12.蠕虫病毒分析

一、背景介绍

蠕虫病毒是一种通过网络传播的恶意病毒，出现的时间晚于木马及宏病毒，但其传播速 度最快，传播范围最广。其传播主要体现在以下两个方面：

1.系统漏洞

2.电子邮件

二、蠕虫病毒的基本程序结构：主程序+引导程序

a) 传播模块：负责蠕虫的传播。

b) 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

c) 目的功能模块：实现对计算机的控制、监视或破坏等功能。

d) 传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。

三、蠕虫病毒的一般传播过程：

i. 扫描模块：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

ii. 攻击模块：攻击模块按扫描过程中找到的对象，取得该主机的权限，获得一个shell。

iii. 复制模块：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。.

四、蠕虫病毒的传播方式：

i. 利用系统漏洞

系统漏洞蠕虫一般具备一个小型的溢出系统，他随机产生IP并尝试溢出， 然后将自身复制过去。网络中的客户端感染这一类病毒后，会不断自动拨 号上网，并利用文件中的地址或者网络共享传播，从而导致网络服务遭到 拒绝并发生死锁，最终破坏数据。

i. MIME（多用途的网际邮件扩充协议）

它其实只是一小段用来描述信息类型的数据。浏览器通过读取它来得知接收到的数据该怎么处理，如果是文本和图片就显示出来，是程序就弹出下载确认，是音乐就直接播放。音乐文件和程序文件都是一样的二进制数据，都需要解码还原数据到系统临时目录里，然后浏览器通过一个简单的文件后缀名判断来决定该用哪种方法处理它。

i. 网页代码

IFrame是一段用于往网页里放入一个小页面的HTML语言，它用来实现“框架”结构。向一个页面里放多个IFrame时，框架里请求运行程序的代码就会被执行，由于IFrame的尺寸可以自由设置，因此破坏者可以在一个页面里放入多个“看不见”的框架，并附带多个“看不见”的有害程序，浏览了那个网页的人自然就成了受害者。网页传播也分为两种：

1.传统方式：

a) 用一个IFrame插入一个Mail框架，同意利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法；

b) 用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播。

2.脚本方式

i. 社会工程学：

认为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程需，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会抱着好奇去点击的。

 

五、蠕虫发作的一些特点和发展趋势

a) 较强的独立性

蠕虫病毒不需要宿主程序，它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。

b) 利用操作系统和应用程序的漏洞主动进行攻击。

c) 传播方式多样。

d) 病毒制作技术与传统的病毒不同的是：许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VB Scriop等新技术，可以潜伏在HTML页面里，在上网浏览时触发。

e) 与黑客技术相结合。

f) 更好的伪装和隐藏方式。