【摘 要】隨著計算機用戶的增加以及網(wǎng)絡(luò)規(guī)模的不斷擴大，蠕蟲病毒的危害也日益嚴重，蠕蟲爆發(fā)以后，網(wǎng)絡(luò)管理人員始終處于被動地位，且長時間在網(wǎng)絡(luò)內(nèi)泛濫，無法得到有效的抑制。其危害的持久性和清除的復(fù)雜性嚴重的影響了人們的正常工作。它的危害越發(fā)的引起人們的關(guān)注。通過不斷深入的分析研究，掌握蠕蟲病毒特性，以及其感染傳播的過程。并采用相應(yīng)的防治方法。本文僅對防治方法中的蠕蟲疫苗的研究和發(fā)展趨勢進行了淺顯的論述。

【關(guān)鍵字】計算機網(wǎng)絡(luò) 蠕蟲病毒 蠕蟲疫苗 研究趨勢

一、蠕蟲病毒的定義

隨著計算機的普及和廣泛使用，計算機病毒對計算機的危害日益嚴重，尤其是現(xiàn)在網(wǎng)絡(luò)的飛快發(fā)展，蠕蟲病毒所引起的危害已經(jīng)非常嚴重，從某種程度上來講，其危害性已經(jīng)超過了傳統(tǒng)的計算機病毒。所謂的計算機病毒抽象的定義為：所有能夠?qū)е掠嬎銠C發(fā)生故障，破壞計算機數(shù)據(jù)信息的一種程。因此蠕蟲理所當然也是一種病毒。但是相對于一般的病毒，蠕蟲病毒有很大的不同點。計算機蠕蟲是自包含的程序（或是一套程序），它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。因為網(wǎng)絡(luò)的快速發(fā)展，同時也為蠕蟲的蔓延提供相應(yīng)的條件，使蠕蟲在短時間內(nèi)造成網(wǎng)絡(luò)癱瘓。

從使用者使用的情況來看，我們可將蠕蟲病毒分為兩種，一種是以“紅色代碼”，“尼姆達”，及最新的“sql蠕蟲王”為代表，它們主要針對企業(yè)用戶和局域網(wǎng)。這種病毒主要抓住系統(tǒng)漏洞進行主動攻擊。能夠在很短的時間內(nèi)造成計算機網(wǎng)絡(luò)的癱瘓；它的主要特征是主動攻擊性強，且突發(fā)性也很強。但是這類病毒并不是很難查殺。另外一種以愛蟲病毒，求職信病毒為例，其針對個人用戶，主要通過電子郵件、惡意網(wǎng)頁的形式進行傳播的一種蠕蟲病毒。它的主要特征是傳播方式復(fù)雜化、多樣化。小部分利益微軟應(yīng)用程序的漏洞進行破壞，更大部分的利用利用社會工程學對用戶進行欺騙和誘使，這類病毒所造成的損失也不小。比如近期發(fā)現(xiàn)的“威金蠕蟲病毒”及其變種，自我繁殖能力特別強，該病毒可以繞過一些系統(tǒng)還原軟件，給用戶清除帶來了很大的麻煩。

二、蠕蟲病毒的原理

（一）蠕蟲病毒具有自我復(fù)制能力

通過一段普通的網(wǎng)頁腳本代碼來說明

document.body.oncopy = function （） { setTimeout（ function （） { var text = clipboardData.getData（\"text\"）； if （text） { text = text + \"＼r＼n

這么簡單的幾句就實現(xiàn)了自我復(fù)制的功能，這說明蠕蟲病毒具備很強的自我復(fù)制能力。

（二）蠕蟲病毒的傳播性很強

病毒具有傳播性，電子郵件病毒的傳播方式就是通過電子郵件進行病毒的傳播。如下批處理代碼：

@echo off

title 默認共享刪除器

echo.

echo ----

echo.

echo 開始刪除每個分區(qū)下的默認共享.

echo.

for %%a in （C D E F G H I J K L M N O P Q R S T U V W X Y Z） do @（if exist %%a：＼nul （net share %%a$ /delete>nul 2>nul echo 成功刪除名為 %%a$ 的默認共享 || echo 名為 %%a$ 的默認共享不存在）

net share admin$ /delete>nul 2>nul echo 成功刪除名為 admin$ 的默認共享 || echo 名為 admin$ 的默認共享不存在

echo.

echo ----

echo.

net stop Server>nul 2>nul echo Server服務(wù)已停止.

net start Server>nul 2>nul echo Server服務(wù)已啟動.

echo.

echo ----

echo.

echo 修改注冊表以更改系統(tǒng)默認設(shè)置.

echo.

echo 正在創(chuàng)建注冊表文件.

echo Windows Registry Editor Version 5.00> c：＼delshare.reg

：： 通過注冊表禁止Admin$共享，以防重啟后再次加載

Echo [HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼lanmanserver＼parameters]>> c：＼delshare.reg

echo \"AutoShareWks\"=dword：00000000>> c：＼delshare.reg

echo \"AutoShareServer\"=dword：00000000>> c：＼delshare.reg

：： 刪除IPC$共享，本功能需要administritor權(quán)限才能成功刪除

echo [HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa]>> c：＼delshare.reg

echo \"restrictanonymous\"=dword：00000001>> c：＼delshare.reg

echo 正在導(dǎo)入注冊表文件以更改系統(tǒng)默認設(shè)置.

regedit /s c：＼delshare.reg

del c：＼delshare.reg echo 臨時文件已經(jīng)刪除.

echo.

echo ----

echo.

echo 程序已經(jīng)成功刪除所有的默認共享.

echo.

echo 按任意鍵退出...

pause>nul。

這一小段代碼的功能是將你的。Bat文件刪除，蠕蟲病毒就是通過這種方式來完成自己的傳播。

（三）蠕蟲病毒的破壞性和隱蔽性

蠕蟲病毒具有很大的破壞性，而且隨著技術(shù)的發(fā)展，其破壞威力越來越大，例如，近段時間的“熊貓燒香”，“威金”“移動蟲”，“ANI蠕蟲”等病毒都讓我們切身體會到了蠕蟲病毒對計算機網(wǎng)絡(luò)的破壞。下面以批處理病毒為例來加以分析說明：

sub killc（）破壞硬盤的過程。

On Error Resume Next 容錯語句，避免程序崩潰。

dim fs，auto，disc，ds，ss，i，x，dir Set fs = CreateObject （\"Scripting.FileSystemObject\"）

Set auto = fs.CreateTextFile（\"c：＼Autoexec.bat\"， True建立或修改自動批處理。

auto.WriteLine （\"@echo off\"）屏蔽掉刪除的進程。

auto.WriteLine （\"Smartdrv\"）加載磁盤緩沖。

Set disc = fs.Drives 得到驅(qū)動器的集合。

For Each ds in disc If ds.DriveType = 2 Then 如果驅(qū)動器是本地盤，

ss = ss ds.DriveLetter 就將符號連在一起。

End if Next ss=LCase（StrReverse（Trim（ss）得到符號串的反向小寫形式。

For i=1 to Len （ss）遍歷每個驅(qū)動器。

x=Mid（ss，i，1）讀每個驅(qū)動器的符號。

auto.WriteLine （\"format/autotest/q/u \"x\"：\"）反向（從Z：到A：）自動格式化驅(qū)動器。

next For i=1 to Len（ss）x=Mid（ss，i，1）auto.WriteLine（\"deltree/y \"x\"：\"）怕Format失效用Deltree雙保險。

next auto.Close關(guān)閉批處理文件。

set dir=fs.GetFile（\"c：＼Autoexec.bat\"）dir.attributes=dir.attributes+2 將自動批處理文件改為隱藏。

End sub

通過上述代碼會在每個盤根目錄下自動生成sxs.exe，autorun.inf文件，有的還在windows＼system32下生成SVOHOST.exe 或 sxs.exe ，這些文件屬性為隱含屬性，頑固性，不但會搶占內(nèi)存，還會破壞后臺數(shù)據(jù)庫。

：：解決方法：建立批處理文件（內(nèi)容）

可以看出蠕蟲病毒的破壞性和隱蔽性。執(zhí)行完程序后還將自己設(shè)置為隱藏屬性。給蠕蟲的查殺帶來了很大的不便。

三、蠕蟲病毒的發(fā)展趨勢

（一）利用操作系統(tǒng)漏洞和程序缺陷進行攻擊?！凹t色代碼”主要利用微軟IIS服務(wù)器軟件的漏洞（idq.dll遠程緩存區(qū)溢出）來傳播。Sql蠕蟲王病毒就是利用了微軟的數(shù)據(jù)庫系統(tǒng)的一個漏洞進行大肆攻擊。

（二）傳播方式的多樣化。蠕蟲病毒可以通過電子郵件，網(wǎng)絡(luò)共享，WEB服務(wù)，移動存儲設(shè)備以及假借VoIP服務(wù)程序來進行復(fù)制傳播。

（三）編制蠕蟲病毒的語言也是越來越高級，易于修改，蠕蟲病毒的變種產(chǎn)生迅速。比如，“ANI蠕蟲”在短短24小時內(nèi)接連出現(xiàn)5個變種，在互聯(lián)網(wǎng)上迅速擴散。瑞星反病毒專家介紹說，這些“ANI蠕蟲”的變種同樣利用上周末才剛出現(xiàn)的Vista、XP等操作系統(tǒng)的ANI高危漏洞，至今微軟尚未發(fā)布針對該漏洞的補丁。由于此病毒傳染速度快、威脅較大，瑞星于上周末發(fā)出今年第一個“橙色安 全警報”（二級）。

（四）與病毒，木馬程序相結(jié)合，全方位的破壞計算機系統(tǒng)，竊取用戶私密信息。目前流行的蠕蟲病毒，一旦感染計算機，則立刻后臺執(zhí)行遠程木馬下載程序，并自動安裝，竊取用戶帳號及密碼。例如，“威金蠕蟲變種LQ（Worm.Viking.lq）”病毒，該病毒運行后會自動釋放名為“rundl132.exe”、“l(fā)ogo_1.exe”、“l(fā)ogo1_.exe”等的文件，并感染 Windows的可執(zhí)行文件。它會查找局域網(wǎng)中的所有共享計算機，嘗試猜解它們的密碼，并試圖感染這些計算機。威金蠕蟲還會自動在后臺下載并運行“西游木馬”、“江湖木馬”、“密西病毒”以及“魔獸木馬”等，會竊取網(wǎng)絡(luò)游戲玩家的賬號和密碼并發(fā)送給黑客。

四、蠕蟲疫苗的研究進展和趨勢

蠕蟲疫苗就是為破壞蠕蟲病毒在傳播過程中的某個環(huán)節(jié)而在主機上建立的標記。這種標記可以使得計算機用戶能夠抵御大部分蠕蟲病毒的攻擊，或者是在感染后能夠迅速的破壞蠕蟲的傳播過程中的某個環(huán)節(jié)，導(dǎo)致蠕蟲病毒不在具有傳播性，從而抑制了病毒在網(wǎng)絡(luò)中的蔓延。

（一）基于系統(tǒng)漏洞研究的疫苗

由于很多蠕蟲病毒的傳播和感染要是利用系統(tǒng)的某個漏洞來進行，因此對于著重于系統(tǒng)漏洞研究而產(chǎn)生的疫苗，具有漏洞過濾器的功能，類似于基于網(wǎng)絡(luò)的虛擬軟件補丁，可以抵御下游的計算機發(fā)動的針對系統(tǒng)漏洞的攻擊。

（二）基于標識的疫苗

通過對大量已知的蠕蟲病毒的分析研究，掌握起傳播和破壞的原理，攻擊方法，制定相應(yīng)的應(yīng)對措施，對用戶的計算機進行標識，當用戶遭遇病毒時，對病毒特性進行比對后，立刻調(diào)用已經(jīng)制定好的清除方法，進行蠕蟲的查殺。

（三）基于檢測協(xié)議運行異常的疫苗

此疫苗可以檢測出異常運行的協(xié)議，和應(yīng)用執(zhí)行缺陷（比如緩沖區(qū)溢出）的異常，提前預(yù)警用戶潛在的危險。

（四）基于流量異常檢測的疫苗

安裝此疫苗的用戶，對用戶的數(shù)據(jù)進行實時的監(jiān)控，它可以從網(wǎng)絡(luò)中安裝的相應(yīng)服務(wù)中學習到正常流量的模型，一旦流量的基線確定下來，就可以根據(jù)可調(diào)的閥值對用戶主機接收到的異常流量進行統(tǒng)計并檢測出異常的流量，從而抵御蠕蟲病毒的攻擊。

當然現(xiàn)有的疫苗也有很多不足，比如很多殺毒軟件誤認為疫苗是病毒，對疫苗進行殺毒操作，還有對可重復(fù)感染的蠕蟲作用不大。用戶雖然可以通過接種疫苗的方式防止蠕蟲的攻擊，但是最終還是要依靠系統(tǒng)補丁才能完善。

目前對于蠕蟲疫苗的研究趨于智能化，不僅能根據(jù)目標主機的不同漏洞進行智能變換，預(yù)防或查殺多 種網(wǎng)絡(luò)蠕蟲。還要解決穿透防火墻通信問題，疫苗之間的互相預(yù)警，以此提高了疫苗的抵御能力和效率。

五、結(jié)論

網(wǎng)絡(luò)蠕蟲病毒作為一種互聯(lián)網(wǎng)高速發(fā)展下的一種新型病毒，必將對網(wǎng)絡(luò)產(chǎn)生巨大的危險。要做好網(wǎng)絡(luò)蠕蟲病毒的預(yù)防工作不是單獨的某一個體就能完成的，也不是殺毒廠商自己就能解決的，我們需要得到網(wǎng)絡(luò)安全公司、系統(tǒng)廠商、病毒廠商及用戶的積極投入和參與，才能更好的建立和完善一個更加強大更加有效的防范體系。

參考文獻：

[1]藍海.關(guān)于啟發(fā)掃描的反病毒技術(shù)http： //bbs. net. tsinghua. edu. cn 2003-08-01

[2]楊大全，劉晨等.計算機網(wǎng)絡(luò).東北大學出版社，2004.2.（參編第二十一章：網(wǎng)絡(luò)壞境卜的病毒防治）

[3]鄭輝等.計算機網(wǎng)絡(luò).國防科技大學，2002年7