[科普中国]-蠕虫病毒

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。

定义蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会—直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。1

特点(一)、较强的独立性

计算机病毒一般都需要宿主程序，病毒将自己的代码写到宿主程序中，当该程序运行时先执行写入的病毒程序，从而造成感染和破坏。而蠕虫病毒不需要宿主程序，它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。

(二)、利用漏洞主动攻击

由于不受宿主程序的限制，蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如，“尼姆达”病毒利用了IE游览器的漏洞，使感染病毒的邮件附件在不被打开的情况下就能激活病毒；“红色代码”利用了微软IlSl]艮务器软件的漏洞(idq.dll远程缓存区溢出)来传播；而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。

(三)、传播更快更广

蠕虫病毒比传统病毒具有更大的传染性，它不仅仅感染本地计算机，而且会以本地计算机为基础，感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此，蠕虫病毒的传播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓延全球。

(四)、更好的伪装和隐藏方式

为了使蠕虫病毒在更大范围内传播，病毒的编制者非常注重病毒的隐藏方式。在通常情况下，我们在接收、查看电子邮件时，都采取双击打开邮件主题的方式来浏览邮件内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒感染。

(五)、技术更加先迸

一些蠕虫病毒与网页的脚本相结合，利用VBScript，Java，ActiveX等技术隐藏在HTML页面里。当用户上网游览含有病毒代码的网页时，病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合，比较典型的是“红色代码病毒”，病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。

(六)、使追踪变得更困难

当蠕虫病毒感染了大部分系统之后，攻击者便能发动多种其他攻击方式对付一个目标站点，并通过蠕虫网络隐藏攻击者的位置，这样要抓住攻击者会非常困难。1

结构原理结构蠕虫病毒的程序结构通常包括三个模块：

(1)传播模块：负责蠕虫的传播，它可以分为扫描模块、攻击模块和复制模块三个子模块。其中，扫描模块负责探测存在漏洞的主机；攻击模块按漏洞攻击步骤自动攻击找到的对象；复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动。

(2)隐藏模块：侵入主机后，负责隐藏蠕虫程序。

(3)目的功能模块：实现对计算机的控制、监视或破坏等。2

原理根据蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述流程。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。2

分类根据蠕虫病毒在计算机及网络中传播方式的不同，人们大致将其分为五种。

1、电子邮件E-mail蠕虫病毒

通过电子邮件传播的蠕虫病毒，它以附件的形式或者是在信件中包含有被蠕虫所感染的网站链接地址，当用户点击阅读附件时蠕虫病毒被激活，或在用户点击那个被蠕虫所感染网站链接时被激活感染蠕虫病毒。

2、即时通讯软件蠕虫病毒

即时通讯软件蠕虫病毒是指利用即时通讯软件，如QQ、NsN等通过对话窗日向在线好友发送欺骗性的信息，该信息一般会包含一个超链接。因为是在接受窗口中，可以直接点击链接并启动IElE就会和这个服务器连接，下载链接病毒页面。这个病毒页面中含有恶意代码，会把蠕虫下载本机并运行。这样就完成了一次传播。然后再以该机器为基点，向本机所能发现的好友发送同样的欺骗性消息，继续传播蠕虫病毒。

3、P2P蠕虫病毒

P2P蠕虫是利用P2P应用协议和程序的特点、有漏洞的应用程序存在于P2P网络中进行传播的蠕虫病毒。人们根据它发现目标和激活的方式，将P2P蠕虫分为：伪装型、沉默型和主动型三种。

4、漏洞传播的蠕虫病毒

漏洞传播的蠕虫病毒就是基于漏洞来进行传播的蠕虫病毒，一般分为两类：基于Windows共享网络和UNIX网络文件系统(NFS)的蠕虫；利用攻击操作系统或者网络服务的漏洞来进行传播的蠕虫。

5、搜索弓}擎传播的蠕虫病毒

基于搜索弓l擎传播的蠕虫病毒，通常其自身携带一个与漏洞相关的关键字列表，通过利用此列表在搜索引擎上搜索，当在搜索结果中找到了存在漏洞的主机，来进行攻击。其特点是流量小，目标准确，隐蔽性强，传播速度快，在整个传播过程中，它和正常的搜索请求一样。所以能够容易的混入正常的流量，而很难被发现。3

防范措施蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，防范邮件蠕虫的最好办法 ，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，可以启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。

从2004年起，MSN 、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。

对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。

病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！

2、经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！

当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

4、不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私。4

本词条内容贡献者为:

徐恒山 - 讲师 - 西北农林科技大学