用戶角度探討病毒：解析並防範蠕蟲病毒

要：凡能夠引起電腦故障，破壞電腦數據的程式統稱為電腦病毒。所以從這個意義上說，蠕蟲也是一種病毒！網路蠕蟲病毒，作為對互聯網危害嚴重的 一種電腦程式，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以電腦為載體，以網路為攻擊對象！本文中將蠕蟲病毒分為針對企業網路和個人用戶2類，並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特徵和一些防範措施!
　　本文根據蠕蟲病毒的發作機制，將其分為利用系統級別漏洞（主動傳播）和利用社會工程學(欺騙傳播)兩種，並從用戶角度中將蠕蟲病毒分為針對企業網路和個人用戶2類，從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特徵和一些防範措施!

　　一、蠕蟲病毒的定義

　　1.蠕蟲病毒的定義

　　電腦病毒自出現之日起，就成為電腦的一個巨大威脅，而當網路迅速發展的時候，蠕蟲病毒引起的危害開始顯現！從廣義上定義，凡能夠引起電腦故障，破壞電腦數據的程式統稱為電腦病毒。所以從這個意義上說，蠕蟲也是一種病毒！但是蠕蟲病毒和一般的病毒有著很大的區別。對於蠕蟲，現在還沒有一個成套的理論體系，一般認為，蠕蟲是一種通過網路傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特徵，如不利用文件寄生（有的只存在於記憶體中），對網路造成拒絕服務，以及和駭客技術相結合等等！在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網路的發展使得蠕蟲可以在短短的時間內蔓延整個網路，造成網路癱瘓！

　　根據使用者情況可將蠕蟲病毒分為2類，一種是面向企業用戶和局域網而言，這種病毒利用系統漏洞，主動進行攻擊，可以對整個互聯網可造成癱瘓性的後果!以“紅色代碼”，“尼姆達”，以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網路(主要是電子郵件，惡意網頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例.在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種病毒並不是很難。第二種病毒的傳播方式比較複雜和多樣，少數利用了微軟的應用程式的漏洞，更多的是利用社會工程學()對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經被各大殺毒廠商發現，但直到2002年底依然排在病毒危害排行榜的首位就是證明！出得在接下來的內容中，將分別分析這兩種病毒的一些特徵及防範措施!

　　2.蠕蟲病毒與一般病毒的異同

　　蠕蟲也是一種病毒，因此具有病毒的共同特徵。一般的病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程式的體內，而被感染的文件就被稱為”宿主”，例如，windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程式中，建立一個新節，將病毒代碼寫到新節中，修改的程式入口點等，這樣，宿主程式執行的時候，就可以先執行病毒程式，病毒程式運行完之後，在把控制權交給宿主原來的程式指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈結型病毒，還有引導區病毒。引導區病毒他是感染磁片的引導區，如果是軟碟被感染，這張軟碟用在其他機器上後，同樣也會感染其他機器，所以傳播方式也是用軟碟等方式。

　　蠕蟲一般不採取利用pe格式插入文件的方法，而是複製自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對電腦內的文件系統而言，而蠕蟲病毒的傳染目標是互聯網內的所有電腦.局域網條件下的共用文件夾，電子郵件email，網路中的惡意網頁，大量存在著漏洞的伺服器等都成為蠕蟲傳播的良好途徑。網路的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!

普通病毒 蠕蟲病毒

存在形式 寄存文件 獨立程式
傳染機制 宿主程式運行 主動攻擊
傳染目標 本地文件 網路電腦


　　可以預見，未來能夠給網路帶來重大災難的主要必定是網路蠕蟲!

　　3.蠕蟲的破壞和發展趨勢

　　1988年一個由美國CORNELL大學研究生莫裏斯編寫的蠕蟲病毒蔓延造成了數千台電腦停機，蠕蟲病毒開始現身網路;而後來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失；北京時間2003年1月26日， 一種名為“2003蠕蟲王”的電腦病毒迅速傳播並襲擊了全球，致使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名伺服器（DNS）的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷， 機票等網路預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在12億美元以上!

病毒名稱   持續時間       造成損失

莫裏斯蠕蟲 1988年         6000多台電腦停機，直接經濟損失達9600萬美元!
美麗殺手   1999年         政府部門和一些大公司緊急關閉了網路伺服器，經濟損失超過12億美元!
愛蟲病毒   2000年5月至今   眾多用戶電腦被感染，損失超過100億美元以上
紅色代碼   2001年7月       網路癱瘓，直接經濟損失超過26億美元
求職信     2001年12月至今 大量病毒郵件堵塞伺服器，損失達數百億美元
蠕蟲王     2003年1月       網路大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元


　　由表可以知道，蠕蟲病毒對網路產生堵塞作用，並造成了巨大的經濟損失!

　　通過對以上蠕蟲病毒的分析，可以知道，蠕蟲發作的一些特點和發展趨勢:

　　1.利用作業系統和應用程式的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”，以及至今依然肆虐的”求職信”等.由於IE瀏覽器的漏洞(Iframe Execcomand)，使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，只要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS伺服器軟體的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!

　　2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web伺服器、網路共用等等。

　　3.病毒製作技術與傳統的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現的，易於修改以產生新的變種，從而逃避反病毒軟體的搜索。另外，新病毒利用Java、ActiveX、VB Script等技術，可以潛伏在HTML頁面裏，在上網瀏覽時觸發。

　　4.與駭客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例，感染後的機器的web目錄的\scripts下將生成一個root.exe，可以遠程執行任何命令，從而使駭客能夠再次進入!

二、網路蠕蟲病毒分析和防範


　　蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞，這裡的漏洞或者說是缺陷，我們分為2種，軟體上的缺陷和人為上的缺陷。軟體上的缺陷，如遠程溢出，微軟ie和outlook的自動執行漏洞等等，需要軟體廠商和用戶共同配合，不斷的升級軟體。而人為的缺陷，主要是指的是電腦用戶的疏忽。這就是所謂的社會工程學(social engineering)，當收到一封郵件帶著病毒的求職信郵件時候，大多數人都會報著好奇去點擊的。對於企業用戶來說，威脅主要集中在伺服器和大型應用軟體的安全上，而個人用戶而言，主要是防範第二種缺陷。

　　1.利用系統漏洞的惡性蠕蟲病毒分析

　　在這種病毒中，以紅色代碼，尼姆達和sql蠕蟲為代表!他們共同的特徵是利用微軟伺服器和應用程式組件的某個漏洞進行攻擊，由於網上存在這樣的漏洞比較普遍，使得病毒很容易的傳播!而且攻擊的對象大都為伺服器，所以造成的網路堵塞現象嚴重!

　　以2003年1月26號爆發的sql蠕蟲為例，爆發數小時內席捲了全球網路，造成網路大塞車.亞洲國家中以人口上網普及率達七成的南韓所受影響較為嚴重。南韓兩大網路業KFT及南韓電訊公司，系統都陷入了癱瘓，其他的網路用戶也被迫斷線，更為嚴重的是許多銀行的自動取款機都無法正常工作， 美國許美國銀行統計，該行的13000台自動櫃員機已經無法提供正常提款。網路蠕蟲病毒開始對人們的生活產生了巨大的影響!

　　這次sql蠕蟲攻擊的是微軟數據庫係Microsoft SQL Server 2000的，利用了MSSQL2000服務遠程堆棧緩衝區溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口，客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式（連接方式可以是命名管道也可以是TCP），但是此程式存在嚴重漏洞，當客戶端發送超長數據包時，將導致緩衝區溢出，駭客可以利用該漏洞在遠程機器上執行自己的惡意代碼。

　　微軟在200年7月份的時候就為這個漏洞發佈了一個安全公告，但當sql蠕蟲爆發的時候，依然有大量的裝有ms sqlserver 2000的伺服器沒有安裝最新的補丁，從而被蠕蟲病毒所利用，蠕蟲病毒通過一段376個字節的惡意代碼，遠程獲得對方主機的系統控制許可權， 取得三個Win32 API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個隨機數，進入一個死迴圈繼續傳播。在該迴圈中蠕蟲使用獲得的隨機數生成一個隨機的ip地址，然後將自身代碼發送至1434端口(Microsoft SQL Server開放端口)，該蠕蟲傳播速度極快，其使用廣播數據包方式發送自身代碼，每次均攻擊子網中所有255台可能存在機器。由於這是一個死迴圈的過程，發包密度僅和機器性能和網路帶寬有關，所以發送的數據量非常大。該蠕蟲對被感染機器本身並沒有進行任何惡意破壞行為，也沒有向硬盤上寫文件，僅僅存在與記憶體中。對於感染的系統，重新啟動後就可以清除蠕蟲，但是仍然會重復感染。由於發送數據包佔用了大量系統資源和網路帶寬，形成Udp Flood，感染了該蠕蟲的網路性能會極度下降。一個百兆網路內只要有一兩台機器感染該蠕蟲就會導致整個網路訪問阻塞。

　　通過以上分析可以知道，此蠕蟲病毒本身除了對網路產生拒絕服務攻擊外，並沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼，後果將不堪設想!

　　2.企業防範蠕蟲病毒措施

　　此次sql蠕蟲病毒，利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明！而且微軟也提供了安全補丁提供下載，然而在時隔半年之後互聯網上還有相當大的一部分伺服器沒有安裝最新的補丁，其網路管理員的安全防範意識可見一斑！

　　當前，企業網路主要應用於文件和列印服務共用、辦公自動化系統、企業業務（MIS）系統、Internet應用等領域。網路具有便利資訊交換特性，蠕蟲病毒也可以充分利用網路快速傳播達到其阻塞網路目的。企業在充分地利用網路進行業務處理時，就不得不考慮企業的病毒防範問題，以保證關係企業命運的業務數據完整不被破壞。

　　企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防範蠕蟲病毒的策略如下：

　　(1)加強網路管理員安全管理水準，提高安全意識。由於蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟體的安全性，保持各種作業系統和應用軟體的更新！由於各種漏洞的出現，使得安全不在是一種一勞永逸的事，而作為企業用戶而言，所經受攻擊的危險也是越來越大，要求企業的管理水準和安全意識也越來越高！

　　(2)建立病毒檢測系統。能夠在第一時間內檢測到網路異常和病毒攻擊。

　　(3)建立應急響應系統，將風險減少到最小！由於蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網路，所以在突發情況下，建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。

　　(4)建立災難備份系統。對於數據庫和數據系統，必須採用定期備份，多機備份措施，防止意外災難下的數據丟失！

　　(5)對於局域網而言，可以採用以下一些主要手段：A.在因特網接入口處安裝防火牆式防殺電腦病毒產品，將病毒隔離在局域網之外。B.對郵件伺服器進行監控，防止帶毒郵件進行傳播！C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統，包括各種作業系統的補丁升級，各種常用的應用軟體升級，各種殺毒軟體病毒庫的升級等等！

3.對個人用戶產生直接威脅的蠕蟲病毒


　　在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用戶而言，是不會安裝iis(微軟的因特網伺服器程式，可以使允許在網上提供web服務)或者是龐大的數據庫系統的！因此上述病毒並不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網路產生影響)，但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒！

　　對於個人用戶而言，威脅大的蠕蟲病毒採取的傳播方式一般為電子郵件(Email)以及惡意網頁等等！

　　對於利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(Social Engineering)，即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播！

　　惡意網頁確切的講是一段駭客破壞代碼程式，它內嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。這種病毒代碼鑲嵌技術的原理並不複雜，所以會被很多懷不良企圖者利用，在很多駭客網站竟然出現了關於用網頁進行破壞的技術的論壇，並提供破壞程式代碼下載，從而造成了惡意網頁的大面積氾濫，也使越來越多的用戶遭受損失。

　　對於惡意網頁，常常採取vb script和java script編程的形式！由於編程方式十分的簡單！所以在網上非常的流行！

　　Vb script和java script是由微軟作業系統的wsh（Windows Scripting HostWindows腳本主機）解析並執行的，由於其編程非常簡單，所以此類腳本病毒在網上瘋狂傳播，瘋狂一時的愛蟲病毒就是一種vbs腳本病毒，然後偽裝成郵件附件誘惑用戶點擊運行，更為可怕的是，這樣的病毒是以源代碼的形式出現的，只要懂得一點關於腳本編程的人就可以修改其代碼，形成各種各樣的變種。

　　下面以一個簡單的腳本為例：

　　Set objFs=CreateObject （“Scripting.FileSystemObject”）(創建一個文件系統對象)objFs.CreateTextFile （"C:\virus.txt"， 1）(通過文件系統對象的方法創建了TXT文件)如果我們把這兩句話保存成為.vbs的VB腳本文件，點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為：

objFs.GetFile （WScript.ScriptFullName）.Copy （"C:\virus.vbs"）

就可以將自身複製到C盤virus.vbs這個文件。本句前面是打開這個腳本文件，WScript.ScriptFullName指明是這個程式本身，是一個完整的路徑文件名。GetFile函數獲得這個文件，Copy函數將這個文件複製到C盤根目錄下virus.vbs這個文件。這麼簡單的兩句就實現了自我複製的功能，已經具備病毒的基本特徵——自我複製能力。

　　此類病毒往往是通過郵件傳播的，在vb script中調用郵件發送功能也非常的簡單，病毒往往採用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的，一個簡單的實例如下：

　　Set objOA=Wscript.CreateObject （"Outlook.Application"）（創建一個OUTLOOK應用的對象）

　　Set objMapi=objOA.GetNameSpace （"MAPI"）（取得MAPI名字空間）

　　For i=1 to objMapi.AddressLists.Count（遍歷地址簿）

　　Set objAddList=objMapi.AddressLists （i）

　　For j=1 To objAddList. AddressEntries.Count

　　Set objMail=objOA.CreateItem （0）

　　objMail.Recipients.Add （objAddList. AddressEntries （j））（取得收件人郵件地址 ）objMail.Subject="你好!" （設置郵件主題，這個往往具有很大的誘惑性質）

　　objMail.Body="這次給你的附件，是我的新文檔！" （設置信件內容）

　　objMail.Attachments.Add （“c:\virus.vbs"）（把自己作為附件擴散出去 ）

　　objMail.Send（發送郵件）

　　Next

　　Next

　　Set objMapi=Nothing（清空objMapi變數，釋放資源）

　　set objOA=Nothing(清空objOA變數)

　　這一小段代碼的功能是向地址簿中的用戶發送電子郵件，並將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象，是必不可少的。在其下是一個迴圈，在迴圈中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。

　　由此可以看出，利用vb script編寫病毒是非常容易的，這就使得此類病毒的變種繁多，破壞力極大，同時也是非常難以根除的！

　　4.個人用戶對蠕蟲病毒的防範措施

　　通過上述的分析，我們可以知道，病毒並不是非常可怕的，網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防範此類病毒需要注意以下幾點：

　　(1)購合適的殺毒軟體！網路蠕蟲病毒的發展已經使傳統的殺毒軟體的“文件級實時監控系統”落伍，殺毒軟體必須向記憶體實時監控和郵件實時監控發展！另外面對防不勝防的網頁病毒，也使得用戶對殺毒軟體的要求越來越高！在殺毒軟體市場上，賽門鐵克公司的norton系列殺毒軟體在全球具有很大的比例！經過多項測試，norton殺毒系列軟體腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒，而且對網頁病毒也有相當強的防範能力!目前國內的殺毒軟體也具有了相當高的水準。像瑞星，kv系列等殺毒軟體，在殺毒軟體的同時整合了防火強功能，從而對蠕蟲兼木馬程式有很大克製作用。

　　(2)經常升級病毒庫，殺毒軟體對病毒的查殺是以病毒的特徵碼為依據的，而病毒每天都層出不窮，尤其是在網路時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒!

　　(3)提高防殺毒意識.不要輕易去點擊陌生的站點，有可能裏面就含有惡意代碼！

　　當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話方塊中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話方塊，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以後的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

　　(4)不隨意查看陌生郵件，尤其是帶有附件的郵件，由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以電腦用戶需要升級ie和outlook程式，及常用的其他應用程式！

　　三、小結

　　網路蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒，必將對網路產生巨大的危險。在防禦上，已經不再是由單獨的殺毒廠商所能夠解決，而需要網路安全公司，系統廠商，防病毒廠商及用戶共同參與，構築全方位的防範體系！

　　蠕蟲和駭客技術的結合，使得對蠕蟲的分析，檢測和防範具有一定的難度，同時對蠕蟲的網路傳播性，網路流量特性建立數學模型也是有待研究的工作！