蠕虫病毒深度解析
怎么理解蠕虫病毒有哪些恶意行为
怎么理解蠕虫病毒有哪些恶意行为一些被窃的恶意程序,它们可以多方传播,以首次中毒的计算机为跳板,通过邮件,后门,漏洞等各种方式传播,这种恶意程序,我们可以称之为病毒,其中病毒种类也有很多,如木马,蠕虫等等,今天我们具体介绍蠕虫病毒,有兴趣的朋友们一起看看!什么是蠕虫?蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。
因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。
此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
而且它的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害远较普通病毒为大。
典型的蠕虫病毒有尼姆达、震荡波、熊猫烧香等。
蠕虫病毒恶意行为样本会在QQ群共享文件中上传诱导性的网站链接。
如果用户被其欺骗,则会点击进入蠕虫的诱导下载网站,此时不管用户点击什么位置,都会触发蠕虫的下载,得到一个压缩包。
虽然压缩包不大,仅有1、2M,但是会解压出一个100多M的巨大的可执行文件。
蠕虫病毒原理
蠕虫病毒原理
蠕虫病毒是一种网络安全威胁,利用计算机网络的漏洞和弱点,通过自我复制和传播的方式攻击其他主机。
蠕虫病毒的原理主要包括以下几个步骤:
1.潜入主机:蠕虫病毒首先通过漏洞或弱密码等方式成功潜入
一个主机。
一旦进入主机,它会尽可能隐藏自己以避免被发现。
2.自我复制:一旦成功潜入一个主机,蠕虫病毒会尝试自我复
制并传播到其他主机。
它会扫描网络上的其他计算机,并利用各种方式(如远程执行命令、文件传输协议等)将自身复制到目标主机上。
3.利用漏洞:蠕虫病毒利用已知的漏洞来传播自己。
它会扫描
目标计算机上的漏洞,并尝试使用这些漏洞入侵目标系统并复制自己。
这些漏洞可能存在于操作系统、应用程序或网络设备中。
4.创建后门:蠕虫病毒有时会在成功复制到目标主机后创建一
个后门,以便将来能够远程访问和控制被感染的主机。
这样,黑客可以利用这个后门,进一步滥用被感染主机的资源。
5.传播到其他网络:蠕虫病毒通过互联网或局域网传播,并试
图感染更多的主机。
它会扫描相邻的IP地址,尝试连接到其
他计算机,并重复上述的复制和传播过程。
蠕虫病毒的攻击行为通常是自动完成的,它可以在短时间内感
染大量主机,并对网络安全造成巨大的威胁。
为了保护计算机和网络免受蠕虫病毒的攻击,用户和管理员应该定期更新操作系统和应用程序,使用强密码,并安装防火墙和杀毒软件等安全工具来监测和阻止蠕虫病毒的传播。
详细的蠕虫病毒介绍
详细的蠕虫病毒介绍蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服务器遭到拒绝并发生死锁。
下面由店铺给你做出详细的蠕虫病毒介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!详细的蠕虫病毒介绍:“蠕虫”病毒由两部分组成:一个主程序和另一个是引导程序。
主程序一旦在计算机中得到建立,就可以去收集与当前机器联网的其他机器的信息,它能通过读取公共配置文件并检测当前机器的联网状态信息,尝试利用系统的缺陷在远程机器上建立引导程序。
就是这个一般被称作是引导程序或类似于“钓鱼”的小程序,把“蠕虫”病毒带入了它所感染的每一台机器中。
“蠕虫”病毒程序能够常驻于一台或多台机器中,并有自动重新定位(autorelocation)的能力。
假如它能够检测到网络中的某台机器没有被占用,它就把自身的一个拷贝(一个程序段)发送到那台机器。
每个程序段都能把自身的拷贝重新定位于另一台机器上,并且能够识别出它自己所占用的哪台机器。
计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源,然而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境。
在网络环境下,蠕虫病毒可以按指数增长模式进行传染。
蠕虫病毒侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。
因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重点。
在网络环境中,蠕虫病毒具有一些新的特性:(1)传染方式多蠕虫病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站。
但蠕虫病毒的传染方式比较复杂。
(2)传播速度快在单机上,病毒只能通过软盘从一台计算机传染到另一台计算机,而在网络中则可以通过网络通信机制,借助高速电缆进行迅速扩散。
由于蠕虫病毒在网络中传染速度非常快,使其扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫病毒在一瞬间传播到千里之外。
(3)清除难度大在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未能杀毒干净就可使整个网络重新全部被病毒感染,甚至刚刚完成杀毒工作的一台工作站马上就能被网上另一台工作站的带毒程序所传染,因此,仅对工作站进行病毒杀除不能彻底解决网络蠕虫病毒的问题。
解析计算机蠕虫病毒
色代码”是利用了微软IIS服务器软件的漏洞 (idq.dll
远程缓存区溢出) 来传播的;SQL蠕虫王病毒则是利 用了微软数据库系统的一个漏洞进行大肆攻击。
2) 传播方式多样。如“尼姆达”和“求职信”等病毒
,其可利用的传播途径包括文件、电子邮件、Web服
第7讲
病毒防范技术
2. 网络蠕虫病毒分析和防范
人用户而言,则主要是防范第二种缺陷。
第7讲
病毒防范技术
1) 企业防范蠕虫病毒的措施。
企业网络主要应用在文件和打印服务共享、办公自动 化系统、管理信息系统 (MIS) 、因特网应用等领域。 网络具有便利信息交换的特性,蠕虫病毒也可以充分 利用网络快速传播达到其阻塞网络的目的。企业在充
分利用网络进行业务处理时,就不得不考虑病毒防范
而被感染的文件就称为“宿主”。例如,当病毒 感染Windows可执行文件时,就在宿主程序中建 立一个新节,将病毒代码写到新节中,并修改程 序的入口点等,这样,宿主程序执行的时候就可
以先执行病毒程序,然后再把控制权交给原来的
宿主程序指令。可见,普通病毒主要是感染文件
第7讲
病毒防范技术
通过对蠕虫病毒的分析,可以知道蠕虫发作的一
信息安全技术
第7讲
病毒防范技术
7.1 病毒防范技术与杀病毒软件
7.2 解析计算机蠕虫病毒
第 7 -2讲
解析计算机蠕虫病毒
凡是能够引起计算机故障,破坏计算机数据的
程序我们都统称为计算机病毒。所以,从这个
意义上说,蠕虫也是一种病毒。但与传统的计
算机病毒不同,网络蠕虫病毒以计算机为载体 ,以网络为攻击对象,其破坏力和传染性不容 忽视。
3-4-1Red code 蠕虫病毒剖析
CodeRed并不将病毒信息写入被攻击服务器的硬盘。它只是驻留在被攻击服务器的内存
2001年6月18日 微软公司宣布在IIS网络服务器软件中发现一个漏洞, 而IIS软件是架设网站最基础的软件之一。 7月13日 一家名为“左岸系统”的公司称,几台服务器遭到一种新病毒 的入侵,利用的正是IIS服务器软件的这个缺陷。 7月16日 发现微软软件漏洞的软件公司程序员把一种饮料名称赋予了这个 病毒,称之为:红色代码(Code Red)。 7月18日午夜 红色代码大面积暴发,被攻击的电脑数量达到35.9万台。被攻 击的电脑中44%位于美国,11%在韩国,5%在中国,其余分散在 世界各地。
预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严
重危害。看来,蠕虫不再是黑暗中隐藏的“黑手”,而是己露出凶相的“狼 群”。
计算机病毒与防治课程小组
蠕虫病毒简介
什么是蠕虫呢?
1988年 Morris蠕虫爆发后,Eugene H. Spafford为了区分蠕虫和 传统病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行, 并能把自身的一个包含所有功能的版木传播到另外的计算机上。” 蠕虫显示出类似于计算机病毒的一些特征,它同样也具有四个阶段: 潜伏阶段 传染阶段 触发阶段 发作阶段
计算机病毒与防治课程小组
Co个名为“红色代码”的病毒开始疯狂攻击美国白宫网站,白 宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址, 才幸免于难。然而灾难并没有结束,这个蠕虫病毒已复制变成 10多万个,并且以每4.5小时400MB的速度大量发送垃圾信息。 7月19日 “红色代码”停止猛攻进入休眠期,不再进行大规模的活动。 7月20日 瑞星公司通过全球病毒监控网获得“红色代码”病毒样本。 7月31日 格林尼治时间午夜整点,“红色代码”将再度复活,在全球 大面积蔓延,由于某些受感染的网站上出现“中国黑客入侵” 的字样,国外媒体产生“病毒制造者是否来自中国”的猜测。
蠕虫病毒
分类
根据蠕虫病毒在计算机及络中传播方式的不同,人们大致将其分为五种。
1、电子邮件E-mail蠕虫病毒
通过电子邮件传播的蠕虫病毒,它以附件的形式或者是在信件中包含有被蠕虫所感染的站链接,当用户点击 阅读附件时蠕虫病毒被激活,或在用户点击那个被蠕虫所感染站链接时被激活感染蠕虫病毒。
2、即时通讯软件蠕虫病毒
第一步:用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。方法包括用扫描器扫描主机,探测主 机的操作系统类型、版本,主机名,用户名,开放的端口,开放的服务,开放的服务器软件版本等。当然是信息 搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的 信息进行分析,找到可以有效利用的信息。如果有现成的漏洞可以利用,上找到该漏洞的攻击方法,如果有攻击 代码就直接COPY下来,然后用该代码取得权限;如果没有现成的漏洞可以利用,就用根据搜集的信息试探猜测用 户密码,另一方面试探研究分析其使用的系统,争取分析出—个可利用的漏洞。
(三)、传播更快更广
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染络中 所有的服务器和客户端。蠕虫病毒可以通过络中的共享文件夹、电子邮件、恶意页以及存在着大量漏洞的服务器 等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此,蠕虫病毒的传播速度可以是传统病 毒的几百倍,甚至可以在几个小时内蔓延全球。
感谢观看
结构原理
结构
原理
蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。其中,扫描模块 负责探测存在漏洞的主机;攻击模块按漏洞攻击步骤自动攻击找到的对象;复制模块通过原主机和新主机交互将 蠕虫程序复制到新主机并启动。
关于计算机的病毒案例分析,实例解析蠕虫病毒的原理-电脑资料
关于计算机的病毒案例分析,实例解析蠕⾍病毒的原理-电脑资料如今对⼤家的电脑威胁最⼤的就属⽹络蠕⾍病毒了!⽹络蠕⾍病毒的危害之⼤简直令⼈吃惊,从⼤名⿍⿍的爱⾍到欢乐时光,再到红⾊代码,其破坏⼒越来越强,因此我们有必要了解⽹络蠕⾍病毒,蠕⾍病毒与⼀般的计算机病毒不同,它不采⽤将⾃⾝拷贝附加到其他程序中的⽅式来复制⾃⼰,所以在病毒中它也算是⼀个另类。
蠕⾍病毒的破坏性很强,部分蠕⾍病毒不仅可以在因特⽹上兴风作浪,局域⽹也成了它们施展⾝⼿的舞台?D?D蠕⾍病毒可以潜伏在基于客户机/服务机模式的局域⽹的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、⿁不觉地从服务机上拷贝到客户机上了。
其实脚本病毒是很容易制造的,它们都利⽤了视窗系统的开放性的特点。
特别是COM到COM+的组件编程思路,⼀个脚本程序能调⽤功能更⼤的组件来完成⾃⼰的功能。
以VB脚本病毒(如欢乐时光、ILoveYou、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本⽂件添在附件中,最后使⽤*.htm.vbs等欺骗性的⽂件名。
下⾯我们详细了解⼀下蠕⾍病毒的⼏⼤特性,从中找到对付蠕⾍病毒的⽅法。
⼀、蠕⾍病毒具有⾃我复制能⼒我们以普通的VB脚本为例来看看:SetobjFs=CreateObject(Scripting.FileSystemObject)'创建⼀个⽂件系统对象objFs.CreateTextFile(“C:\virus.txt”,1)'通过⽂件系统对象的⽅法创建了⼀个TXT⽂件。
如果我们把这两句话保存成为.vbs的VB脚本⽂件,点击就会在C盘中创建⼀个TXT⽂件了。
倘若我们把第⼆句改为:objFs.GetFile(WScript.ScriptFullName).Copy(“C:\virus.vbs”)⼆、蠕⾍病毒具有很强的传播性病毒需要传播,电⼦邮件病毒的传播⽆疑是通过电⼦邮件传播的。
蠕虫病毒解析
繁殖,繁殖,再繁殖,利用系统漏洞,通过网络感染感染其他计算机,繁殖,繁殖,再繁殖。
此类病毒深得“乾坤生两仪,两仪生四象,四象生八卦”之能,每台受感染的机器,本身又以病毒发送者的身份将蠕虫病毒送向四面八方。
蠕虫病毒描述:蠕虫病毒的本质特征之一就是透过网络主动进行感染,本身不具有太多破坏特性,以消耗系统带宽、内存、CPU为主。
这类病毒最大的破坏之处不是对终端用户造成的麻烦,而是对网络的中间设备无谓耗用。
例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了”——2003年1月的SQL蠕虫病毒爆发就是最好的例证。
蠕虫病毒浅析:在以前,编写蠕虫病毒的技术要求相当高。
1988年,前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后,编写了一个精巧的程序,短短时间便将当时的大半个互联网瘫痪。
由以上可以看出,蠕虫的出现,传播,感染是需要系统漏洞和获得系统权限的。
莫里斯不愧为技术高手,不光在于对病毒的编写,更在于对系统漏洞的发掘上。
随着时间的推移,操作系统的进步,在功能完善的同时,漏洞也随之增加。
不少真正的安全小组在发现漏洞的同时,除了会给出详细的技术说明外,往往附带一个小程序的源代码,说明利用漏洞获得权限的实现。
而这个小程序被蠕虫病毒编写者如获至宝,将起改写,加上文件传输,ping扫描,修改启动项自动执行等能用代码简单实现的功能,就成了一个蠕虫病毒——换句话说,现在编写蠕虫病毒的门槛已经大大降低了,所以大家会看到18岁的优秀病毒编写者云云——其实相较起破坏特性来,发现安全漏洞更是需要高超的技术水平——这是安全小组做到的,而不是病毒编写者。
因此可以这样概括:自从莫里斯发明出蠕虫病毒以来,该种病毒的编写者自身实力日渐下降,从操作系统级水平沦落到代码编写级水平,不可同日而语。
蠕虫病毒感染途径:系统漏洞/用户错误权限:蠕虫病毒本事是一个需要以一定身份执行的程序。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蠕虫病毒深度解析日期:2004-11-22 15:44 作者:天极网来源:天极网1.引言近年来,蠕虫、病毒的引发的安全事件此起彼伏,且有愈演愈烈之势。
从2001年爆发的CodeRed蠕虫、Nimda蠕虫,SQL杀手病毒(SQL SLAMMER蠕虫),到近日肆掠的“冲击波” 蠕虫病毒,无不有蠕虫的影子,并且开始与病毒相结合了。
蠕虫病毒通常会感染Windows 2000/ XP/Server 2003系统,如果不及时预防,它们就可能会在几天内快速传播、大规模感染网络,对网络安全造成严重危害。
看来,蠕虫病毒不再是黑暗中隐藏的"黑手",而是已露出凶相的"狼群"。
各类病毒各有特色,大有长江后浪推前浪之势:CodeRed蠕虫侵入系统后留下后门,Nimda一开始就结合了病毒技术,而SQL杀手病毒与“冲击波”病毒有着惊人的相似之处,此次病毒大规模爆发是从装有WINDOWS 2000以上操作系统的计算机,尤其是从网络服务器上向外扩散的,利用微软存在的系统漏洞,不同的是,SQL杀手病毒用“缓存区溢出”进行攻击,病毒传播路径都是内存到内存,不向硬盘上写任何文件。
“冲击波”病毒则会发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe。
由此可见,计算机蠕虫和计算机病毒联系越来越紧密,许多地方把它们混为一谈,然而,二者还是有很大不同的,因此,要真正地认识并对抗它们之前,很有必要对它们进行区分。
只有通过对它们之间的区别、不同功能特性的分析,才可以确定谁是对抗计算机蠕虫的主要因素、谁是对抗计算机病毒的主要因素;可以找出有针对性的有效对抗方案;同时也为对它们的进一步研究奠定初步的理论基础。
2.蠕虫原始定义蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。
他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已初露端倪。
1988年Morris 蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。
”(Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
3.病毒原始定义在探讨计算机病毒的定义时,常常追溯到David Gerrold在1972年的发表的科幻小说《When Harlie Was One》,但计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的,“计算机病毒是一种程序,它可以感染其它程序,感染的方式为在被感染程序中加入计算机病毒的一个副本,这个副本可能是在原病毒基础上演变过来的。
” (A program that can infect other programs by modifying them to include a possibly evolved copy of itself.)。
1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,将病毒的含义作了进一步的解释。
“计算机病毒是一段代码,能把自身加到其它程序包括操作系统上。
它不能独立运行,需要由它的宿主程序运行来激活它。
”(virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.)。
4.蠕虫/病毒计算机蠕虫和计算机病毒都具有传染性和复制功能,这两个主要特性上的一致,导致二者之间是非常难区分的,尤其是近年来,越来越多的病毒采取了部分蠕虫的技术,另一方面具有破坏性的蠕虫也采取了部分病毒的技术,更加剧了这种情况。
下表1给出了病毒和蠕虫的一些差别:/article_03090033a5.蠕虫完整定义上述蠕虫原始定义和病毒原始定义中,都忽略了相当重要的一个因素,就是计算机使用者,定义中都没有明确描述计算机使用者在其整个传染机制中所处的地位。
计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。
而蠕虫主要是利用计算机系统漏洞(vulnerability)进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染的过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。
另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病毒的重要因素。
可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。
目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感染Windows系统的网络邻居共享中的文件。
通过分析可以知道,Windows系统的网络邻居共享本质上是本地文件系统的一种扩展,对网络邻居共享文件的攻击不能等同与对计算机系统的攻击。
而利用信件作为宿主的病毒同样不具备独立运行的能力。
不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本特征。
通过以上的分析和比较,重新给出的Internet蠕虫完整定义为:“Internet蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
”通过简单的分析,可以得出结论,一些常见的以蠕虫为名的病毒,如“Happy99蠕虫病毒”、“Mellisa网络蠕虫宏病毒”、“Lover Letter网络蠕虫病毒”、“SirCam蠕虫病毒”,“NAVIDAD网络蠕虫”、“Blebla.B网络蠕虫”、“VBS_KAKWORM.A蠕虫”等等,都是病毒,而不是蠕虫。
6.蠕虫发展现状从1988年CERT(计算机紧急响应小组)由于Morris蠕虫事件成立以来,统计到的Internet安全威胁事件每年以指数增长。
这些安全威胁事件给Internet带来巨大的经济损失。
美国每年因为网络安全造成的经济损失超过170亿美元,使网络信息安全问题得到了世界各国的重视。
2001年美国投资20亿美元加强网络安全建设,同样其它各国也都投入了巨大的人力和物力。
在全球信息化浪潮的冲击下,我国信息化建设也已进入高速发展阶段,电子商务、电子政务、网络金融和网络媒体等蓬勃发展起来,这些与国民经济、社会稳定息息相关的领域急需信息安全的保障。
因此,解决我国的信息安全问题刻不容缓。
在Internet安全问题中,恶意软件(malware)造成的经济损失占有最大的比例。
恶意软件主要包括计算机病毒(Virus)、蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。
另外,许多人提出,要把恶意软件作为网络战的一种攻击手段,这时的网络安全问题已经上升到国家安全的高度了。
Internet蠕虫是目前危害最大的恶意软件,几乎每次蠕虫发作都会因其造成的巨大经济损失:1988年11月2日,Morris 蠕虫发作,几天之内6000台以上的Internet服务器被感染而瘫痪,损失超过一千万美元;2001年7月19日,CodeRed蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元;随后几个月内产生了威力更强的几个变种,其中CodeRed II造成的损失估计超过12亿美元;2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评估数据从5亿美元攀升到26亿美元后,继续攀升,到现在已无法估计。
自从它诞生以来到现在,无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜,它都榜上有名。
日前全球爆发的“冲击波” 蠕虫病毒及其变种,它们传播速度及危害之大是史无前例的,与以前的蠕虫病毒相比,“冲击波”的感染潜力大得多,由于全球微软操作系统这一漏洞影响的电脑数量庞大。
从因此,其危害很难在近期内统计出。
目前蠕虫爆发的频率越来越快,尤其是近两年来,越来越多的蠕虫出现,其传播速度成几何级增长,危害也大有过之而无不及。
7.蠕虫研究概况Internet蠕虫虽然早在1988年就显示出它巨大破坏力和危害性,但当时Internet没有普及,因而也没有引起人们更多的注意。
从1990年开始,对抗恶意软件破坏的主要内容锁定在个人电脑的防病毒上,而且这种状况一直延续到现在。
科研人员的主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。
虽然邮件病毒的出现,使人们认识到了Internet已经使病毒的性质发生了一些变化,需要调整研究方法和目标,但对于蠕虫的研究和防御到目前为止还比较少;近年来,新蠕虫层出不穷,危害越来越大,其造成的危害程度远远超过传统的病毒,由于对蠕虫研究的滞后,使人们在蠕虫面前手忙脚乱。
通过对蠕虫的研究,可以扩大反病毒技术涵盖的范围,推进反病毒技术的发展。
对蠕虫的实体特征、功能结构模型的研究,可以直接的转化应用到安全产品和反病毒产品中去,为减少恶意软件造成的经济损失提供相应的手段。
2001年CodeRed蠕虫爆发后,针对蠕虫的研究逐渐成为热点。
比较突出的有Nicholas Weaver,并预言了可以在半个小时之内感染整个Internet的蠕虫将要出现。
Slammer的出现证实了他的预言,但值得注意的是Slammer没有采用任何一种他提到的快速传播策略,而依然使用的是最原始的随机目标选择策略。
Cliff Changchun Zou以CodeRed蠕虫为例,讨论了基于微分方程描述的蠕虫传播模型,考虑了人为因素对蠕虫传播的影响,他的工作可以看作是SIR传播模型的一种扩展。
David Moore(CAIDA, the Cooperative Association for Internet Data Analysis)提出了衡量防治蠕虫的技术有效性的三个参数:响应时间、防治策略、布置策略,他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要求。
Dug Song等人对蠕虫引起的网络流量统计特征做了研究。
这些工作中,一个比较突出的问题是,缺少对蠕虫整体特征的系统性分析,基本上都是针对特定的蠕虫(如CodeRed蠕虫)进行研究讨论和建模。