有的傳播方式進行傳播，它利用偽裝等更多的技術傳播。利用偽裝技術，蠕蟲病毒藏身于一些合法的制作工具或著名公司的系統工具，利用這些工具制作的軟件包就包含了蠕蟲病毒，從而達到傳染目的。②智能化。蠕蟲病毒已不再需要人為的動作進行傳播，它結合人工智能技術，蠕蟲的傳播，感染，破壞都是自動完成，而且朝著反病毒軟件的方向發展。

2計算機蠕蟲病毒的傳播機制及危害

2.1計算機蠕蟲病毒的傳播方式

已知道蠕蟲病毒的傳播方式大致可以分為：①郵件。當今社會，e-mail是人們交往和工作最主要的方式之一，也是網絡應用最為頻繁的服務之一，因此蠕蟲病毒也借用該手段進行傳播，例如I-Worm。②局域網。大部分的網絡安全時間都是來自與局域望內部，蠕蟲病毒在傳播過程中也首先在本地局域網中自動搜索可寫目錄直接修改感染機器的注冊表，使得能自動運行。③系統漏洞。大部分的蠕蟲病毒都是針對系統漏洞進行大規模的傳播、感染。例如Nimda紅色、代碼等。

2.2計算機蠕蟲病毒的功能結構模型

一般地，蠕蟲病毒的功能模塊可以分為兩部分：基本功能模塊和擴展功能模塊。其中，基本功能模塊分為5個部分：搜索模塊、攻擊模塊、傳輸模塊、信息收集模塊和繁殖模塊；擴展功能模塊包括4個部分：通信模塊、隱藏模塊、破壞模塊和控制模塊。該模型體現了當前蠕蟲病毒的功能結構，其中實現了基本功能模塊的蠕蟲病毒能夠很好的完成傳播復制流程，而包含擴展功能模塊的蠕蟲病毒則有更強的生存能力和破壞能力。

2.3計算機蠕蟲病毒的功能結構模型分析

首先，計算機蠕蟲病毒的基本功能即傳播復制過程可以分為四個階段：系統掃描、進行攻擊、現場處理、自我復制,如圖一所示。網絡上已感染計算機蠕蟲病毒的主機通過特定的掃描機制（例如：選擇性隨機掃描、順序掃描等）去尋找存在漏洞的主機，當掃描到有漏洞的計算機系統后，進行攻擊，攻擊部分主要完成計算機蠕蟲病毒主體的遷移工作以及對計算機系統信息和文件的破壞；計算機蠕蟲病毒進入系統后，要做現場處理工作，例如修改系統日志、信息收集和自我隱藏等；最后一步是自我復制，生成多個副本重復上述流程。其次，計算機蠕蟲病毒的擴展功能主要是實現計算機蠕蟲病毒的攻擊破壞能力，不同的蠕蟲病毒其基本功能都基本上一致，但是他們的擴展功能卻不盡相同。

要認識、探測和防御蠕蟲病毒就要充分了解蠕蟲病毒的行為特征，這里我門把蠕蟲病毒的行為特征歸納為四個方面：主動攻擊、利用漏洞、行蹤隱藏和反復感染。計算機蠕蟲病毒被釋放以后，從搜索漏洞到利用漏洞進行系統攻擊及復制副本，整個流程都是由蠕蟲病毒自身主動完成。計算機蠕蟲病毒在搜索漏洞時將發起大量的連接以判斷計算機是否存在、特定的應用服務是否存在、漏洞是否存在等等。進入系統后，蠕蟲病毒通過修改系統日志隱藏自己，最后復制蠕蟲病毒副本，下載和運行惡意代碼。被感染主機作為一個新的攻擊源去攻擊別的計算機。

2.4計算機蠕蟲病毒的危害

計算機蠕蟲病毒的危害是巨大的，主要體現在以下五個方面：①消耗被感染主機的系統資源以及破壞系統文件和信息資源；②消耗網絡上的帶寬，造成網絡阻塞甚至網絡癱瘓；③消耗網絡設備系統資源，如路由器和交換機；④降低被感染主機和網絡設備的系統性能；⑤與黑客技術融合，造成更大的安全隱患。例如泄露機密信息，特別是金融和政府的信息。

3計算機蠕蟲病毒的探測和防御技術

計算機蠕蟲病毒已經成為網絡上極大的安全隱患，由于計算機蠕蟲病毒具有相當的復雜性和破壞性，因此，計算機蠕蟲病毒的探測和防御就顯得格外重要。目前還沒有那種防御措施能有效的探測和防御所有的計算機蠕蟲病毒，特別是新型的未知的計算機蠕蟲病毒。在網絡中，應用最廣泛的計算機蠕蟲病毒的探測和防御技術是防火墻技術，IDS技術（Intrusiondetectionsystems），Snmp技術和netflow技術等。

3.1采用防火墻技術

通過配置網絡或單機防火墻軟件，禁止除服務端口外的其他端口，這將切斷計算機蠕蟲病毒的傳輸通道和通信通道。過濾含有某個計算機蠕蟲病毒特征的報文，屏蔽已被感染的主機對保護網絡的訪問等。由于蠕蟲病毒的行為同一般的網絡應用有很大的相似性，因此防火墻技術不可避免的導致某些正常的網絡應用也被封堵。

3.2采用IDS技術

IDS主要用來檢測DDOS攻擊和計算機蠕蟲病毒。IDS分為兩種：基于特征模型的IDS和基于異常模型的IDS。基于特征模型的IDS通過分析已知計算機蠕蟲病毒的發病機制和特征，構建相應的數據模型的數據庫。IDS在所監控的網絡中收集計算機和網絡活動的數據以及他們之間的連接，將這些數據構建成網絡活動行為的特征與數據庫中的數據模型相匹配，檢查計算機蠕蟲病毒是否存在。這種技術通過模型匹配對已知蠕蟲病毒能有效的防治，但是卻不能探測和防御新型的未知的計算機蠕蟲病毒。另外，基于異常模型的IDS通過監視不正常的通信量變化探測新的攻擊，這里的通信量的改變是指當前的通信量的度量值和它正常條件下的通信量的閥值的差值。由于確定一個適當的包含所有正常通信因素的閥值是相當的困難，因而基于異常模型的IDS有較高的報錯率。

3.3采用SNMP+MRTG技術

簡單網絡管理協議(SimpleNetworkManagementProtocol)是一種應用層協議，是TCP/IP協議族的一部分，它使網絡設備間能方便地交換管理信息。SNMP能夠讓網絡管理員管理網絡的性能，發現和解決網絡問題及進行網絡的擴充。MRTG(MultiRouterTrafficGrapher,MRTG)就是基于SNMP的典型網絡流量統計分析工具。它耗用的系統資源很小，它通過SNMP協議從設備得到其流量信息，并將流量負載以包含JPEG格式圖形的HTML文檔的方式顯示給用戶，以非常直觀的形式顯示流量負載。當蠕蟲病毒爆發時，在MRTG上可以直觀的看出網絡流量的增加，結合MRTG反饋的信息，網絡管理者可以及時采取補救措施，防止蠕蟲病毒造成更大的危害。該技術也是目前局域網管理中應用最廣泛的技術之一。

3.4采用NETFLOW技術

由于現在蠕蟲病毒的傳播速度越來越快，爆發周期越來越短，危害也越來越大，因此，如何在蠕蟲病毒發作早期將其檢測出來成了減輕蠕蟲病毒危害的關鍵。利用蠕蟲病毒的行為特征將NetFlow技術應用到蠕蟲病毒的早期檢測上是一種可行的技術路線。NetFlow是Cisco公司在其IOS（網絡操作系統）交換體系中引入的一種新的交換技術。NetFlow服務可在最大限度減小對路由器/交換機性能影響的前提下提供詳細的數據流統計信息.作為其交換功能的一部分,它能夠提供包括用戶、協議、端口和服務類型等統計信息。由于蠕蟲傳播過程中會發起大量的掃描連接，通過工具統計分析NetFlow數據流，可以很容易地發現蠕蟲的掃描行為，進而采取相應措施，隔斷其感染途徑。例如flowtools、Cflowd工具。

3.5其他技術

除了上述技術外，計算機蠕蟲病毒的防范技術還很多。例如：美國安全專家提議的基于CCDC（CyberCentersforDiseaseControl）的蠕蟲檢測、防御和阻斷以及華盛頓大學應用研究室的JohnW.Lockwood等人提出的一種采用可編程邏輯設備對抗計算機蠕蟲病毒的防范系統等。

4企業和個人用戶防范蠕蟲病毒措施

4.1企業防范蠕蟲病毒措施

當前，企業網絡主要應用于文件和打印服務共享，辦公自動化系統，企業業務（MIS）系統、Internet應用等領域。網絡具有便利信息交換特性，蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時，就不得不考慮企業的病毒防范問題，以保證關系企業命運的業務數據完整不被破壞。企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略，推薦的

企業防范蠕蟲病毒的策略如下：

加強網絡管理員安全管理水平，提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新。由于各種漏洞的出現，使得安全不在是一種一勞永逸的事。而作為企業用戶而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識也越來越高。

建立病毒檢測系統，能夠在第一時間內檢測到網絡異常和病毒攻擊。

建立應急響應系統，將風險減少到最小。由于蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網絡。所以在突發情況下，建立一個緊急響應系統是很有必要的。在病毒爆發的第一時間即能提供解決方案。

建立災難備份系統。對于數據庫和數據系統，必須采用定期備份多機備份措施，防止意外災難下的數據丟失。

對于局域網而言，可以采用以下一些主要手段：在因特網接入口處安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外。對郵件服務器進行監控，防止帶毒郵件進行傳播。對局域網用戶進行安全培訓，建立局域網內部的升級系統。包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等。

4.2個人用戶防范蠕蟲病毒措施

網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞。所以防范此類病毒需要注意以下幾點：

購合適的殺毒軟件。網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向內存實時監控和郵件實時監控發展。另外面對防不勝防的網頁病毒，也使得用戶對殺毒軟件的要求越來越高。在殺毒軟件市場上，賽門鐵克公司的Norton系列殺毒軟件在全球具有很大的比例。經過多項測試，Norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒，而且對網頁病毒也有相當強的防范能力。目前國內的殺毒軟件也具有了相當高的水平。像瑞星、KV系列等殺毒軟件，在殺毒軟件的同時整合了防火強功能，從而對蠕蟲兼木馬程序有很大克制作用。

經常升級病毒庫，殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒。

提高防殺毒意識，不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼。當運行IE時，點擊“工具→Internet選項→安全→Internet區域的安全級別”，把安全級別由“中”改為“高”。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、JavaScript的網頁

文件，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

不隨意查看陌生郵件%尤其是帶有附件的郵件，由于有的病毒郵件能夠利用IE和Outlook的漏洞自動執行，所以計算機用戶需要升級IE和Outlook程序,及常用的其他應用程序。

5結論

從計算機蠕蟲病毒的發展來看，計算機蠕蟲病毒的攻擊和防御都在發展，未來的計算機蠕蟲病毒將會更智能化，復雜化，對網絡的影響和危害將長期存在；而計算機蠕蟲病毒的防御卻要相對困難，究其原因有以下幾點：①計算機蠕蟲病毒融合了計算機蠕蟲和計算機病毒的技術