蠕虫的行为特征描述和工作原理分析
蠕虫病毒
虫子悠悠爬——深入了解网络蠕虫作者:小金一、果园里的虫害老皮特坐在电脑前写着邮件,愁眉不展,连敲回车也弄出很大的声响。
“该死的虫子!我用了几种农药也杀不死它们!……它们总是躲着,从这棵树爬到那棵树!这些可恶的蠕虫!现有的农药不管用!你们快点赶过来,带上新的杀虫剂,要快!资金不是问题,重要的是我的果园!看在果实就快要成熟的份上,快点!上帝啊!”原来,老皮特的果园正在经历一场蠕虫危机,他今天和农业虫害防治的人员取得了联系,正在发电子邮件让他们马上过来。
提到蠕虫,大家都不会陌生,这些自然界中的低等生物以农作物为食,给人类带来经济损失,但是,如果我说计算机中也有这样一种名为“蠕虫”的东西存在,同样也给人类带来严重经济损失,你也许会觉得天方夜谭,虫子怎么会爬进计算机呢?可这偏偏就是事实!当然,能爬进计算机的“蠕虫”就不是自然界中那种动物了,它们是一种特殊的程序、一堆具有自我复制能力的代码,它们像蠕虫一样漫无目的乱爬,给计算机带来危害。
1988年11月2日,世界上第一个蠕虫正式诞生。
美国康乃尔大学一年级研究生莫里斯为了求证计算机程序能否在不同的计算机之间自我复制传播,他写了一段试验程序,为了程序能顺利进入另一台计算机,他写了一段破解用户口令的代码。
11月2日早上5点,这段被称为“Worm”(蠕虫)的程序开始了它的旅行(图1),它果然没有辜负莫里斯的期望:它爬进了几千台电脑,让它们死机,直接造成了经济损失9600万美元的记录。
从此,“蠕虫”这个名词传开了,莫里斯也许不知道,他在证明这个结论的同时,也打开了潘多拉魔盒……二、爬进机器的虫子过了一会儿,老皮特收到两封邮件,一封是虫害防治人员的回复,他们说马上就会过来;另一封就有点奇怪,是个陌生的地址发来的,内容更奇怪,只有一行字:Hey,is that your photo?也许是哪个孩子的恶作剧吧,老皮特随手把邮件删除了。
老皮特做梦也不会想到,他用来管理果园的的计算机里已经来了一个不受欢迎的客人……自1988年第一个蠕虫显示出它的威力以来,越来越多的人加入了蠕虫制作阵营,他们用这种途径来证明自己的能力,或者实现一些特殊目的,于是多种多样的蠕虫诞生了,可是不管蠕虫的“行为方式”(它们进入计算机后要做的事情)有多少种,其“传播方式”却仅仅有屈指可数的几种:电子邮件、网页代码、社会工程学、系统漏洞。
蠕虫名词解释
蠕虫名词解释希尔德蠕虫:网上爬的是蠕虫,原因是在人的视觉中,“蠕虫”和“软件”差不多,有很大的欺骗性。
蠕虫是网络世界中最常见、最顽强的一种文件类型,通过网络来传播,任何数据流都可以通过这个名词进行描述。
蠕虫病毒,这种病毒并不直接攻击计算机的硬件,它所感染的计算机系统只是运行在互联网上,将自身的部分程序和信息驻留内存,待机器启动或连网时,这些驻留的程序和信息就会引起系统运行混乱,使得用户无法进行正常的操作。
入侵性蠕虫:【希尔德蠕虫】(Hilder worm)为人所熟知的是一种在金星的表面发现的微小蠕虫,能利用表面存在的氨基酸,经多次转换后组装成自己的身体。
它们可以长期潜伏在金星表面而不被发现,不久前才由澳大利亚宇航局的专家们发现。
【入侵性蠕虫】当某些蠕虫侵入受感染电脑时,有的蠕虫会释放出特殊的刺激性烟雾,对电脑产生损坏,有的则会盗取重要数据资料。
病毒性蠕虫:【病毒性蠕虫】系指那些能够自我复制的蠕虫,通过复制自身,同时又在磁盘、光盘等介质上复制自身副本,借助磁盘、光盘的传播,造成更大的危害。
【希尔德蠕虫】(Hilder worm)为人所熟知的是一种在金星的表面发现的微小蠕虫,能利用表面存在的氨基酸,经多次转换后组装成自己的身体。
它们可以长期潜伏在金星表面而不被发现,不久前才由澳大利亚宇航局的专家们发现。
【入侵性蠕虫】当某些蠕虫侵入受感染电脑时,有的蠕虫会释放出特殊的刺激性烟雾,对电脑产生损坏,有的则会盗取重要数据资料。
病毒性蠕虫:【病毒性蠕虫】系指那些能够自我复制的蠕虫,通过复制自身,同时又在磁盘、光盘等介质上复制自身副本,借助磁盘、光盘的传播,造成更大的危害。
寄生性蠕虫:【寄生性蠕虫】就像蛔虫一样,用体表或体内其他组织或器官的渗出液,以及宿主自身的组织液和淋巴液为食,因此常常会导致宿主的溃烂甚至死亡。
蠕虫不仅有病毒,还有细菌、真菌等。
蠕虫感染只是在人们眼中认为是软件病毒的最初的原因,也是它们成为病毒的原因。
蠕虫的名词解释
蠕虫的名词解释蠕虫,作为一个广泛存在的生物分类,是指一类无脊椎动物,具有柔软身体和能够蠕动的能力。
蠕虫通常分为水生蠕虫和陆生蠕虫两大类,它们在地球上繁衍生息了数百万年。
蠕虫在生态系统中扮演着重要的角色,不仅能够帮助分解有机物质,促进土壤肥沃,还是许多动物食物链中的重要环节。
一、蠕虫的分类与特征蠕虫在生命的长河中演化出多个不同的分类群,其中最著名的是环节动物门、线虫门和扁虫门。
这些蠕虫的身体形态和特征也各不相同。
环节动物门的蠕虫多数是多节体,其体表特征是由一系列相似的体节构成。
著名的代表有蚯蚓和海蛞蝓。
它们分别在陆地和水中生活,通过吞食土壤或腐败物质来获取养分。
蚯蚓的存在对于土壤的改良非常重要,它们通过排泄物和土壤混合物的运动,促进了土壤的通气和培肥。
线虫门中的蠕虫形态比较简单,身体呈长圆柱形,没有明显的节。
线虫门的蠕虫广泛分布于水中和土壤中,存在着丰富的生物多样性。
有些线虫能够寄生在人和动物体内,对健康构成威胁。
然而,大多数线虫对环境发挥着积极的作用,它们帮助自然界循环有机物,减少死物质的积累。
扁虫门的蠕虫体形扁平,呈带状或条状。
扁虫门的代表性物种有吸血鬼蛭,它们寄生在动物体内,以其血液为食。
这些蠕虫的寄生行为是具有侵略性的,为宿主带来很大困扰。
但是,也有一些扁虫能够以共生或兼性寄生的方式与其他生物共存。
二、蠕虫与生态系统蠕虫在生态系统中扮演着重要的角色,对维持生态平衡起着至关重要的作用。
首先,蠕虫对土壤肥沃具有重要影响。
蚯蚓通过吞食有机物质和土壤微生物,将营养物质分解并排泄在土壤中。
这些排泄物富含养分,能够促进土壤的肥沃,改善植物生长环境。
蠕虫运动的机械作用还可以改善土壤结构,增加土壤通气性和保水性。
其次,蠕虫在食物链中的角色十分重要。
蠕虫是许多生物的食物来源,比如鸟类、昆虫和哺乳动物等。
它们通过成为食物链中的环节,传递能量和养分给上层消费者,维持着生态系统的平衡。
同时,蠕虫还参与有机物的分解和循环。
蠕虫病毒原理
邮件蠕虫
主要是利用 MIME(Multipurpose Internet Mail Extension Protocol, 多用途的网际邮件扩 充协议)漏洞
MIME描述漏洞
蠕虫ห้องสมุดไป่ตู้漏洞
网页蠕虫(木马)
主要是利用IFrame漏洞和MIME漏洞 网页蠕虫可以分为两种
用一个IFrame插入一个Mail框架,同样利用MIME漏洞执行蠕虫, 这是直接沿用邮件蠕虫的方法 用IFrame漏洞和浏览器下载文件的漏洞来运作的,首先由一个包含 特殊代码的页面去下载放在另一个网站的病毒文件,然后运行它, 完成蠕虫传播
蠕虫与漏洞
网络蠕虫最大特点是 利用各种漏洞进行自 动传播 根据网络蠕虫所利用 漏洞的不同,又可以 将其细分
包含蠕虫 的邮件
非法的 MIME头部
解出的 蠕虫程序
Content-Type: audio/x-wav; name="worm.exe" Content-Transfer-Encoding: base64 TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/Awi T8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8i BXori keORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH 3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQ MHUwCD 感染机器 JP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9 RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAw
独立病毒分析的准备工作
蠕虫的行为特征描述和工作原理分析
蠕虫的行为特征描述和工作原理分析*郑辉** 李冠一 涂菶生 (南开大学 20-333# ,天津,300071)E-mail: zhenghui@/students/doctor/spark/zhenghui.htm摘要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机使用者的触发。
通过详细区分它们的不同行为特征,确定了在计算机网络安全防范体系中不同角色的责任。
然后描述了蠕虫发展的历史,从中可以看到,蠕虫产生了越来越大的危害。
通过分析计算机蠕虫的工作原理、功能结构、实体组成,提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防范的措施。
最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以看出对蠕虫攻击的防治和对抗将是长期而困难的工作。
关键词:蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模型一、 引言计算机病毒给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印象。
同时给人们一种误解,认为危害计算机的程序就是病毒。
从而不加区分把计算机病毒(Virus)、计算机蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等这些概念都称为计算机病毒。
这种误解不仅体现在媒体的宣传中,而且体现在病毒技术研究人员的文章[1][2]中,反病毒厂商对产品的介绍说明中,甚至政府部门制定的法律法规[3]当中。
这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。
另外,同一程序的不同分类也不利于对其性质的进一步研究和分析。
老冯头——蠕虫病毒恶意软件分析
蠕虫病毒—恶意软件分析姓名:冯鑫苑班级:计算机应用专业1021 学号:2010284112一、蠕虫病毒1.蠕虫(Worm)病毒定义:蠕虫病毒是一种常见的计算机病毒。
它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。
比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。
蠕虫程序主要利用系统漏洞进行传播。
它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。
因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。
蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。
虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。
蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。
2.蠕虫病毒入侵模式:蠕虫病毒由两部分组成:一个主程序和一个引导程序。
主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。
它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。
随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。
蠕虫病毒程序常驻于一台或多台机器中,并有自动重新定位。
(autoRelocation)的能力。
如果它检测到网络中的某台机器未被占用,它就把自身的一个拷贝(一个程序段)发送给那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器中,并且能识别它占用的哪台机器。
二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。
主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。
分析过程:clam av 引擎流程图:clam av没有明确的引擎代码部分,这里以scanmanager函数为开始只画出clamav 整个检测流程。
蠕虫
蠕虫的产生
1988年一个由美国CORNELL大学研究生莫里斯 编写的蠕虫病毒蔓延造成了数千台计算机停机, 蠕虫病毒开始现身网络。 因为在DOS环境下,病毒发作时会在屏幕上出现 一条类似虫子的东西,胡乱吞吃屏幕上的字母并 将其改形而被命名为蠕虫。 它其实是程序化的黑客或者自动化的黑客攻击程 序,它扫描网络,利用网络应用程序的漏洞劫持 网络应用程序,上传蠕虫的拷贝到目标计算机上, 然后疯狂复制再传播,感染其他计算机。
蠕虫的传播途径
Βιβλιοθήκη 蠕虫病毒常见的传播方式有2种: 1.利用系统漏洞传播——蠕虫病毒利用计算机系 统的设计缺陷,通过网络主动的将自己扩散出去。 例如红色代码”是利用了微软IIS服务器软件的漏 洞(idq.dll远程缓存区溢出)来传播,SQL蠕虫王 病毒则是利用了微软的数据库系统的一个漏洞进 行大肆攻击。 2.利用电子邮件传播——蠕虫病毒将自己隐藏在 电子邮件中,随电子邮件扩散到整个网络中,这 也是是个人计算机被感染的主要途径。
蠕虫与一般病毒的传播的异同
它们都会疯狂复制传播,但病毒主要是通过软盘 复制传播,而蠕虫通过网络传播,速度非常快。 病毒是需要的寄生的,它可以通过自己指令的执 行,将自己的指令代码写到其他程序的体内 。 而蠕虫是独立的程序体。 病毒的传染能力主要是针对计算机内的文件系统 而言,而蠕虫病毒的传染目标是互联网内的所有 计算机.局域网条件下的共享文件夹,电子邮件 email,网络中的恶意网页,大量存在着漏洞的 服务器等都成为蠕虫传播的良好途径。
4.当运行IE时,把安全级别由“中”改为“高” 。 因为这一类网页主要是含有恶意代码的ActiveX 或Applet、 JavaScript的网页文件 ,所以在IE设 置中将ActiveX插件和控件、Java脚本等全部禁 止,就可以大大减少被网页恶意代码感染的几率。 5.不随意查看陌生邮件,尤其是带有附件的邮件。 由于有的病毒邮件能够利用ie和outlook的漏洞自 动执行,所以计算机用户需要升级ie和outlook程 序,及常用的其他应用程序。随时给系统打补丁, 防止漏洞的产生。
网络蠕虫的工作原理及预警技术研究
网或者国际互联 网从一个节点传播到另 外一 个 节 点 ” 。该 定 义体 现 了新 一 代 网络 蠕 虫智能 化 、自动化 和高技 术 化 的特 征 。
网络蠕 虫的功能结构
边 界 路 由信 息 等等 ,这 些信 息 可 以单
独使 用或 被其 他个 体共 享 ;②扫 描探 测 模块 。完成对 特 定主 机 的脆 弱 性检 测 ,决 定 采 用何 种 的攻 击 渗透 方 式 ;
加 到其它程 序包括 操作 系统 上 ;它 不 能 独立运行 ,需要 由它 的宿 主程序运 行来激活它 ” 。而网络蠕虫强调 自身
的 主 动 性 和 独 立 性 。K eze Edr inl 和 l 从 e
蠕虫 是一 种智 能化 、自动化 ,综合 网
络 攻 击 、密码 学 和 计 算 机 病 毒技 术 , 无需计算机使用者干预即可运 行的攻击 程 序或 代码 ,它 会扫 描 和攻 击 网络上
维普资讯
—
—
2 2 I N T NF S CURI Yl 079 卜 — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — l O E T 2 0 — — — — — — —— — — — — — — — — — — — —— — — — — — — — — —— — — — — — — — — — 一 0
文件共 享蠕 虫和传统蠕 虫 。 It n t 《 ne e r 蠕虫研 究 》一文 中认 为蠕 虫具 有主动
攻击 、行 踪 隐 蔽 、利 用 漏 洞 、造 成
Js zr 等人提出了蠕 虫的一个 oe ai Na o
功 能结构 框 架 ,把蠕 虫 的功 能模块 分 为六个部分 :搜索模块( e n a s c R c ni a e o sn
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蠕虫的行为特征描述和工作原理分析*郑辉** 李冠一 涂菶生 (南开大学 20-333# ,天津,300071)E-mail: zhenghui@/students/doctor/spark/zhenghui.htm摘要:本文详细讨论了计算机蠕虫和计算机病毒的异同,指出它们除了在复制和传染方面具有相似性之外,还有很多不同点,如蠕虫主要以计算机为攻击目标,病毒主要以文件系统为攻击目标;蠕虫具有主动攻击特性,而病毒在传播时需要计算机使用者的触发。
通过详细区分它们的不同行为特征,确定了在计算机网络安全防范体系中不同角色的责任。
然后描述了蠕虫发展的历史,从中可以看到,蠕虫产生了越来越大的危害。
通过分析计算机蠕虫的工作原理、功能结构、实体组成,提出了蠕虫的统一功能结构模型,并给出了有针对性的对计算机蠕虫攻击进行防范的措施。
最后本文分析了一些新的蠕虫技术发展趋势,指出计算机蠕虫本质上是黑客入侵行为的自动化,更多的黑客技术将被用到蠕虫编写当中来,由此可以看出对蠕虫攻击的防治和对抗将是长期而困难的工作。
关键词:蠕虫,计算机病毒,计算机网络安全,蠕虫定义,蠕虫历史,行为特征,功能模型一、 引言计算机病毒给世界范围内的计算机系统带来了不可估量的危害,给人们留下了深刻的印象。
同时给人们一种误解,认为危害计算机的程序就是病毒。
从而不加区分把计算机病毒(Virus)、计算机蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等这些概念都称为计算机病毒。
这种误解不仅体现在媒体的宣传中,而且体现在病毒技术研究人员的文章[1][2]中,反病毒厂商对产品的介绍说明中,甚至政府部门制定的法律法规[3]当中。
这种相近概念上的误解导致不能有效的给出针对不同类型危害计算机安全的程序的有效防治措施,也为整体的计算机安全防护带来了一定困难。
另外,同一程序的不同分类也不利于对其性质的进一步研究和分析。
计算机病毒和计算机蠕虫在传播、复制等特性上非常相似,尤其容易造成人们的误解。
导致误解的原因有很多,一方面由于反病毒技术人员自身知识的限制,无法对这两种程序进行清楚细致的区分;另一方面虽然病毒的命名有一定的规范[4][5],但病毒编写者在为自己的程序起名字的时候并不一定遵循这个规范,利用网络功能如电子邮件进行传播的病毒常常被病毒编写者冠以蠕虫的名字,这也给人们带来一些误导。
为了照顾这种病毒的命名,曾有文献试图将蠕虫细分为活动蠕虫和邮件蠕虫[6]。
由于用计算机病毒这个称谓不能涵盖所有危害计算机的程序的特征,而且容易产生误导,所以有的文献采用了含义更广泛的称谓“恶意软件”(malware)[7]来统一称呼它们。
从蠕虫产生开始,十几年来,很多研究人员对蠕*高等学校博士点学科点专项科研基金资助课题(编号:2000005516)。
**作者简介:郑辉(1972~),男,吉林伊通人,博士研究生,主要研究领域为网络与信息安全。
李冠一(1978~),女,辽宁鞍山人,硕士研究生,主要研究领域为模式识别,计算机视觉与图像处理等。
涂奉生(1937~),江西南昌人,博士生导师,主要研究领域为CIMS, DEDS理论,制造系统及通讯理论。
虫和病毒这两个概念进行了区分[7~14],但描述基本都很粗略,而且不同研究人员给出的分类也不一致。
本文试图明确区分这两个概念。
通过对几种典型的蠕虫程序进行分析,本文讨论了蠕虫的主要行为特征。
文献[6][14]提出了蠕虫的功能结构描述,但由于对蠕虫和病毒两种程序的行为特征区分的不明确,这些功能模型结构不清晰,体系不完整。
本文在参考前人工作的基础上,提出了比较清晰全面的蠕虫程序的统一功能模型来完成对蠕虫程序的功能结构描述。
并进一步对蠕虫的实体结构进行了分析,依据功能结构描述和实体结构分析,给出了针对蠕虫防治的几点建议。
另外,本文也对蠕虫技术的未来发展趋势进行了描述。
二、 蠕虫的定义1、蠕虫的原始定义:蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域[15],并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已经初露端倪。
1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”(worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )[8]。
2、病毒的原始定义:人们在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒的技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。
”(a program that can 'infect' other programs by modifying them to include a possibly evolved copy of itself.)[9]。
1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。
“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。
它不能独立运行,需要由它的宿主程序运行来激活它。
”(virus is a piece of code that adds itself to other programs, including operating systems. it cannot run independently and it requires that its 'host' program be run to activate it. )[8]。
3、蠕虫、病毒之间的区别与联系:计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分病毒的技术,更加剧了这种情况。
但对计算机蠕虫和计算机病毒进行区分还是非常必要的,因为通过对它们之间的区别、不同功能特性的分析,可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。
本文给出了病毒和蠕虫的一些差别,如下表(表1):病毒蠕虫存在形式寄生独立个体复制机制插入到宿主程序(文件)中自身的拷贝传染机制宿主程序运行系统存在漏洞(vulnerability)搜索机制(传染目标)针对本地文件针对网络上的其它计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能计算机使用者角色病毒传播中的关键环节无关防治措施从宿主文件中摘除为系统打补丁(Patch)对抗主体计算机使用者、反病毒厂商系统提供商、网络管理人员表1. 病毒和蠕虫的一些差别4、蠕虫定义的进一步说明:在上面提到的蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。
而蠕虫主要利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。
可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒;目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。
通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。
而利用信件作为宿主的病毒同样不具备独立运行的能力。
不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。
通过简单的分析,可以得出结论,文献[1][2] [13]中提到的“Morris 蠕虫病毒”是蠕虫而非病毒;“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”是病毒而非蠕虫;“NAVIDAD网络蠕虫”、“Blebla.B网络蠕虫”、“VBS_KAKWORM.A蠕虫”是病毒而非蠕虫。
三、 蠕虫发展的历史1980年,Xerox PARC 的研究人员编写了最早的蠕虫[15],用来尝试进行分布式计算(Distributed Computation)。
整个程序由几个段(Segment)组成,这些段分布在网络中的不同计算机上,它们能够判断出计算机是否空闲,并向处于空闲状态的计算机迁移。
当某个段被破坏掉时,其它段能重新复制出这个段。
研究人员编写蠕虫的目的是为了辅助科学实验。
1988年11月2日,Morris 蠕虫[8][10][16~18]发作,几天之内6000台以上的Internet服务器被感染,损失超过一千万美元。
它造成的影响是如此之大,使它在后来的10几年里,被反病毒厂商作为经典病毒案例,虽然它是蠕虫而非病毒;1990年,Morris蠕虫的编写者Robert T. Morris被判有罪并处以3年缓刑、1万美元罚金和400小时的社区义务劳动。
Morris 蠕虫通过fingerd、sendmail、rexec/rsh三种系统服务中存在漏洞进行传播。
1989年10月16日,WANK蠕虫[34]被报告,它表现出来强烈的政治意味,自称是抗议核刽子手的蠕虫(worms against the nuclear killers),将被攻击的DEC VMS计算机的提示信息改为“表面上高喊和平,背地里却准备战争”(You talk of times of peace for all, and then prepare for war.)。