簡介
蠕蟲病毒是自包含的程式(或是一套程式),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網路連線)。請注意,與一般病毒不同,蠕蟲不需要將其自身附著到宿主程式,有兩種類型的蠕蟲:主機蠕蟲與網路蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中,並且使用網路的連線僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時也叫"野兔",蠕蟲病毒一般是通過1434連線埠漏洞傳播。比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種,2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗作業系統的漏洞,計算機感染這一病毒後,會不斷自動撥接,並利用檔案中的地址信息或者網路共享進行傳播,最終破壞用戶的大部分重要數據。
形成原因
漏洞攻擊
利用作業系統和應用程式的漏洞主動進行攻擊此類病毒主要是“紅色代碼”和“尼姆亞”,以及依然肆虐的“求職信”等。由於IE瀏覽器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亞”病毒的郵件在不去手工打開附屬檔案的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附屬檔案的郵件,只要不去打開附屬檔案,病毒不會有危害。“紅色代碼”是利用了微軟IIS伺服器軟體的漏洞(idq.dll遠程快取區溢出)來傳播,SQL蠕蟲王病毒則是利用了微軟的資料庫系統的一個漏洞進行大肆攻擊。方式多樣
如“尼姆亞”病毒和”求職信”病毒,可利用的傳播途徑包括檔案、電子郵件、Web伺服器、網路共享等等。技術新
與傳統的病毒不同的是,許多新病毒是利用當前最新的程式語言與編程技術實現的,易於修改以產生新的變種,從而逃避反病毒軟體的搜尋。另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。黑客技術
與黑客技術相結合,潛在的威脅和損失更大以紅色代碼為例,感染後的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,可以分為兩種,即軟體上的缺陷和人為的缺陷。軟體上的缺陷,如遠程溢出、微軟IE和Outlook的自動執行漏洞等等,需要軟體廠商和用戶共同配合,不斷地升級軟體。而人為的缺陷,主要指的是計算機用戶的疏忽。這就是所謂的社會工程學(socialengineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會抱著好奇去點擊的。對於企業用戶來說,威脅主要集中在伺服器和大型套用軟體的安全上,而對個人用戶而言,主要是防範第二種缺陷。
在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝IIS(微軟的網際網路伺服器程式,可以允許在網上提供web服務)或者是龐大的資料庫系統的。因此,上述病毒並不會直接攻擊個人用戶的電腦(當然能夠間接的通過網路產生影響)。但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒。對於個人用戶而言,威脅大的蠕蟲病毒採取的傳播方式,一般為電子郵件(Email)以及惡意網頁等等。對於利用電子郵件傳播的蠕蟲病毒來說,通常利用的是各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播。惡意網頁確切地講是一段黑客破壞代碼程式,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理並不複雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關於用網頁進行破壞的技術的論壇,並提供破壞程式代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。對於惡意網頁,常常採取vbscript和javascript編程的形式,由於編程方式十分的簡單,所以在網上非常的流行。
Vbscript是由微軟作業系統的wsh(WindowsScriptingHostWindows腳本主機)解析並執行的,由於其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然後偽裝成郵件附屬檔案誘惑用戶點擊運行。更為可怕的是,這樣的病毒是以原始碼的形式出現的,只要懂得一點關於腳本編程的人就可以修改其代碼,形成各種各樣的變種。
QQ群蠕蟲病毒
是一種利用QQ群共享漏洞傳播流氓軟體和劫持IE主頁的惡意程式,QQ群用戶一旦感染了該蠕蟲病毒,便會向其他QQ群內上傳該病毒。2013年4月,“QQ群蠕蟲病毒”第三代變種偽裝成“刷鑽軟體”大量傳播,每天中毒的電腦達到2-3萬台,通過騰訊電腦管家、金山等安全廠商的聯合打擊,第三代QQ群蠕蟲基本已經在網路上銷聲匿跡。騰訊電腦管家雲安全檢測中心發布訊息,發現“QQ群蠕蟲病毒”第四代偽裝成“視頻偷窺軟體”正大肆傳播,某安全軟體以對此病毒發布橙色預警並進行查殺。安全軟體專家介紹,“QQ群蠕蟲病毒”第四代多以“XX視頻助手.exe”或“XX視頻偷看神器.exe”為偽裝,由於檔案名稱極具誘惑性,吸引了大量網民點擊。
如果網民信以為真,雙擊運行,蠕蟲病毒就會劫持網民的QQ,把推廣訊息轉發到QQ群共享和空間說說,甚至傳送病毒郵件給好友。該病毒的最終目的是在中毒電腦上安裝一大堆流氓軟體以牟取暴利。
“QQ群蠕蟲病毒”第四代利用大眾獵奇心理,將病毒程式改名為偷窺管家,以欺騙點擊。已知的病毒傳播渠道除了QQ群、電子郵件等常見載體外,還在視頻網站上也做了一系列的“教程”視頻以誘導網民強行下載使用。
比較異同
蠕蟲也是一種病毒,因此具有病毒的共同特徵。一般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程式的體內,而被感染的檔案就被稱為”宿主”,例如,windows下執行檔的格式為pe格式(PortableExecutable),當需要感染pe檔案時,在宿主程式中,建立一個新節,將病毒代碼寫到新節中,修改的程式入口點等,這樣,宿主程式執行的時候,就可以先執行病毒程式,病毒程式運行完之後,在把控制權交給宿主原來的程式指令。可見,病毒主要是感染檔案,當然也還有像DIRII這種連結型病毒,還有引導區病毒。引導區病毒他是感染磁碟的引導區,如果是軟碟被感染,這張軟碟用在其他機器上後,同樣也會感染其他機器,所以傳播方式也是用軟碟等方式。隨著網路和病毒編寫技術的發展,綜合利用多種途徑的蠕蟲也越來越多,比如有的蠕蟲病毒就是通過電子郵件傳播,同時利用系統漏洞侵入用戶系統。還有的病毒會同時通過郵件、聊天軟體等多種渠道傳播。
熊貓燒香
病毒名稱:熊貓燒香Worm.WhBoy.(金山稱),Worm.Nimaya.(瑞星稱)
病毒別名:尼姆亞,武漢男生,後又化身為“金豬報喜”,國外稱“熊貓燒香”
危險級別:★★★★★
病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟體和防火牆軟體進程。
影響系統:Win9x/ME、Win2000/NT、WinXP、Win2003、WinVista
發現時間:2006年10月16日
來源地:中國武漢東湖高新技術開發區關山
“熊貓燒香”還可以通過已分享檔案夾、系統弱口令等多種方式進行傳播。
金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程
1拷貝檔案
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行為
a:每隔1秒
尋找桌面視窗,並關閉視窗標題中含有以下字元的程式
QQKav
QQAV
防火牆
進程
VirusScan
網鏢
防毒
毒霸
瑞星
江民
黃山IE
超級兔子
最佳化大師
木馬剋星
木馬清道夫
QQ病毒
註冊表編輯器
系統配置實用程式
卡巴斯基反病毒
SymantecAntiVirus
Duba
esteemproces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
SystemSafetyMonitor
WrappedgiftKiller
WinsockExpert
遊戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
並使用的鍵盤映射的方法關閉安全軟體IceSword
添加註冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
點擊病毒作者指定的網頁,並用命令行檢查系統中是否存在共享
共享存在的話就運行netshare命令關閉admin$共享
c:每隔10秒
下載病毒作者指定的檔案,並用命令行檢查系統中是否存在共享
共享存在的話就運行netshare命令關閉admin$共享
d:每隔6秒
刪除安全軟體在註冊表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00
刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc
e:感染檔案
病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部
並在擴展名為htm,html,asp,php,jsp,aspx的檔案中添加一網址,
用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到
增加點擊量的目的,但病毒不會感染以下資料夾名中的檔案:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
g:刪除檔案
病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案
使用戶的系統備份檔案丟失.
瑞星最新病毒分析報告:“Nimaya(熊貓燒香)”
這是一個傳染型的DownLoad使用Delphi編寫
傳播途徑
蠕蟲一般不採取利用pe格式插入檔案的方法,而是複製自身在網際網路環境下進行傳播,病毒的傳染能力主要是針對計算機內的檔案系統而言,而蠕蟲病毒的傳染目標是網際網路內的所有計算機.區域網路條件下的已分享檔案夾,電子郵件email,網路中的惡意網頁,大量存在著漏洞的伺服器等都成為蠕蟲傳播的良好途徑。網路的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!本文中將蠕蟲病毒分為針對企業網路和個人用戶2類,並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特徵和一些防範措施。防止系統漏洞類蠕蟲病毒的侵害,最好的辦法是打好相應的系統補丁,可以套用瑞星防毒軟體的“漏洞掃描”工具,這款工具可以引導用戶打好補丁並進行相應的安全設定,徹底杜絕病毒的感染。通過電子郵件傳播,是病毒作者青睞的方式之一,像“惡鷹”、“網路天空”等都是危害巨大的郵件蠕蟲病毒。這樣的病毒往往會頻繁大量的出現變種,用戶中毒後往往會造成數據丟失、個人信息失竊、系統運行變慢等。防範措施
蠕蟲病毒的一般防治方法是:使用具有實時監控功能的防毒軟體,防範郵件蠕蟲的最好辦法,就是提高自己的安全意識,不要輕易打開帶有附屬檔案的電子郵件。另外,可以啟用瑞星防毒軟體的“郵件傳送監控”和“郵件接收監控”功能,也可以提高自己對病毒郵件的防護能力。從2004年起,MSN、QQ等聊天軟體開始成為蠕蟲病毒傳播的途徑之一。“性感烤雞”病毒就通過MSN軟體傳播,在很短時間內席捲全球,一度造成中國大陸地區部分網路運行異常。
對於普通用戶來講,防範聊天蠕蟲的主要措施之一,就是提高安全防範意識,對於通過聊天軟體傳送的任何檔案,都要經過好友確認後再運行;不要隨意點擊聊天軟體傳送的網路連結。
病毒並不是非常可怕的,網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防範此類病毒需要注意以下幾點:
1、選購合適的防毒軟體。網路蠕蟲病毒的發展已經使傳統的防毒軟體的“檔案級實時監控系統”落伍,防毒軟體必須向記憶體實時監控和郵件實時監控發展!另外,面對防不勝防的網頁病毒,也使得用戶對防毒軟體的要求越來越高!
2、經常升級病毒庫,防毒軟體對病毒的查殺是以病毒的特徵碼為依據的,而病毒每天都層出不窮,尤其是在網路時代,蠕蟲病毒的傳播速度快、變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒。3、提高防防毒意識。不要輕易去點擊陌生的站點,有可能裡面就含有惡意代碼!
當運行IE時,點擊“工具→Internet選項→安全→Internet區域的安全級別”,把安全級別由“中”改為“高”。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、JavaScript的網頁檔案,所以在IE設定中將ActiveX外掛程式和控制項、Java腳本等全部禁止,就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE視窗中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標籤,再點擊“自定義級別”按鈕,就會彈出“安全設定”對話框,把其中所有ActiveX外掛程式和控制項以及與Java相關全部選項選擇“禁用”。但是,這樣做在以後的網頁瀏覽過程中有可能會使一些正常套用ActiveX的網站無法瀏覽。
4、不隨意查看陌生郵件,尤其是帶有附屬檔案的郵件。由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程式,及常用的其他應用程式。
最新蠕蟲病毒“蒙面客”被發現,可泄漏用戶隱私
造成損失
1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千台計算機停機,蠕蟲病毒開始現身網路;而後來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;台北時間2003年1月26日,一種名為“2003蠕蟲王”的電腦病毒迅速傳播並襲擊了全球,致使網際網路網路嚴重堵塞,作為網際網路主要基礎的域名伺服器(DNS)的癱瘓造成網民瀏覽網際網路網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷,機票等網路預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!病毒名稱初始出現日期造成損失
莫里斯蠕蟲1988年6000多台計算機停機,直接經濟損失達9600萬美元!
美麗殺手1999年政府部門和一些大公司緊急關閉了網路伺服器,經濟損失超過12億美元!
愛蟲病毒2000年5月至今眾多用戶電腦被感染,損失超過100億美元以上
紅色代碼2001年7月網路癱瘓,直接經濟損失很大
求職信2001年12月至今大量病毒郵件堵塞伺服器,損失達數百億美元
Sql蠕蟲王2003年1月網路大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元
2號病毒2012年3月北京某公司內部網路大面積癱瘓,公司緊急關閉網路伺服器,直接經濟損失無法估算,大量內部機密檔案丟失外漏。
最新變種
變種介紹
國家計算機病毒應急處理中心通過對網際網路的監測發現,2013年3月,蠕蟲病毒Worm_Vobfus及其變種出現,提醒用戶小心謹防。專家說,該蠕蟲及其變種利用社會工程學通過社交網站進行傳播,誘騙計算機用戶點擊下載從而感染操作系,還會通過加入垃圾代碼和修改代碼來不斷生成新的變種。
當計算機用戶訪問惡意網站時,該蠕蟲及其變種會通過可移動設備傳播感染作業系統。一旦感染作業系統,該蠕蟲及其變種會進行如下惡意行為:
1、在所有可移動設備上釋放自身副本。這些副本名字會使用受感染作業系統上的資料夾和檔案,其擴展名分別:avi、bmp、doc、gif、txt、exe等等;
2、隱藏上面列舉類型的原始檔案和資料夾,致使計算機用戶將病毒檔案誤認為正常檔案而點擊;
3、釋放一個自啟動配置檔案,檔案名稱:autorun.inf,當可移動設備安裝成功後,自動運行惡意檔案;
4、部分變種會利用捷徑漏洞MS10——046自動運行惡意檔案,其擴展名分別是.lnk和.dll ;
5、蠕蟲變種會連線惡意Web站點,下載並執行惡意軟體;
6、某些變種會連線網際網路絡中指定的伺服器,從而與一個遠程惡意攻擊者進行互聯通訊。
防範措施
對已經感染該蠕蟲及其變種的計算機用戶,專家建議立即升級系統中的防病毒軟體,進行全面防毒。未感染的用戶建議打開系統中防病毒軟體的“系統監控”功能,從註冊表、系統進程、記憶體、網路等多方面對各種操作進行主動防禦。科學幻想
科學是無止境的,在人們的思維中存在無窮的空間給我們去想像、去思考、去猜測,理論的提出效應的總結都無疑不是人類智慧的結晶。 |