蠕蟲病毒

蠕蟲病毒

蠕蟲病毒是一種常見的計算機病毒。它是利用網路進行複製和傳播,傳染途徑是通過網路和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下,病毒發作時會在螢幕上出現一條類似蟲子的東西,胡亂吞吃螢幕上的字母並將其改形。蠕蟲病毒是自包含的程式(或是一套程式),它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中(通常是經過網路連線)。 蠕蟲病毒是自包含的程式(或是一套程式),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網路連線)。請注意,與一般病毒不同,蠕蟲不需要將其自身附著到宿主程式,有兩種類型的蠕蟲:主機蠕蟲與網路蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中,並且使用網路的連線僅將自身拷貝到其他的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止它自身(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行),這種蠕蟲有時也叫"野兔",蠕蟲病毒一般是通過1434連線埠漏洞傳播。 比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種,2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗作業系統的漏洞,計算機感染這一病毒後,會不斷自動撥接,並利用檔案中的地址信息或者網路共享進行傳播,最終破壞用戶的大部分重要數據。 在QQ群下載的分享檔案打開後會跳轉到色情網站。這是流行的QQ群蠕蟲病毒,不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法倖免。

基本信息

形成原因

漏洞攻擊

蠕蟲病毒 蠕蟲病毒

利用作業系統和應用程式的漏洞主動進行攻擊此類病毒主要是“紅色代碼”和“尼姆亞”,以及依然肆虐的“求職信”等。由於IE瀏覽器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亞”病毒的郵件在不去手工打開附屬檔案的情況下病毒就能激活,而此前即便是很多防病毒專家也一直認為,帶有病毒附屬檔案的郵件,只要不去打開附屬檔案,病毒不會有危害。“紅色代碼”是利用了微軟IIS伺服器軟體的漏洞(idq.dll遠程快取區溢出)來傳播,SQL蠕蟲王病毒則是利用了微軟的資料庫系統的一個漏洞進行大肆攻擊。

方式多樣

如“尼姆亞”病毒和”求職信”病毒,可利用的傳播途徑包括檔案、電子郵件、Web伺服器、網路共享等等。

新技術

與傳統的病毒不同的是,許多新病毒是利用當前最新的程式語言與編程技術實現的,易於修改以產生新的變種,從而逃避反病毒軟體的搜尋。另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。

黑客技術

與黑客技術相結合,潛在的威脅和損失更大。

蠕蟲病毒 蠕蟲病毒

以紅色代碼為例,感染後的機器的web目錄的\scripts下將生成一個root.exe,可以遠程執行任何命令,從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特徵是蠕蟲病毒往往能夠利用漏洞,這裡的漏洞或者說是缺陷,可以分為兩種,即軟體上的缺陷和人為的缺陷。軟體上的缺陷,如遠程溢出、微軟IE和Outlook的自動執行漏洞等等,需要軟體廠商和用戶共同配合,不斷地升級軟體。而人為的缺陷,主要指的是計算機用戶的疏忽。這就是所謂的社會工程學(socialengineering),當收到一封郵件帶著病毒的求職信郵件時候,大多數人都會抱著好奇去點擊的。對於企業用戶來說,威脅主要集中在伺服器和大型套用軟體的安全上,而對個人用戶而言,主要是防範第二種缺陷。

在以上分析的蠕蟲病毒中,只對安裝了特定的微軟組件的系統進行攻擊,而對廣大個人用戶而言,是不會安裝IIS(微軟的網際網路伺服器程式,可以允許在網上提供web服務)或者是龐大的資料庫系統的。因此,上述病毒並不會直接攻擊個人用戶的電腦(當然能夠間接的通過網路產生影響)。但接下來分析的蠕蟲病毒,則是對個人用戶威脅最大,同時也是最難以根除,造成的損失也更大的一類蠕蟲病毒。對於個人用戶而言,威脅大的蠕蟲病毒採取的傳播方式,一般為電子郵件(Email)以及惡意網頁等等。 對於利用電子郵件傳播的蠕蟲病毒來說,通常利用的是各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播。惡意網頁確切地講是一段黑客破壞代碼程式,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作。這種病毒代碼鑲嵌技術的原理並不複雜,所以會被很多懷不良企圖者利用,在很多黑客網站竟然出現了關於用網頁進行破壞的技術的論壇,並提供破壞程式代碼下載,從而造成了惡意網頁的大面積泛濫,也使越來越多的用戶遭受損失。對於惡意網頁,常常採取vbscript和javascript編程的形式,由於編程方式十分的簡單,所以在網上非常的流行。

Vbscript是由微軟作業系統的wsh(WindowsScriptingHostWindows腳本主機)解析並執行的,由於其編程非常簡單,所以此類腳本病毒在網上瘋狂傳播,瘋狂一時的愛蟲病毒就是一種vbs腳本病毒,然後偽裝成郵件附屬檔案誘惑用戶點擊運行。更為可怕的是,這樣的病毒是以原始碼的形式出現的,只要懂得一點關於腳本編程的人就可以修改其代碼,形成各種各樣的變種。

背景信息

計算機蠕蟲(Worm)與病毒、木馬等類似,都是在用戶不知情的情況下,偷偷執行預期外的惡意行為,以達到破壞電腦環境、竊取用戶信息或傳播自身等操作 。

從傳播方式上來說,病毒和木馬需要破壞者進行主動的傳播;感染型病毒可以搜尋並感染同一台電腦上能夠訪問到的其它檔案。與它們不同的是,蠕蟲的主要行為是努力通過各種途徑將自身或變種傳播到其它電腦終端上,因此可能造成更廣泛的危害。

蠕蟲的傳播方式有:通過作業系統漏洞傳播、通過電子郵件傳播、通過網路攻擊傳播、通過移動設備進行傳播、通過即時通訊等社交網路傳播。

除此之外,蠕蟲通常還會在傳播的同時執行一些其它的惡意行為,以達到自己的目的。

惡意行為與查殺

惡意行為

蠕蟲病毒 蠕蟲病毒

樣本會在QQ群已分享檔案中上傳誘導性的網站連結。如果用戶被其欺騙,則會點擊進入蠕蟲的誘導下載網站,此時不管用戶點擊什麼位置,都會觸發蠕蟲的下載,得到一個壓縮檔。雖然壓縮檔不大,僅有1、2M,但是會解壓出一個100多M的巨大的執行檔。在QQ群下載的分享檔案打開後會跳轉到色情網站。不僅會感染PC,安卓手機甚至未越獄的iPhone和iPad也無法倖免 。

安全專家分析後發現,在PC端,該蠕蟲病毒會下載大量流氓軟體,試圖欺騙網友安裝;而在Android手機上則會彈出全螢幕廣告,並在後台偷偷下載色情套用,嚴重影響手機的正常使用;一向“百毒不侵”的iOS也未能倖免,同樣會出現全螢幕廣告,誘導用戶下載套用。

這是因為蠕蟲會在自身中填充大量的無用數據,用於改變自己的指紋,從而對抗防毒軟體的雲查殺策略。

解壓出來的執行檔擁有一個誘惑的名稱,並且為了迷惑用戶,還會使用一些安全軟體常見的信息和數字簽名來偽裝自己。

當蠕蟲運行起來之後,會使用特殊技術手段,嘗試獲取臨時的QQ許可權。值得一提的是,雖然QQ已經採用了很多方式來對抗這種非法的訪問請求,還給網頁加上了驗證碼等限制,但是此蠕蟲會利用打碼組件自動識別驗證碼,在用戶還未察覺的情況下繞過這些限制。

當蠕蟲拿到臨時QQ許可權之後,會主動上傳色情連結檔案到用戶QQ群共享空間,等到群里的其他用戶成員看到之後點擊進入蠕蟲誘導下載網站,完成下一次的傳播,從而使越來越多的用戶中毒。

查殺

哈勃檔案分析系統能夠對該類樣本進行安全警示。

查殺軟體 查殺軟體

騰訊電腦管家能對該類樣本準確識別和查殺 。

QQ群病毒

是一種利用QQ群共享漏洞傳播流氓軟體和劫持IE主頁的惡意程式,QQ群用戶一旦感染了該蠕蟲病毒,便會向其他QQ群內上傳該病毒。2013年4月,“QQ群蠕蟲病毒”第三代變種偽裝成“刷鑽軟體”大量傳播,每天中毒的電腦達到2-3萬台,通過騰訊電腦管家、金山等安全廠商的聯合打擊,第三代QQ群蠕蟲基本已經在網路上銷聲匿跡。騰訊電腦管家雲安全檢測中心發布訊息,發現“QQ群蠕蟲病毒”第四代偽裝成“視頻偷窺軟體”正大肆傳播,某安全軟體以對此病毒發布橙色預警並進行查殺。

安全軟體專家介紹, “QQ群蠕蟲病毒”第四代多以“XX視頻助手.exe ”或 “XX視頻偷看神器.exe”為偽裝,由於檔案名稱極具誘惑性,吸引了大量網民點擊。

如果網民信以為真,雙擊運行,蠕蟲病毒就會劫持網民的QQ,把推廣訊息轉發到QQ群共享和空間說說,甚至傳送病毒郵件給好友。 該病毒的最終目的是在中毒電腦上安裝一大堆流氓軟體以牟取暴利。

“QQ群蠕蟲病毒”第四代利用大眾獵奇心理,將病毒程式改名為偷窺管家,以欺騙點擊。已知的病毒傳播渠道除了QQ群、電子郵件等常見載體外,還在視頻網站上也做了一系列的“教程”視頻以誘導網民強行下載使用。

比較異同

蠕蟲也是一種病毒,因此具有病毒的共同特徵。一般的病毒是需要的寄生的,它可以通過自己指令的執行,將自己的指令代碼寫到其他程式的體內,而被感染的檔案就被稱為”宿主”,例如,windows下執行檔的格式為pe格式(Portable Executable),當需要感染pe檔案時,在宿主程式中,建立一個新節,將病毒代碼寫到新節中,修改的程式入口點等,這樣,宿主程式執行的時候,就可以先執行病毒程式,病毒程式運行完之後,再把控制權交給宿主原來的程式指令。可見,病毒主要是感染檔案,當然也還有像DIRII這種連結型病毒,還有引導區病毒。引導區病毒他是感染磁碟的引導區,如果是軟碟被感染,這張軟碟用在其他機器上後,同樣也會感染其他機器,所以傳播方式也是用軟碟等方式。

隨著網路和病毒編寫技術的發展,綜合利用多種途徑的蠕蟲也越來越多,比如有的蠕蟲病毒就是通過電子郵件傳播,同時利用系統漏洞侵入用戶系統。還有的病毒會同時通過郵件、聊天軟體等多種渠道傳播。

熊貓燒香

病毒名稱:熊貓燒香

熊貓燒香蠕蟲病毒 熊貓燒香蠕蟲病毒

Worm.WhBoy.(金山稱),Worm.Nimaya. (瑞星稱)

病毒別名:尼姆亞,武漢男生,後又化身為“金豬報喜”,國外稱“熊貓燒香”

危險級別:★★★★★

病毒類型:蠕蟲病毒,能夠終止大量的反病毒軟體和防火牆軟體進程。

影響系統:Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista

發現時間:2006年10月16日

來源地:中國武漢東湖高新技術開發區關山

“熊貓燒香”還可以通過已分享檔案夾、系統弱口令等多種方式進行傳播。

金山分析:這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體進程

1 拷貝檔案

病毒運行後,會把自己拷貝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2 添加註冊表自啟動

病毒會添加自啟動項

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

3 病毒行為

a:每隔1秒

尋找桌面視窗,並關閉視窗標題中含有以下字元的程式

QQKav

QQAV

防火牆

進程

VirusScan

網鏢

防毒

毒霸

瑞星

江民

黃山IE

超級兔子

最佳化大師

木馬剋星

木馬清道夫

QQ病毒

註冊表編輯器

系統配置實用程式

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

遊戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

並使用的鍵盤映射的方法關閉安全軟體IceSword

添加註冊表使自己自啟動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare ->C:\WINDOWS\System32\Drivers\spoclsv.exe

並中止系統中以下的進程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

點擊病毒作者指定的網頁,

並用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

c:每隔10秒

下載病毒作者指定的檔案,

並用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

d:每隔6秒

刪除安全軟體在註冊表中的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

並修改以下值不顯示隱藏檔案

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue -> 0x00

刪除以下服務:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e:感染檔案

病毒會感染擴展名為exe,pif,com,src的檔案,把自己附加到檔案的頭部

並在擴展名為htm,html,asp,php,jsp,aspx的檔案中添加一網址,

用戶一但打開了該檔案,IE就會不斷的在後台點擊寫入的網址,達到

增加點擊量的目的,但病毒不會感染以下資料夾名中的檔案:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:刪除檔案

病毒會刪除擴展名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案

使用戶的系統備份檔案丟失.

瑞星最新病毒分析報告:“Nimaya(熊貓燒香)”

這是一個傳染型的DownLoad 使用Delphi編寫

傳播途徑

蠕蟲病毒 蠕蟲病毒

蠕蟲一般不採取利用pe格式插入檔案的方法,而是複製自身在網際網路環境下進行傳播,病毒的傳染能力主要是針對計算機內的檔案系統而言,而蠕蟲病毒的傳染目標是網際網路內的所有計算機。區域網路條件下的已分享檔案夾,電子郵件email,網路中的惡意網頁,大量存在著漏洞的伺服器等都成為蠕蟲傳 播的良好途徑。網路的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!本文中將蠕蟲病毒分為針對企業網路和個人用戶2類,並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特徵和一些防範措施。防止系統漏洞類蠕蟲病毒的侵害,最好的辦法是打好相應的系統補丁,可以套用瑞星防毒軟體的“漏洞掃描”工具,這款工具可以引導用戶打好補丁並進行相應的安全設定,徹底杜絕病毒的感染。 通過電子郵件傳播,是病毒作者青睞的方式之一,像“惡鷹”、“網路天空”等都是危害巨大的郵件蠕蟲病毒。這樣的病毒往往會頻繁大量的出現變種,用戶中毒後往往會造成數據丟失、個人信息失竊、系統運行變慢等。

防範措施

蠕蟲病毒的一般防治方法是:使用具有實時監控功能的防毒軟體,防範郵件蠕蟲的最好辦法 ,就是提高自己的安全意識,不要輕易打開帶有附屬檔案的電子郵件。另外,可以啟用瑞星防毒軟體的“郵件傳送監控”和“郵件接收監控”功能,也可以提高自己對病毒郵件的防護能力。

從2004年起,MSN 、QQ等聊天軟體開始成為蠕蟲病毒傳播的途徑之一。“性感烤雞”病毒就通過MSN軟體傳播,在很短時間內席捲全球,一度造成中國大陸地區部分網路運行異常。

對於普通用戶來講,防範聊天蠕蟲的主要措施之一,就是提高安全防範意識,對於通過聊天軟體傳送的任何檔案,都要經過好友確認後再運行;不要隨意點擊聊天軟體傳送的網路連結。

病毒並不是非常可怕的,網路蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學,而不是利用系統漏洞!所以防範此類病毒需要注意以下幾點:

1、選購合適的防毒軟體。網路蠕蟲病毒的發展已經使傳統的防毒軟體的“檔案級實時監控系統”落伍,防毒軟體必須向記憶體實時監控和郵件實時監控發展!另外,面對防不勝防的網頁病毒,也使得用戶對防毒軟體的要求越來越高!

蠕蟲病毒 蠕蟲病毒

2、經常升級病毒庫,防毒軟體對病毒的查殺是以病毒的特徵碼為依據的,而病毒每天都層出不窮,尤其是在網路時代,蠕蟲病毒的傳播速度快、變種多,所以必須隨時更新病毒庫,以便能夠查殺最新的病毒。3、提高防防毒意識。不要輕易去點擊陌生的站點,有可能裡面就含有惡意代碼!

當運行IE時,點擊“工具→Internet選項→安全→ Internet區域的安全級別”,把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁檔案 ,所以在IE設定中將ActiveX外掛程式和控制項、Java腳本等全部禁止,就可以大大減少被網頁惡意代碼感染的幾率。具體方案是:在IE視窗中點擊“工具”→“Internet選項”,在彈出的對話框中選擇“安全”標籤,再點擊“自定義級別”按鈕,就會彈出“安全設定”對話框,把其中所有ActiveX外掛程式和控制項以及與Java相關全部選項選擇“禁用”。但是,這樣做在以後的網頁瀏覽過程中有可能會使一些正常套用ActiveX的網站無法瀏覽。

4、不隨意查看陌生郵件,尤其是帶有附屬檔案的郵件。由於有的病毒郵件能夠利用ie和outlook的漏洞自動執行,所以計算機用戶需要升級ie和outlook程式,及常用的其他應用程式。

最新蠕蟲病毒“蒙面客”被發現,可泄漏用戶隱私

造成損失

1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千台計算機停機,蠕蟲病毒開始現身網路;而後來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失;台北時間2003年1月26日,一種名為“2003蠕蟲王”的電腦病毒迅速傳播並襲擊了全球,致使網際網路網路嚴重堵塞,作為網際網路主要基礎的域名伺服器(DNS)的癱瘓造成網民瀏覽網際網路網頁及收發電子郵件的速度大幅減緩,同時銀行自動提款機的運作中斷,機票等網路預訂系統的運作中斷,信用卡等收付款系統出現故障!專家估計,此病毒造成的直接經濟損失至少在12億美元以上!

病毒名稱初始出現日期造成損失

莫里斯蠕蟲1988年 6000多台計算機停機,直接經濟損失達9600萬美元!

美麗殺手1999年 政府部門和一些大公司緊急關閉了網路伺服器,經濟損失超過12億美元!

愛蟲病毒2000年5月至今 眾多用戶電腦被感染,損失超過100億美元以上

紅色代碼2001年7月 網路癱瘓,直接經濟損失很大

求職信2001年12月至今 大量病毒郵件堵塞伺服器,損失達數百億美元

Sql蠕蟲王2003年1月 網路大面積癱瘓,銀行自動提款機運做中斷,直接經濟損失超過26億美元

2號病毒2012年3月 北京某公司內部網路大面積癱瘓,公司緊急關閉網路伺服器,直接經濟損失無法估算,大量內部機密檔案丟失外漏。

最新變種

變種介紹

國家計算機病毒應急處理中心通過對網際網路的監測發現,2013年3月,蠕蟲病毒Worm_Vobfus及其變種出現,提醒用戶小心謹防。

該蠕蟲及其變種利用社會工程學通過社交網站進行傳播,誘騙計算機用戶點擊下載從而感染作業系統,還會通過加入垃圾代碼和修改代碼的方式來不斷生成新的變種。
該蠕蟲及其變種一旦感染作業系統,會進行如下的惡意行為:
1、在所有可移動設備上釋放自身副本。這些副本名字會使用受感染作業系統上的資料夾和檔案,其擴展名分別:avi、bmp、doc、gif、txt、exe等等;
2、隱藏上面列舉類型的原始檔案和資料夾,致使計算機用戶將病毒檔案誤認為正常檔案而點擊;
3、釋放一個自啟動配置檔案,檔案名稱:autorun.inf,當可移動設備安裝成功後,自動運行惡意檔案;
4、部分變種會利用捷徑漏洞MS10-046自動運行惡意檔案,其擴展名分別是.lnk和.dll ;
5、蠕蟲變種會連線惡意Web站點,下載並執行惡意軟體;
6、某些變種會連線網際網路中指定的伺服器,從而與一個遠程惡意攻擊者進行互聯通訊。

防範措施

對已經感染該蠕蟲及其變種的計算機用戶,專家建議立即升級系統中的防病毒軟體,進行全面防毒。未感染的用戶建議打開系統中防病毒軟體的“系統監控”功能,從註冊表、系統進程、記憶體、網路等多方面對各種操作進行主動防禦。

科學幻想

科學是無止境的,在人們的思維中存在無窮的空間給我們去想像、去思考、去猜測,理論的提出效應的總結都無疑不是人類智慧的結晶。

相關詞條

相關搜尋

熱門詞條

聯絡我們