计算机网络蠕虫及蠕虫疫苗的研究进展和趋势

【摘 要】随着计算机用户的增加以及网络规模的不断扩大，蠕虫病毒的危害也日益严重，蠕虫爆发以后，网络管理人员始终处于被动地位，且长时间在网络内泛滥，无法得到有效的抑制。其危害的持久性和清除的复杂性严重的影响了人们的正常工作。它的危害越发的引起人们的关注。通过不断深入的分析研究，掌握蠕虫病毒特性，以及其感染传播的过程。并采用相应的防治方法。本文仅对防治方法中的蠕虫疫苗的研究和发展趋势进行了浅显的论述。

【关键字】计算机网络 蠕虫病毒 蠕虫疫苗 研究趋势

一、蠕虫病毒的定义

随着计算机的普及和广泛使用，计算机病毒对计算机的危害日益严重，尤其是现在网络的飞快发展，蠕虫病毒所引起的危害已经非常严重，从某种程度上来讲，其危害性已经超过了传统的计算机病毒。所谓的计算机病毒抽象的定义为：所有能够导致计算机发生故障，破坏计算机数据信息的一种程。因此蠕虫理所当然也是一种病毒。但是相对于一般的病毒，蠕虫病毒有很大的不同点。计算机蠕虫是自包含的程序（或是一套程序），它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中（通常是经过网络连接）。因为网络的快速发展，同时也为蠕虫的蔓延提供相应的条件，使蠕虫在短时间内造成网络瘫痪。

从使用者使用的情况来看，我们可将蠕虫病毒分为两种，一种是以“红色代码”，“尼姆达”，及最新的“sql蠕虫王”为代表，它们主要针对企业用户和局域网。这种病毒主要抓住系统漏洞进行主动攻击。能够在很短的时间内造成计算机网络的瘫痪；它的主要特征是主动攻击性强，且突发性也很强。但是这类病毒并不是很难查杀。另外一种以爱虫病毒，求职信病毒为例，其针对个人用户，主要通过电子邮件、恶意网页的形式进行传播的一种蠕虫病毒。它的主要特征是传播方式复杂化、多样化。小部分利益微软应用程序的漏洞进行破坏，更大部分的利用利用社会工程学对用户进行欺骗和诱使，这类病毒所造成的损失也不小。比如近期发现的“威金蠕虫病毒”及其变种，自我繁殖能力特别强，该病毒可以绕过一些系统还原软件，给用户清除带来了很大的麻烦。

二、蠕虫病毒的原理

（一）蠕虫病毒具有自我复制能力

通过一段普通的网页脚本代码来说明

<script language="javascript">

function copyToClipBoard（）{

var clipBoardContent=""；

clipBoardContent+=document.title；

clipBoardContent+=""；

clipBoardContent+=this.location.href；

window.clipboardData.setData（"Text"，clipBoardContent）；

alert（“复制成功，请粘贴到您的QQ/MSN上推荐给您的好友"）；

} </script>

document.body.oncopy = function （） { setTimeout（ function （） { var text = clipboardData.getData（"text"）； if （text） { text = text + "＼r＼n

这么简单的几句就实现了自我复制的功能，这说明蠕虫病毒具备很强的自我复制能力。

（二）蠕虫病毒的传播性很强

病毒具有传播性，电子邮件病毒的传播方式就是通过电子邮件进行病毒的传播。如下批处理代码：

@echo off

title 默认共享删除器

echo.

echo ----

echo.

echo 开始删除每个分区下的默认共享.

echo.

for %%a in （C D E F G H I J K L M N O P Q R S T U V W X Y Z） do @（if exist %%a：＼nul （net share %%a$ /delete>nul 2>nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在）

net share admin$ /delete>nul 2>nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在

echo.

echo ----

echo.

net stop Server>nul 2>nul && echo Server服务已停止.

net start Server>nul 2>nul && echo Server服务已启动.

echo.

echo ----

echo.

echo 修改注册表以更改系统默认设置.

echo.

echo 正在创建注册表文件.

echo Windows Registry Editor Version 5.00> c：＼delshare.reg

：： 通过注册表禁止Admin$共享，以防重启后再次加载

Echo [HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼lanmanserver＼parameters]>> c：＼delshare.reg

echo "AutoShareWks"=dword：00000000>> c：＼delshare.reg

echo "AutoShareServer"=dword：00000000>> c：＼delshare.reg

：： 删除IPC$共享，本功能需要administritor权限才能成功删除

echo [HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa]>> c：＼delshare.reg

echo "restrictanonymous"=dword：00000001>> c：＼delshare.reg

echo 正在导入注册表文件以更改系统默认设置.

regedit /s c：＼delshare.reg

del c：＼delshare.reg && echo 临时文件已经删除.

echo.

echo ----

echo.

echo 程序已经成功删除所有的默认共享.

echo.

echo 按任意键退出...

pause>nul。

这一小段代码的功能是将你的。Bat文件删除，蠕虫病毒就是通过这种方式来完成自己的传播。

（三）蠕虫病毒的破坏性和隐蔽性

蠕虫病毒具有很大的破坏性，而且随着技术的发展，其破坏威力越来越大，例如，近段时间的“熊猫烧香”，“威金”“移动虫”，“ANI蠕虫”等病毒都让我们切身体会到了蠕虫病毒对计算机网络的破坏。下面以批处理病毒为例来加以分析说明：

sub killc（）破坏硬盘的过程。

On Error Resume Next 容错语句，避免程序崩溃。

dim fs，auto，disc，ds，ss，i，x，dir Set fs = CreateObject （"Scripting.FileSystemObject"）

Set auto = fs.CreateTextFile（"c：＼Autoexec.bat"， True建立或修改自动批处理。

auto.WriteLine （"@echo off"）屏蔽掉删除的进程。

auto.WriteLine （"Smartdrv"）加载磁盘缓冲。

Set disc = fs.Drives 得到驱动器的集合。

For Each ds in disc If ds.DriveType = 2 Then 如果驱动器是本地盘，

ss = ss & ds.DriveLetter 就将符号连在一起。

End if Next ss=LCase（StrReverse（Trim（ss）得到符号串的反向小写形式。

For i=1 to Len （ss）遍历每个驱动器。

x=Mid（ss，i，1）读每个驱动器的符号。

auto.WriteLine （"format/autotest/q/u "&x&"："）反向（从Z：到A：）自动格式化驱动器。

next For i=1 to Len（ss）x=Mid（ss，i，1）auto.WriteLine（"deltree/y "&x&"："）怕Format失效用Deltree双保险。

next auto.Close关闭批处理文件。

set dir=fs.GetFile（"c：＼Autoexec.bat"）dir.attributes=dir.attributes+2 将自动批处理文件改为隐藏。

End sub

通过上述代码会在每个盘根目录下自动生成sxs.exe，autorun.inf文件，有的还在windows＼system32下生成SVOHOST.exe 或 sxs.exe ，这些文件属性为隐含属性，顽固性，不但会抢占内存，还会破坏后台数据库。

：：解决方法：建立批处理文件（内容）

可以看出蠕虫病毒的破坏性和隐蔽性。执行完程序后还将自己设置为隐藏属性。给蠕虫的查杀带来了很大的不便。

三、蠕虫病毒的发展趋势

（一）利用操作系统漏洞和程序缺陷进行攻击。“红色代码”主要利用微软IIS服务器软件的漏洞（idq.dll远程缓存区溢出）来传播。Sql蠕虫王病毒就是利用了微软的数据库系统的一个漏洞进行大肆攻击。

（二）传播方式的多样化。蠕虫病毒可以通过电子邮件，网络共享，WEB服务，移动存储设备以及假借VoIP服务程序来进行复制传播。

（三）编制蠕虫病毒的语言也是越来越高级，易于修改，蠕虫病毒的变种产生迅速。比如，“ANI蠕虫”在短短24小时内接连出现5个变种，在互联网上迅速扩散。瑞星反病毒专家介绍说，这些“ANI蠕虫”的变种同样利用上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞，至今微软尚未发布针对该漏洞的补丁。由于此病毒传染速度快、威胁较大，瑞星于上周末发出今年第一个“橙色安 全警报”（二级）。

（四）与病毒，木马程序相结合，全方位的破坏计算机系统，窃取用户私密信息。目前流行的蠕虫病毒，一旦感染计算机，则立刻后台执行远程木马下载程序，并自动安装，窃取用户帐号及密码。例如，“威金蠕虫变种LQ（Worm.Viking.lq）”病毒，该病毒运行后会自动释放名为“rundl132.exe”、“logo_1.exe”、“logo1_.exe”等的文件，并感染 Windows的可执行文件。它会查找局域网中的所有共享计算机，尝试猜解它们的密码，并试图感染这些计算机。威金蠕虫还会自动在后台下载并运行“西游木马”、“江湖木马”、“密西病毒”以及“魔兽木马”等，会窃取网络游戏玩家的账号和密码并发送给黑客。

四、蠕虫疫苗的研究进展和趋势

蠕虫疫苗就是为破坏蠕虫病毒在传播过程中的某个环节而在主机上建立的标记。这种标记可以使得计算机用户能够抵御大部分蠕虫病毒的攻击，或者是在感染后能够迅速的破坏蠕虫的传播过程中的某个环节，导致蠕虫病毒不在具有传播性，从而抑制了病毒在网络中的蔓延。

（一）基于系统漏洞研究的疫苗

由于很多蠕虫病毒的传播和感染要是利用系统的某个漏洞来进行，因此对于着重于系统漏洞研究而产生的疫苗，具有漏洞过滤器的功能，类似于基于网络的虚拟软件补丁，可以抵御下游的计算机发动的针对系统漏洞的攻击。

（二）基于标识的疫苗

通过对大量已知的蠕虫病毒的分析研究，掌握起传播和破坏的原理，攻击方法，制定相应的应对措施，对用户的计算机进行标识，当用户遭遇病毒时，对病毒特性进行比对后，立刻调用已经制定好的清除方法，进行蠕虫的查杀。

（三）基于检测协议运行异常的疫苗

此疫苗可以检测出异常运行的协议，和应用执行缺陷（比如缓冲区溢出）的异常，提前预警用户潜在的危险。

（四）基于流量异常检测的疫苗

安装此疫苗的用户，对用户的数据进行实时的监控，它可以从网络中安装的相应服务中学习到正常流量的模型，一旦流量的基线确定下来，就可以根据可调的阀值对用户主机接收到的异常流量进行统计并检测出异常的流量，从而抵御蠕虫病毒的攻击。

当然现有的疫苗也有很多不足，比如很多杀毒软件误认为疫苗是病毒，对疫苗进行杀毒操作，还有对可重复感染的蠕虫作用不大。用户虽然可以通过接种疫苗的方式防止蠕虫的攻击，但是最终还是要依靠系统补丁才能完善。

目前对于蠕虫疫苗的研究趋于智能化，不仅能根据目标主机的不同漏洞进行智能变换，预防或查杀多 种网络蠕虫。还要解决穿透防火墙通信问题，疫苗之间的互相预警，以此提高了疫苗的抵御能力和效率。

五、结论

网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒，必将对网络产生巨大的危险。要做好网络蠕虫病毒的预防工作不是单独的某一个体就能完成的，也不是杀毒厂商自己就能解决的，我们需要得到网络安全公司、系统厂商、病毒厂商及用户的积极投入和参与，才能更好的建立和完善一个更加强大更加有效的防范体系。

参考文献：

[1]蓝海.关于启发扫描的反病毒技术http： //bbs. net. tsinghua. edu. cn 2003-08-01

[2]杨大全，刘晨等.计算机网络.东北大学出版社，2004.2.（参编第二十一章：网络坏境卜的病毒防治）

[3]郑辉等.计算机网络.国防科技大学，2002年7