蠕蟲病毒:計算機病毒-中文百科頻道

簡介

蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網絡連接)。請注意，與一般病毒不同，蠕蟲不需要将其自身附着到宿主程序，有兩種類型的蠕蟲：主機蠕蟲與網絡蠕蟲。主計算機蠕蟲完全包含在它們運行的計算機中，并且使用網絡的連接僅将自身拷貝到其他的計算機中，主計算機蠕蟲在将其自身的拷貝加入到另外的主機後，就會終止它自身(因此在任意給定的時刻，隻有一個蠕蟲的拷貝運行)，這種蠕蟲有時也叫"野兔"，蠕蟲病毒一般是通過1434端口漏洞傳播。

比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種，2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統的漏洞，計算機感染這一病毒後，會不斷自動撥号上網，并利用文件中的地址信息或者網絡共享進行傳播，最終破壞用戶的大部分重要數據。

形成原因

漏洞攻擊

利用操作系統和應用程序的漏洞主動進行攻擊此類病毒主要是“紅色代碼”和“尼姆亞”，以及依然肆虐的“求職信”等。由于IE浏覽器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，隻要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播，SQL蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊。

方式多樣

如“尼姆亞”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

技術新

與傳統的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以産生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術，可以潛伏在HTML頁面裡，在上網浏覽時觸發。

黑客技術

與黑客技術相結合，潛在的威脅和損失更大，以紅色代碼為例，感染後的機器的web目錄的scripts下将生成一個root.exe，可以遠程執行任何命令，從而使黑客能夠再次進入。蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，這裡的漏洞或者說是缺陷，可以分為兩種，即軟件上的缺陷和人為的缺陷。軟件上的缺陷，如遠程溢出、微軟IE和Outlook的自動執行漏洞等等，需要軟件廠商和用戶共同配合，不斷地升級軟件。而人為的缺陷，主要指的是計算機用戶的疏忽。這就是所謂的社會工程學（socialengineering），當收到一封郵件帶着病毒的求職信郵件時候，大多數人都會抱着好奇去點擊的。對于企業用戶來說，威脅主要集中在服務器和大型應用軟件的安全上，而對個人用戶而言，主要是防範第二種缺陷。

在以上分析的蠕蟲病毒中，隻對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用戶而言，是不會安裝IIS（微軟的因特網服務器程序，可以允許在網上提供web服務）或者是龐大的數據庫系統的。因此，上述病毒并不會直接攻擊個人用戶的電腦（當然能夠間接的通過網絡産生影響）。但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒。對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式，一般為電子郵件（Email）以及惡意網頁等等。對于利用電子郵件傳播的蠕蟲病毒來說，通常利用的是各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播。

惡意網頁确切地講是一段黑客破壞代碼程序，它内嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。這種病毒代碼鑲嵌技術的原理并不複雜，所以會被很多懷不良企圖者利用，在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇，并提供破壞程序代碼下載，從而造成了惡意網頁的大面積泛濫，也使越來越多的用戶遭受損失。對于惡意網頁，常常采取vbscript和javascript編程的形式，由于編程方式十分的簡單，所以在網上非常的流行。

Vbscript是由微軟操作系統的wsh（WindowsScriptingHostWindows腳本主機）解析并執行的，由于其編程非常簡單，所以此類腳本病毒在網上瘋狂傳播，瘋狂一時的愛蟲病毒就是一種vbs腳本病毒，然後僞裝成郵件附件誘惑用戶點擊運行。更為可怕的是，這樣的病毒是以源代碼的形式出現的，隻要懂得一點關于腳本編程的人就可以修改其代碼，形成各種各樣的變種。

QQ群蠕蟲病毒

是一種利用QQ群共享漏洞傳播流氓軟件和劫持IE主頁的惡意程序，QQ群用戶一旦感染了該蠕蟲病毒，便會向其他QQ群内上傳該病毒。2013年4月，“QQ群蠕蟲病毒”第三代變種僞裝成“刷鑽軟件”大量傳播，每天中毒的電腦達到2-3萬台，通過騰訊電腦管家、金山等安全廠商的聯合打擊，第三代QQ群蠕蟲基本已經在網絡上銷聲匿迹。騰訊電腦管家雲安全檢測中心發布消息，發現“QQ群蠕蟲病毒”第四代僞裝成“視頻偷窺軟件”正大肆傳播，某安全軟件以對此病毒發布橙色預警并進行查殺。

安全軟件專家介紹， “QQ群蠕蟲病毒”第四代多以“XX視頻助手.exe ”或 “XX視頻偷看神器.exe”為僞裝，由于文件名極具誘惑性，吸引了大量網民點擊。

如果網民信以為真，雙擊運行，蠕蟲病毒就會劫持網民的QQ，把推廣消息轉發到QQ群共享和空間說說，甚至發送病毒郵件給好友。該病毒的最終目的是在中毒電腦上安裝一大堆流氓軟件以牟取暴利。

“QQ群蠕蟲病毒”第四代利用大衆獵奇心理，将病毒程序改名為偷窺管家，以欺騙點擊。已知的病毒傳播渠道除了QQ群、電子郵件等常見載體外，還在視頻網站上也做了一系列的“教程”視頻以誘導網民強行下載使用。

比較異同

蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執行，将自己的指令代碼寫到其他程序的體内，而被感染的文件就被稱為”宿主”，例如，windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程序中，建立一個新節，将病毒代碼寫到新節中，修改的程序入口點等，這樣，宿主程序執行的時候，就可以先執行病毒程序，病毒程序運行完之後，在把控制權交給宿主原來的程序指令。

可見，病毒主要是感染文件，當然也還有像DIRII這種鍊接型病毒，還有引導區病毒。引導區病毒他是感染磁盤的引導區，如果是軟盤被感染，這張軟盤用在其他機器上後，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

随着網絡和病毒編寫技術的發展，綜合利用多種途徑的蠕蟲也越來越多，比如有的蠕蟲病毒就是通過電子郵件傳播，同時利用系統漏洞侵入用戶系統。還有的病毒會同時通過郵件、聊天軟件等多種渠道傳播。

熊貓燒香

病毒名稱：熊貓燒香

Worm.WhBoy.（金山稱），Worm.Nimaya. （瑞星稱）

病毒别名：尼姆亞，武漢男生，後又化身為“金豬報喜”，國外稱“熊貓燒香”

危險級别：★★★★★

病毒類型：蠕蟲病毒，能夠終止大量的反病毒軟件和防火牆軟件進程。

影響系統：Win 9x/ME、Win 2000/NT、Win XP、Win 2003 、Win Vista

發現時間：2006年10月16日

來源地：中國武漢東湖高新技術開發區關山

“熊貓燒香”還可以通過共享文件夾、系統弱口令等多種方式進行傳播。

金山分析：這是一個感染型的蠕蟲病毒，它能感染系統中exe,com,pif,src,html,asp等文件，它還能中止大量的反病毒軟件進程

1拷貝文件

病毒運行後，會把自己拷貝到

C:WINDOWSSystem32Driversspoclsv.exe

2添加注冊表自啟動

病毒會添加自啟動項

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

3病毒行為

a：每隔1秒

尋找桌面窗口，并關閉窗口标題中含有以下字符的程序

QQKav

QQAV

防火牆

進程

VirusScan

網镖

殺毒

毒霸

瑞星

江民

黃山IE

超級兔子

優化大師

木馬克星

木馬清道夫

QQ病毒

注冊表編輯器

系統配置實用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

綠鷹PC

密碼防盜

噬菌體

木馬輔助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

遊戲木馬檢測大師

msctls_statusbar32

pjf(ustc)

IceSword

并使用的鍵盤映射的方法關閉安全軟件IceSword

添加注冊表使自己自啟動

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

并中止系統中以下的進程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

點擊病毒作者指定的網頁，并用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

c：每隔10秒

下載病毒作者指定的文件，并用命令行檢查系統中是否存在共享

共享存在的話就運行net share命令關閉admin$共享

d：每隔6秒

删除安全軟件在注冊表中的鍵值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不顯示隐藏文件

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

CheckedValue -> 0x00

删除以下服務：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染文件

病毒會感染擴展名為exe,pif,com,src的文件，把自己附加到文件的頭部

并在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一網址，

用戶一但打開了該文件，IE就會不斷的在後台點擊寫入的網址，達到

增加點擊量的目的，但病毒不會感染以下文件夾名中的文件：

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g：删除文件

病毒會删除擴展名為gho的文件，該文件是一系統備份工具GHOST的備份文件

使用戶的系統備份文件丢失.

瑞星最新病毒分析報告：“Nimaya（熊貓燒香）”

這是一個傳染型的DownLoad 使用Delphi編寫

傳播途徑

蠕蟲一般不采取利用pe格式插入文件的方法，而是複制自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對計算機内的文件系統而言，而蠕蟲病毒的傳染目标是互聯網内的所有計算機.局域網條件下的共享文件夾，電子郵件email，網絡中的惡意網頁，大量存在着漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時内蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性将使得人們手足無策!本文中将蠕蟲病毒分為針對企業網絡和個人用戶2類，并從企業用戶和個人用戶兩個方面探讨蠕蟲病毒的特征和一些防範措施。

防止系統漏洞類蠕蟲病毒的侵害，最好的辦法是打好相應的系統補丁，可以應用瑞星殺毒軟件的“漏洞掃描”工具，這款工具可以引導用戶打好補丁并進行相應的安全設置，徹底杜絕病毒的感染。通過電子郵件傳播，是病毒作者青睐的方式之一，像“惡鷹”、“網絡天空”等都是危害巨大的郵件蠕蟲病毒。這樣的病毒往往會頻繁大量的出現變種，用戶中毒後往往會造成數據丢失、個人信息失竊、系統運行變慢等。

防範措施

蠕蟲病毒的一般防治方法是：使用具有實時監控功能的殺毒軟件，防範郵件蠕蟲的最好辦法，就是提高自己的安全意識，不要輕易打開帶有附件的電子郵件。另外，可以啟用瑞星殺毒軟件的“郵件發送監控”和“郵件接收監控”功能，也可以提高自己對病毒郵件的防護能力。

從2004年起，MSN 、QQ等聊天軟件開始成為蠕蟲病毒傳播的途徑之一。“性感烤雞”病毒就通過MSN軟件傳播，在很短時間内席卷全球，一度造成中國大陸地區部分網絡運行異常。

對于普通用戶來講，防範聊天蠕蟲的主要措施之一，就是提高安全防範意識，對于通過聊天軟件發送的任何文件，都要經過好友确認後再運行；不要随意點擊聊天軟件發送的網絡鍊接。

病毒并不是非常可怕的，網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防範此類病毒需要注意以下幾點：

1、選購合适的殺毒軟件。網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向内存實時監控和郵件實時監控發展！另外，面對防不勝防的網頁病毒，也使得用戶對殺毒軟件的要求越來越高！

2、經常升級病毒庫，殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度快、變種多，所以必須随時更新病毒庫，以便能夠查殺最新的病毒。3、提高防殺毒意識。不要輕易去點擊陌生的站點，有可能裡面就含有惡意代碼！

當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級别”，把安全級别由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件，所以在IE設置中将ActiveX插件和控件、Java腳本等全部禁止，就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”标簽，再點擊“自定義級别”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以後的網頁浏覽過程中有可能會使一些正常應用ActiveX的網站無法浏覽。

4、不随意查看陌生郵件，尤其是帶有附件的郵件。由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用戶需要升級ie和outlook程序，及常用的其他應用程序，最新蠕蟲病毒“蒙面客”被發現，可洩漏用戶隐私

造成損失

1988年一個由美國CORNELL大學研究生莫裡斯編寫的蠕蟲病毒蔓延造成了數千台計算機停機，蠕蟲病毒開始現身網絡;而後來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失；北京時間2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，緻使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名服務器（DNS）的癱瘓造成網民浏覽互聯網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在12億美元以上!

病毒名稱初始出現日期造成損失

莫裡斯蠕蟲1988年 6000多台計算機停機，直接經濟損失達9600萬美元！

美麗殺手1999年政府部門和一些大公司緊急關閉了網絡服務器，經濟損失超過12億美元！

愛蟲病毒2000年5月至今衆多用戶電腦被感染，損失超過100億美元以上

紅色代碼2001年7月網絡癱瘓，直接經濟損失很大

求職信2001年12月至今大量病毒郵件堵塞服務器，損失達數百億美元

Sql蠕蟲王2003年1月網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元

2号病毒2012年3月北京某公司内部網絡大面積癱瘓，公司緊急關閉網絡服務器，直接經濟損失無法估算，大量内部機密文件丢失外漏。