電腦病毒蟲介紹

　　比如近幾年危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種，2007年1月流行的“熊貓燒香”以及其變種也是蠕蟲病毒。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)撥號(hào)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。所以今天學(xué)習(xí)啦小編就跟大家介紹下電腦病毒蟲有哪些。

　　電腦病毒蟲：蠕蟲病毒

　　蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。最初的蠕蟲病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時(shí)會(huì)在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身的某些部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。

　　蠕蟲病毒是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。請(qǐng)注意，與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序，有兩種類型的蠕蟲：主機(jī)蠕蟲與網(wǎng)絡(luò)蠕蟲。主計(jì)算機(jī)蠕蟲完全包含在它們運(yùn)行的計(jì)算機(jī)中，并且使用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中，主計(jì)算機(jī)蠕蟲在將其自身的拷貝加入到另外的主機(jī)后，就會(huì)終止它自身(因此在任意給定的時(shí)刻，只有一個(gè)蠕蟲的拷貝運(yùn)行)，這種蠕蟲有時(shí)也叫"野兔"，蠕蟲病毒一般是通過1434端口漏洞傳播。

　　在QQ群下載的分享文件打開后會(huì)跳轉(zhuǎn)到色情網(wǎng)站。這是流行的QQ群蠕蟲病毒，不僅會(huì)感染PC，安卓手機(jī)甚至未越獄的iPhone和iPad也無(wú)法幸免。

　　形成原因

　　漏洞攻擊

　　利用操作系統(tǒng)和應(yīng)用程序的漏洞主動(dòng)進(jìn)行攻擊

　　此類病毒主要是“紅色代碼”和“尼姆亞”，以及依然肆虐的“求職信”等。由于IE瀏覽器的漏洞(IFRAMEEXECCOMMAND)，使得感染了“尼姆亞”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認(rèn)為，帶有病毒附件的郵件，只要不去打開附件，病毒不會(huì)有危害。“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠(yuǎn)程緩存區(qū)溢出)來(lái)傳播，SQL蠕蟲王病毒則是利用了微軟的數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)漏洞進(jìn)行大肆攻擊。

　　方式多樣

　　如“尼姆亞”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等等。

　　新技術(shù)

　　與傳統(tǒng)的病毒不同的是，許多新病毒是利用當(dāng)前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在HTML頁(yè)面里，在上網(wǎng)瀏覽時(shí)觸發(fā)。

　　惡意行為與查殺

　　惡意行為

　　樣本會(huì)在QQ群共享文件中上傳誘導(dǎo)性的網(wǎng)站鏈接。如果用戶被其欺騙，則會(huì)點(diǎn)擊進(jìn)入蠕蟲的誘導(dǎo)下載網(wǎng)站，此時(shí)不管用戶點(diǎn)擊什么位置，都會(huì)觸發(fā)蠕蟲的下載，得到一個(gè)壓縮包。雖然壓縮包不大，僅有1、2M，但是會(huì)解壓出一個(gè)100多M的巨大的可執(zhí)行文件。在QQ群下載的分享文件打開后會(huì)跳轉(zhuǎn)到色情網(wǎng)站。不僅會(huì)感染PC，安卓手機(jī)甚至未越獄的iPhone和iPad也無(wú)法幸免[3] 。

　　安全專家分析后發(fā)現(xiàn)，在PC端，該蠕蟲病毒會(huì)下載大量流氓軟件，試圖欺騙網(wǎng)友安裝;而在Android手機(jī)上則會(huì)彈出全屏廣告，并在后臺(tái)偷偷下載色情應(yīng)用，嚴(yán)重影響手機(jī)的正常使用;一向“百毒不侵”的iOS也未能幸免，同樣會(huì)出現(xiàn)全屏廣告，誘導(dǎo)用戶下載應(yīng)用。

　　這是因?yàn)槿湎x會(huì)在自身中填充大量的無(wú)用數(shù)據(jù)，用于改變自己的指紋，從而對(duì)抗殺毒軟件的云查殺策略。

　　解壓出來(lái)的可執(zhí)行文件擁有一個(gè)誘惑的名稱，并且為了迷惑用戶，還會(huì)使用一些安全軟件常見的信息和數(shù)字簽名來(lái)偽裝自己。

　　當(dāng)蠕蟲運(yùn)行起來(lái)之后，會(huì)使用特殊技術(shù)手段，嘗試獲取臨時(shí)的QQ權(quán)限。值得一提的是，雖然QQ已經(jīng)采用了很多方式來(lái)對(duì)抗這種非法的訪問請(qǐng)求，還給網(wǎng)頁(yè)加上了驗(yàn)證碼等限制，但是此蠕蟲會(huì)利用打碼組件自動(dòng)識(shí)別驗(yàn)證碼，在用戶還未察覺的情況下繞過這些限制。

　　當(dāng)蠕蟲拿到臨時(shí)QQ權(quán)限之后，會(huì)主動(dòng)上傳色情鏈接文件到用戶QQ群共享空間，等到群里的其他用戶成員看到之后點(diǎn)擊進(jìn)入蠕蟲誘導(dǎo)下載網(wǎng)站，完成下一次的傳播，從而使越來(lái)越多的用戶中毒。

　　背景信息

　　計(jì)算機(jī)蠕蟲(Worm)與病毒、木馬等類似，都是在用戶不知情的情況下，偷偷執(zhí)行預(yù)期外的惡意行為，以達(dá)到破壞電腦環(huán)境、竊取用戶信息或傳播自身等操作[1] 。

　　從傳播方式上來(lái)說(shuō)，病毒和木馬需要破壞者進(jìn)行主動(dòng)的傳播;感染型病毒可以搜索并感染同一臺(tái)電腦上能夠訪問到的其它文件。與它們不同的是，蠕蟲的主要行為是努力通過各種途徑將自身或變種傳播到其它電腦終端上，因此可能造成更廣泛的危害。

　　蠕蟲的傳播方式有：通過操作系統(tǒng)漏洞傳播、通過電子郵件傳播、通過網(wǎng)絡(luò)攻擊傳播、通過移動(dòng)設(shè)備進(jìn)行傳播、通過即時(shí)通訊等社交網(wǎng)絡(luò)傳播。

　　除此之外，蠕蟲通常還會(huì)在傳播的同時(shí)執(zhí)行一些其它的惡意行為，以達(dá)到自己的目的。

　　查殺

　　哈勃文件分析系統(tǒng)能夠?qū)υ擃悩颖具M(jìn)行安全警示。

　　騰訊電腦管家能對(duì)該類樣本準(zhǔn)確識(shí)別和查殺

　　黑客技術(shù)

　　與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大

　　以紅色代碼為例，感染后的機(jī)器的web目錄的\scripts下將生成一個(gè)root.exe，可以遠(yuǎn)程執(zhí)行任何命令，從而使黑客能夠再次進(jìn)入。蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說(shuō)是缺陷，可以分為兩種，即軟件上的缺陷和人為的缺陷。軟件上的缺陷，如遠(yuǎn)程溢出、微軟IE和Outlook的自動(dòng)執(zhí)行漏洞等等，需要軟件廠商和用戶共同配合，不斷地升級(jí)軟件。而人為

　　的缺陷，主要指的是計(jì)算機(jī)用戶的疏忽。這就是所謂的社會(huì)工程學(xué)(socialengineering)，當(dāng)收到一封郵件帶著病毒的求職信郵件時(shí)候，大多數(shù)人都會(huì)抱著好奇去點(diǎn)擊的。對(duì)于企業(yè)用戶來(lái)說(shuō)，威脅主要集中在服務(wù)器和大型應(yīng)用軟件的安全上，而對(duì)個(gè)人用戶而言，主要是防范第二種缺陷。

　　在以上分析的蠕蟲病毒中，只對(duì)安裝了特定的微軟組件的系統(tǒng)進(jìn)行攻擊，而對(duì)廣大個(gè)人用戶而言，是不會(huì)安裝IIS(微軟的因特網(wǎng)服務(wù)器程序，可以允許在網(wǎng)上提供web服務(wù))或者是龐大的數(shù)據(jù)庫(kù)系統(tǒng)的。因此，上述病毒并不會(huì)直接攻擊個(gè)人用戶的電腦(當(dāng)然能夠間接的通過網(wǎng)絡(luò)產(chǎn)生影響)。但接下來(lái)分析的蠕蟲病毒，則是對(duì)個(gè)人用戶威脅最大，同時(shí)也是最難以根除，造成的損失也更大的一類蠕蟲病毒。對(duì)于個(gè)人用戶而言，威脅大的蠕蟲病毒采取的傳播方式，一般為電子郵件(Email)以及惡意網(wǎng)頁(yè)等等。

　　對(duì)于利用電子郵件傳播的蠕蟲病毒來(lái)說(shuō)，通常利用的是各種各樣的欺騙手段誘惑用戶點(diǎn)擊的方式進(jìn)行傳播。惡意網(wǎng)頁(yè)確切地講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁(yè)中，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁(yè)時(shí)，病毒就會(huì)發(fā)作。這種病毒代碼鑲嵌技術(shù)的原理并不復(fù)雜，所以會(huì)被很多懷不良企圖者利用，在很多黑客網(wǎng)站竟然出現(xiàn)了關(guān)于用網(wǎng)頁(yè)進(jìn)行破壞的技術(shù)的論壇，并提供破壞程序代碼下載，從而造成了惡意網(wǎng)頁(yè)的大面積泛濫，也使越來(lái)越多的用戶遭受損失。對(duì)于惡意網(wǎng)頁(yè)，常常采取vbscript和javascript編程的形式，由于編程方式十分的簡(jiǎn)單，所以在網(wǎng)上非常的流行。

　　Vbscript是由微軟操作系統(tǒng)的wsh(WindowsScriptingHostWindows腳本主機(jī))解析并執(zhí)行的，由于其編程非常簡(jiǎn)單，所以此類腳本病毒在網(wǎng)上瘋狂傳播，瘋狂一時(shí)的愛蟲病毒就是一種vbs腳本病毒，然后偽裝成郵件附件誘惑用戶點(diǎn)擊運(yùn)行。更為可怕的是，這樣的病毒是以源代碼的形式出現(xiàn)的，只要懂得一點(diǎn)關(guān)于腳本編程的人就可以修改其代碼，形成各種各樣的變種。

　　電腦病毒蟲：愛蟲病毒

　　2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個(gè)病毒是通過Microsoft Outlook電子郵件系統(tǒng)傳播的，郵件的主題為“I LOVE YOU”，并包含一個(gè)附件。一旦在Microsoft Outlook里打開這個(gè)郵件，系統(tǒng)就會(huì)自動(dòng)復(fù)制并向地址簿中的所有郵件電址發(fā)送這個(gè)病毒。 “我愛你”病毒，又稱“愛蟲”病毒，是一種蠕蟲病毒，它與1999年的梅麗莎病毒非常相似。據(jù)稱，這個(gè)病毒可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。用戶機(jī)器染毒以后，郵件系統(tǒng)將會(huì)變慢，并可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰。

　　背景資料

　　由于是通過電子郵件系統(tǒng)傳播，“我愛你”病毒在很短的時(shí)間內(nèi)就襲擊了全球無(wú)以數(shù)計(jì)的電腦，并且，從被感染的電腦系統(tǒng)來(lái)看，“愛蟲”病毒的襲擊對(duì)象并不是普通的計(jì)算機(jī)用戶，而是那些具有高價(jià)值IT資源的電腦系統(tǒng)：美國(guó)國(guó)防部的多個(gè)安全部門、中央情報(bào)局、英國(guó)國(guó)會(huì)等政府機(jī)構(gòu)及多個(gè)跨國(guó)公司的電子郵件系統(tǒng)遭到襲擊。

　　據(jù)稱：“愛蟲”病毒是迄今為止發(fā)現(xiàn)的傳染速度最快而且傳染面積最廣的計(jì)算機(jī)病毒，它已對(duì)全球包括股票經(jīng)紀(jì)、食品、媒體、汽車和技術(shù)公司以及大學(xué)甚至醫(yī)院在內(nèi)的眾多機(jī)構(gòu)造成了負(fù)面影響。目前，“愛蟲”仍在迅速擴(kuò)散之中，其危害性將繼續(xù)擴(kuò)大。

　　變種

　　在瘋狂的“愛蟲”病毒被發(fā)現(xiàn)當(dāng)天不久，冠群金辰的全球病毒監(jiān)測(cè)網(wǎng)發(fā)現(xiàn)，該病毒為了誘惑更多的網(wǎng)絡(luò)用戶上當(dāng)，現(xiàn)又生成另外一種變型病毒，帶有這種病毒的電子郵件主題詞中往往帶有“笑話”一詞，以引誘用戶打開郵件。預(yù)計(jì)，在未來(lái)幾天之內(nèi)“我愛你”病毒還會(huì)生成更多種類的變型病毒。

　　此次被冠群金辰公司發(fā)現(xiàn)的這種新變型除了在電子郵件的主題詞中寫有“笑話”一詞以外，其附件中還帶有一個(gè)名為“特別可笑”的文件夾。為此，冠群金辰特提醒廣大網(wǎng)絡(luò)用戶千萬(wàn)不要打開任何帶有上述標(biāo)志的電子郵件并應(yīng)立即將之刪除。同時(shí)，冠群金辰提醒計(jì)算機(jī)用戶要及時(shí)升級(jí)KILL反病毒軟件，因?yàn)镵ILL最新病毒庫(kù)版本已可查殺此病毒。

　　細(xì)節(jié)分析

　　VBS/LoveLetter.A蠕蟲

　　VBS/LoveLetter.A 蠕蟲的特征

　　VBS/LoveLetter.A 是一個(gè)基于 e-mail 的VBS(Visual Basic Script)蠕蟲，它以一個(gè)電子郵件的附件到達(dá)您的郵箱，郵件的主題是 ILOVEYOU(全大寫，無(wú)空格)。

　　e-mail 的正文：

　　請(qǐng)盡快查收來(lái)自我的郵件附件的LOVELETTER。

　　e-mail 帶有名為 LOVE-LETTER-FOR-YOU.TXT.vbs 的附件。.VBS擴(kuò)展名是否顯示，依賴于系統(tǒng)的設(shè)置。

　　如果您收到了一封與以上所述相符的e-mail，您不要打開郵件的附件，并立即刪除e-mail。

　　LoveLetter蠕蟲通過產(chǎn)生如上所述的e-mail 傳播，蠕蟲自身作為郵件的附件，且發(fā)送給在Outlook 通訊簿中的所有收件人。在大的機(jī)構(gòu)中，產(chǎn)生的大量e-mail 可能會(huì)使電子郵件服務(wù)器超載，處于癱瘓狀態(tài)。

　　LoveLetter蠕蟲傳播的目標(biāo)是Windows 98, 缺省安裝的Windows 2000 和Windows NT 4.0以及安裝了Windows Scripting Host(WSH)引擎的Windows 95系統(tǒng)。蠕蟲使用不同的名字將自身復(fù)制到多重子目錄中：

　　在Windows目錄中的文件名是Win32DLL.vbs，在\Windows\system目錄中的文件名為MSKernel32.vbs 和 LOVE-LETTER-FOR-YOU.TXT.vbs。

　　LoveLetter蠕蟲修改注冊(cè)表信息，以便它在下次啟動(dòng)時(shí)能運(yùn)行：

　　HKElkjhflkafkljhsajdkhfkajshfklafhlkajfhs

　　C:\WINDOWS\SYSTEM\MSKernel32.vbs

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win

　　32DLL=C:\WINDOWS\Win32DLL.vbs

　　蠕蟲還設(shè)置缺省的IE(Internet Explorer)主頁(yè)，下載WIN_BUGFIX.exe 文件的一個(gè)副本，該文件看起來(lái)是一個(gè)“后門服務(wù)器”(backdoor server)。該文件在Web上真實(shí)的位置目前是關(guān)閉的。　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinFAT32=C:\WINDOWS\SYSTEM\WinFAT32

　　LoveLetter蠕蟲搜索所有的子目錄，并用自身的副本覆蓋(overwrite)擴(kuò)展名為JPG, VBS, JS, JSE, CSS, WSH, SCT, HTA, MP3和MP2 的所有文件，給無(wú)VBS(non-VBS)后綴的文件名添加VBS擴(kuò)展名。如：一個(gè)名為的文件將變?yōu)?。下一次染毒文件被點(diǎn)擊或被激活，蠕蟲將開始傳播。

　　如果IRC(在線聊天系統(tǒng))客戶在系統(tǒng)中出現(xiàn)，LoveLetter蠕蟲將產(chǎn)生一個(gè)HTML文件，將自身發(fā)送到IRC通道中。

　　預(yù)防

　　愛蟲病毒的厲害之處在于，它能夠通過Microsoft Outlook自動(dòng)向被感染者地址簿中所有郵件發(fā)送病毒，造成網(wǎng)絡(luò)系統(tǒng)崩潰。此病毒與去年曾一度鬧的人心惶惶的美麗殺手(即Melissa，梅麗莎病毒)病毒有類似的傳播手段。相比較而言，此病毒的感染性更強(qiáng)，它可尋找本地驅(qū)動(dòng)器和映射驅(qū)動(dòng)器，并在系統(tǒng)所有目錄和子目錄中搜索可以感染的目標(biāo)。這也是此病毒能夠在美麗殺手爆發(fā)一年后，再次造成全球大面積網(wǎng)絡(luò)癱瘓的一個(gè)重要原因。

　　冠群金辰認(rèn)為21世紀(jì)網(wǎng)絡(luò)的發(fā)展為企業(yè)和個(gè)人孕育著無(wú)限的商機(jī)，但是，伴隨網(wǎng)絡(luò)接踵而來(lái)的黑客大肆攻擊網(wǎng)站事件、蠕蟲病毒導(dǎo)致嚴(yán)重網(wǎng)絡(luò)癱瘓事件，已經(jīng)不斷向人們敲響了網(wǎng)絡(luò)安全的警鐘。據(jù)冠群金辰對(duì)當(dāng)前病毒傳播手段的統(tǒng)計(jì)表明，企業(yè)當(dāng)前面臨的網(wǎng)絡(luò)不安全因素主要源于郵件系統(tǒng);而對(duì)個(gè)人用戶構(gòu)成最大、最多威脅的病毒也多通過郵件、網(wǎng)絡(luò)進(jìn)行傳播，以“美麗殺手”“ZIP蠕蟲”“愛蟲”等大量通過互聯(lián)網(wǎng)郵件系統(tǒng)自動(dòng)的病毒呈現(xiàn)出爆發(fā)頻率加快的態(tài)勢(shì)。因此，作為一個(gè)反毒廠家目前要作到的就是從企業(yè)內(nèi)部的每一個(gè)可能傳播病毒的計(jì)算機(jī)和服務(wù)器進(jìn)行防護(hù)，特別值得指出的是，針對(duì)郵件系統(tǒng)的安全防護(hù)已經(jīng)成為企業(yè)目前必須解決網(wǎng)絡(luò)的安全問題。并且企業(yè)級(jí)的網(wǎng)絡(luò)安全產(chǎn)品必須具備優(yōu)秀先進(jìn)的實(shí)時(shí)防護(hù)技術(shù)，全平臺(tái)防護(hù)技術(shù)，同時(shí)安全產(chǎn)品應(yīng)針對(duì)病毒、蠕蟲這些頻繁出現(xiàn)的不安全因素提供病毒快速捕捉及病毒庫(kù)升級(jí)功能，即具備全球病毒監(jiān)測(cè)及全國(guó)服務(wù)網(wǎng)的能力。

　　針對(duì)目前企業(yè)受到郵件病毒爆發(fā)的威脅的情況，冠群金辰推出了一系列專門針對(duì)企業(yè)用戶的套裝組合，在此套裝組合中，冠群金辰公司將的KILL for Microsoft Exchange和KILL for Lotus Notes兩種唯一通過公安部評(píng)測(cè)的郵件群件防護(hù)軟件與KILL網(wǎng)絡(luò)版的服務(wù)器端產(chǎn)品和客戶端產(chǎn)品無(wú)縫集成在一起，為用戶提供先進(jìn)的病毒檢測(cè)技術(shù)、通過對(duì)服務(wù)器、郵件服務(wù)器、客戶端的3位一體全面防護(hù)，從而達(dá)到自動(dòng)發(fā)現(xiàn)，自動(dòng)報(bào)警，自動(dòng)清除所有通過網(wǎng)絡(luò)傳播的病毒的功能，時(shí)時(shí)刻刻全方位保護(hù)用戶的郵件及文件系統(tǒng)，確保用戶不會(huì)受到“愛蟲”一類病毒困擾。企業(yè)的網(wǎng)絡(luò)將能夠真正構(gòu)架起安全的樓宇。