蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据和恶意篡改系统．影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

定义

蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫使用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及时控制越来越多的计算机。

特点

(一)、较强的独立性

计算机病毒一般都需要宿主程序，病毒将自己的代码写到宿主程序中，当该程序运行时先执行写入的病毒程序，从而造成感染和破坏。而蠕虫病毒不需要宿主程序，它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。

(二)、利用漏洞主动攻击

由于不受宿主程序的限制，蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。例如，“尼姆达”病毒利用了IE游览器的漏洞，使感染病毒的邮件附件在不被打开的情况下就能激活病毒；“红色代码”利用了微软IlSl服务器软件的漏洞(idq.dll远程缓存区溢出)来传播；而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。

(三)、传播更快更广

蠕虫病毒比传统病毒具有更大的传染性，它不仅仅感染本地计算机，而且会以本地计算机为基础，感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致。因此，蠕虫病毒的传播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓延全球。 

(四)、更好的伪装和隐藏方式

为了使蠕虫病毒在更大范围内传播，病毒的编制者非常注重病毒的隐藏方式。在通常情况下，我们在接收、查看电子邮件时，都采取双击打开邮件主题的方式来浏览邮件内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒感染。

(五)、技术更加先进

一些蠕虫病毒与网页的脚本相结合，利用VBScript，Java，ActiveX等技术隐藏在HTML页面里。当用户上网游览含有病毒代码的网页时，病毒会自动驻留内存并伺机触发。还有一些蠕虫病毒与后门程序或木马程序相结合，比较典型的是“红色代码病毒”，病毒的传播者可以通过这个程序远程控制该计算机。这类与黑客技术相结合的蠕虫病毒具有更大的潜在威胁。

(六)、使追踪变得更困难

当蠕虫病毒感染了大部分系统之后，攻击者便能发动多种其他攻击方式对付一个目标站点，并通过蠕虫网络隐藏攻击者的位置，这样要抓住攻击者会非常困难。

结构原理

结构

蠕虫病毒的程序结构通常包括三个模块：

(1)传播模块：负责蠕虫的传播，它可以分为扫描模块、攻击模块和复制模块三个子模块。其中，扫描模块负责探测存在漏洞的主机；攻击模块按漏洞攻击步骤自动攻击找到的对象；复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动。 [3] 

(2)隐藏模块：侵入主机后，负责隐藏蠕虫程序。 

(3)目的功能模块：实现对计算机的控制、监视或破坏等。

原理

根据蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述流程。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。

分类

根据蠕虫病毒在计算机及网络中传播方式的不同，人们大致将其分为五种。

1、电子邮件E-mail蠕虫病毒

通过电子邮件传播的蠕虫病毒，它以附件的形式或者是在信件中包含有被蠕虫所感染的网站链接地址，当用户点击阅读附件时蠕虫病毒被激活，或在用户点击那个被蠕虫所感染网站链接时被激活感染蠕虫病毒。

2、即时通讯软件蠕虫病毒

即时通讯软件蠕虫病毒是指利用即时通讯软件，如QQ、MSN等通过对话窗日向在线好友发送欺骗性的信息，该信息一般会包含一个超链接。因为是在接受窗口中，可以直接点击链接并启动IElE就会和这个服务器连接，下载链接病毒页面。这个病毒页面中含有恶意代码，会把蠕虫下载本机并运行。这样就完成了一次传播。然后再以该机器为基点，向本机所能发现的好友发送同样的欺骗性消息，继续传播蠕虫病毒。 [4] 

3、P2P蠕虫病毒

P2P蠕虫是利用P2P应用协议和程序的特点、有漏洞的应用程序存在于P2P网络中进行传播的蠕虫病毒。人们根据它发现目标和激活的方式，将P2P蠕虫分为：伪装型、沉默型和主动型三种。

4、漏洞传播的蠕虫病毒

漏洞传播的蠕虫病毒就是基于漏洞来进行传播的蠕虫病毒，一般分为两类：基于Windows共享网络和UNIX网络文件系统(NFS)的蠕虫；利用攻击操作系统或者网络服务的漏洞来进行传播的蠕虫。

5、搜索引擎传播的蠕虫病毒

基于搜索引擎传播的蠕虫病毒，通常其自身携带一个与漏洞相关的关键字列表，通过利用此列表在搜索引擎上搜索，当在搜索结果中找到了存在漏洞的主机，来进行攻击。其特点是流量小，目标准确，隐蔽性强，传播速度快，在整个传播过程中，它和正常的搜索请求一样。所以能够容易的混入正常的流量，而很难被发现。

传播和入侵

传播过程

1、扫描

由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

2、攻击

攻击模块按漏洞攻击步骤自动攻击步骤l中找到的对象，取得该主机的权限(一般为管理员权限)，获得一个shell。

3、复制

复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。可以看到，传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术。

传播途径

1、利用漏洞

这种方式是网络蠕虫最主要的破坏方式，也是网络蠕虫的一个最显著的特点。网络蠕虫攻击时，首先探测目标计算机存在的漏洞，然后根据探测到的漏洞建立传播路径，最后实施攻击。

2、依赖Email传播

以电子邮件附件的形式进行传播是网络蠕虫采用的主要传播方式，蠕虫编写者通过向用户发送电子邮件，用户在点击电子邮件附件时，网络蠕虫就会感染此计算机。 

3、依赖网络共享

网络共享是网络蠕虫传播的重要途径之一，网络蠕虫利用共享网络资源进行传播。

4、弱密码攻击

若用户的密码很容易猜测，网络蠕虫则会在攻克了用户密码后进入计算机并获得其控制权。所以用户应该设置复杂的密码，增加破解难度。

入侵过程

第一步：用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。方法包括用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。当然是信息搜集的越全越好。搜集完信息后进入第二步。

第二步：针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有效利用的信息。如果有现成的漏洞可以利用，上网找到该漏洞的攻击方法，如果有攻击代码就直接COPY下来，然后用该代码取得权限；如果没有现成的漏洞可以利用，就用根据搜集的信息试探猜测用户密码，另一方面试探研究分析其使用的系统，争取分析出—个可利用的漏洞。

第三步：利用获得的权限在主机上安装后门、跳板、控制端、监视器等等，清除日志。有了主机的权限，就可以进入计算机系统完成想完成的任务了。

检测技术

1、基于特征的检测技术

这是目前检测蠕虫最普遍的技术，主要源于模式匹配的思想。扫描程序工作之前，先要建立蠕虫的特征文件，根据保存在特征文件中的特征串，在扫描文件中进行匹配查找。如该数据包不符合特征串，则不干预该数据包；如该数据包符合特征串，则截断该数据包。用户通过更新特征文件更新扫描软件，从而能够实现扫描新出现的蠕虫的目的。但这种方法的缺陷就是只能够查找已知的蠕虫，而对于未知蠕虫无法做到有效的防御。 

2、基于语义的分析技术

基于特征的检测技术对于未知的蠕虫没有防御能力，为了克服这个缺点，通过对蠕虫进行语义研究，从而发现代码中是否含有破坏性成分的方法应运而生。具体方法是通过收集计算机和网络活动的数据以及它们之间的连接等信息来检测蠕虫。目前著名的基于GrIDS的网络蠕虫检测技术就属于这一类。它收集计算机和网络活动的数据以及它们之间的连接。根据这些信息构建网络活动行为来表征网络活动结构上的因果关系。它通过建立和分析节点间的行为图，与预定义的行为模式图进行匹配，检测网络蠕虫是否存在。该技术不仅能够检测已有的网络蠕虫，也能够检测大部分未知蠕虫，并且能够检测分布式网络蠕虫。然而GrIDS只作简单的基于事件的关联分析，没有对网络中传输的包信息基于上下文的相关性分析，没有对TCP连接中的目标地址和目标服务进行分析。由中科院卿斯汉提出的基于网状关联分析的蠕虫检测方法在GrIDS的基础上加以改进。它采用分布式体系结构，充分利用网络环境中各探测电提供的信息和数据，通过对网络数据的传输行为的数据挖掘和异常检测来进行信息流的源节点与目标节点的关联分析。 

3、防火墙及路由控制

合理配置防火墙，禁止除需要的服务端口外的其它所有端口。由于蠕虫要通过网络感染系统，向开放的端口发送攻击代码是必不可少的一个步骤，禁止端口可以切断蠕虫的发动攻击的通道。同时，对于己经被感染的系统，防火墙也可以使它不能够再对网络中的其它计算机发动攻击。通过配置路由器，可以屏蔽和过滤含有某个蠕虫特征的报文，达到封堵的效果。

防范措施

病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！ 

2、经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。

3、提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止，就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

4、不随意查看陌生邮件，尤其是带有附件的邮件。由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序。最新蠕虫病毒“蒙面客”被发现，可泄漏用户隐私。